BIS News

Am vergangenen Dienstag waren unsere öffentlichen Dienste wie das eKVV teilweise nur schwierig zu erreichen. Auch Anwendungen wie BIKI, die sich auf den gleichen Systemen befinden, waren von diesen Störungen betroffen. Der Grund für die Probleme war einer, über den wir schon einmal zum Start des Wintersemesters berichtet hatten: Große Mengen von Zugriffen auf unsere Systeme durch Akteure, die die Inhalte unserer Internetseiten abgreifen wollen und dabei im Gegensatz zu Suchmaschinen keinerlei Rücksicht darauf nehmen, wenn sie dabei für Überlastungen und Systemstörungen sorgen.

Schon damals hatten wir über die Hintergründe dieser Zugriffe spekuliert, und letztlich bleibt es bei Spekulationen, denn für uns ist nur erkennbar, dass solche Zugriffe meist aus riesigen Serverfarmen auf anderen Kontinenten kommen, und dabei verschiedene Techniken anwenden um Sperrungen oder Zugriffsbegrenzungen zu unterlaufen.

Bei diesen Zugriffen hat sich nach unserem Eindruck nicht um gezielte Überlastangriffe gehandelt (also keine sogn. DDoS Distributed Denial of Service Attacke), sondern weiterhin um rücksichtslose Versuche für kommerzielle Interessen Daten einzusammeln. Es liegt hier nahe dahinter Datensammlungen für das Training von großen Sprachmodellen (LLMs) zu vermuten, da diese Art von Zugriffen vor ein paar Jahren noch sehr ungewöhnlich waren und die Sprachmodelle um so besser trainiert werden können, je mehr Daten sie haben und je qualitativ besser diese Daten sind.

Was tun wir gegen solche Zugriffe?

Wir können hier auf der einen Seite nicht die Leistung unserer Systeme immer weiter erhöhen. Selbst wenn wir das könnten würden die bösartigen Zugriffe vermutlich nur um so heftiger erfolgen und jedes bisschen zusätzliche Leistung für ihre Zwecke missbrauchen. Wir müssen hier also einen Weg finden diese  Zugriffe, die uns als Universität keinerlei Nutzen bringen, zu begrenzen. Aber dabei dürfen unsere regulären Nutzer*innen nicht beeinträchtigt werden.

Das ist ein manchmal schwieriger Balanceakt:

In unseren Servern gibt es schon sehr lange dynamische Schutzfunktionen, die zu zahlreiche Zugriffe von einzelnen Quellen automatisch begrenzen. Diese Sperren lösen sich auch automatisch wieder auf, sobald die Zugriffsintensität nachlässt. Diese Sperre ist also in gewisser Weise 'selbstheilend': Selbst wenn sie versehentlich legitime Zugriffe begrenzt hat, so wird dieser Zustand nicht ewig andauern und der Zugriff von allein wieder möglich werden.

Eine grobe Lösung für ein komplexes Problem

Bei den bösartigen Zugriffen, die uns am Dienstag wieder einmal Schwierigkeiten gemacht haben, reicht das leider nicht aus: Die Akteure hinter diesen Zugriffen sind geschickter und tun alles, um ihre Zugriffe mit unterschiedlichen Merkmalen zu versehen, z. B. unterschiedlichen Rechneradressen, von denen aus die Zugriffe erfolgen. Dabei müssen sie Unterstützung von den Anbietern der großen Rechenzentren haben, die sie verwenden. Sonst wäre es ihnen nicht möglich diese Techniken zum Unterlaufen unserer dynamischen Zugriffsbeschränkungen einzusetzen.

Uns bleibt aktuell hier nur ein Mittel: Alle Zugriffe aus diesen Rechenzentren komplett zu unterbinden. Auf technischer Ebene bedeutet dies, dass wir große Teile des Internets von unseren Servern dauerhaft aussperren und die Liste der gesperrten Bereiche immer weiter ausbauen, sobald die bösartigen Zugriffe von bisher noch offenen Bereichen weitergehen.

Diese Sperrungen haben für unsere regulären Nutzer*innen normalerweise nur einen positiven Effekt: Unsere Systeme arbeiten wieder schnell und störungsfrei. Die gesperrten Bereiche gehören zu Rechenzentren und Cloud Infrastrukturen und sind normalerweise komplett andere Teile des Internets als die, die man über seinen Internetprovider nutzt.

Es ist aber leider nicht auszuschließen, dass in Einzelfällen Zugriffe blockiert werden, die wir eigentlich nicht blockieren wollen. Die sich aber auf technischer Ebene nicht von den bösartigen Zugriffen unterscheiden lassen, die wir ausbremsen müssen. Wir haben bisher keine konkreten Fälle erhalten, aber potentiell betroffen sein könnten auf großen Cloudinfrastukturen betriebene Proxys. In solchen Fällen wird eine Seite angezeigt, deren Titel der Screenshot oben zeigt.

Eine Lösung, die gegen diese Sperren immer funktioniert, ist die Verwendung des VPN Zugangs der Universität. Wir freuen uns aber über Rückmeldungen zu solchen Problemen und prüfen dann, ob wir vielleicht zu große Sperren verkleinern können. Für entsprechende Rückmeldungen erreichen Sie uns hier.