"Der Explosionsradius wird von Mal zu Mal größer"

Vor wenigen Wochen sorgten technische Störungen bei CDN-Providern für flächendeckende Internetausfälle. Eine Expertin erklärt, was hinter diesen Diensten steckt und warum das Wohl des heutigen Netzes in ihren Händen liegt.

Wer am 8. Juni gegen Mittag seinen Internet-Browser aufmachte und versuchte die Website von New York Times, BBC, Twitch, Reddit oder vieler anderer großer US-Medien zu öffnen, bekam nur eine Fehlermeldung zu sehen. Am eigenen Internetanschluss konnte es nicht liegen, denn die deutschen Nachrichtenseiten schienen nicht betroffen zu sein. Das Schauspiel war geradezu unheimlich: Über eine Stunde lang waren etliche große US-Websites nicht erreichbar.

Was konnte der Auslöser sein? Ein defektes Unterseekabel? Ein Angriff auf die Netz-Infrastruktur? Die Antwort war aber viel banaler: Fastly, ein sogenannter Content-Delivery-Network-Provider, war schuld. Eine fehlerhafte Konfiguration hatte dort Dutzender großer Websites unerreichbar gemacht.

Wenige Wochen später ein ganz ähnliches Bild: Plötzlich waren etliche große Webportale nicht mehr erreichbar – diesmal waren auch deutsche Seiten betroffen, etwa "Bild.de", DHL oder "RTL.de". Schuld war auch diesmal wieder ein CDN-Provider: Bei Akamai hatte es offenbar einen Fehler nach einem Update gegeben.

Fastly, Akamai, Cloudflare. Die Namen dieser US-Unternehmen sagen den wenigsten Internetnutzern etwas, doch an ihnen hängt die Funktion des modernen Netzes – weltweit. Was genau diese Dienste tun, warum sie längst zur kritischen Infrastruktur des Internets gehören und ob sie zur Zielscheibe von kriminellen und staatlichen Hackern werden, erklärt Angelique Medina vom Cloud- und Internet-Analyseunternehmen Cisco ThousandEyes.

t-online: ThousandEyes ist eine Netzwerk-Analysefirma. Was genau macht das Unternehmen eigentlich?

Angelique Medina: Wir verfügen über eine Vielzahl an globalen Beobachtungspunkten, die mit vielen unterschiedlichen Netzwerken im Internet und Cloudprovidern verbunden sind. Und dann erzeugen wir künstlichen Datenverkehr zu verschiedenen Anwendungen und Diensten weltweit – letztendlich simulieren wir auf diese Weise Nutzer und nehmen dabei viele verschiedene Arten von Messungen vor: Beispielsweise wie gut die jeweilige Anwendung läuft, wie lange der Server für die Antwort braucht und wie lange es dauert, bis die einzelnen Komponenten einer Website geladen wurden.

Aber wir bieten auch Einblicke in das zugrunde liegende Netzwerk, um Probleme aufzudecken und die Leistung über den gesamten Netzwerkpfad zu ermitteln. Wir können also etwa sehen: Ok, von meinem Standort aus durchläuft eine Anfrage an Amazon die Netzwerke von vier unterschiedlichen Internetanbietern.

Und wir sehen, dass Amazon sogenannte Content-Delivery-Network-Provider (CDN) nutzt, um seine Daten auszuspielen und etwa über welche DNS-Provider sie ihre Domain in eine IP-Adresse übersetzen. Wir generieren im Rahmen unserer Tests also eine Menge an Informationen und bekommen so einen sehr weitreichenden Überblick über die Performance des Internets und vieler großer Websites und Dienste weltweit.

Genau darum soll es in unserem Gespräch ja auch gehen – wie “fit” und resilient das Netz eigentlich ist und welche Rolle diese sogenannten CDNs dabei spielen. Eben diese Dienste hatten in den vergangenen Wochen gleich zweimal für weitreichende Ausfälle im Netz gesorgt. Was genau ist ein CDN eigentlich?

Die grobe Idee ist, dass CDN-Provider ein weit verteiltes Netz aus eigenen Servern rund um den Globus betreiben und damit Inhalte und Dienste dichter an die einzelnen Nutzer heranbringen – egal wo diese sich befinden. Die Server sind mit der jeweiligen Quelle verbunden und halten deren Inhalte vor. Quelle meint hier das Datencenter oder die Server, wo sich zum Beispiel der Online-Shop oder die News-Website befindet, die ein Nutzer ansurft.

Also wenn ich etwa einen Artikel auf der Website der "New York Times" in meinem Browser anklicke, dann wird mir der Text und das Artikelbild eigentlich nicht den ganzen Weg aus den USA geschickt, sondern von so einem CDN-Server, der vermutlich hier irgendwo in Deutschland steht?

Genau. Wenn man die Adresse der "New York Times" aufruft, wird man tatsächlich mit einem CDN-Server verbunden. Im Falle der "New York Times" stammt dieser übrigens vom CDN-Provider Fastly. Der CDN-Provider holt sich jetzt vom eigentlichen Quellserver die Daten zum gewünschten Artikel und liefert sie an den Nutzer aus. Sobald die Daten einmal abgerufen wurden, werden sie zeitlich begrenzt auf dem CDN-Server gespeichert, dem sogenannten Cache. Wird dieser Artikel noch mal bei diesem CDN-Server angefragt, kann er ihn sofort an den Nutzer ausliefern. Das sorgt dafür, dass vor allem beliebte Websites schnell verfügbar sind.

Macht das im Alltag denn tatsächlich einen großen Unterschied?

Definitiv. CDN-Provider ermöglichen das Internet, wie wir es kennen, überhaupt erst. E-Commerce, Gaming, Video-Streaming – all das wäre einfach keine erfreuliche Nutzungserfahrung, wenn es diese Art von Infrastruktur nicht gäbe. Sie spielen eine sehr wichtige Rolle dabei, wie das Internet heute funktioniert. Ich glaube viele Menschen realisieren auch nicht, welche wichtige Rolle die CDN-Provider dabei spielen, den Backbone-Traffic über das ganze Internet hinweg zu entlasten.

Mit "Backbone-Traffic" meinen Sie Datenverkehr über die ganz breiten Datenautobahnen, über die die riesigen Netzwerke der Internetprovider miteinander verbunden sind – also gewissermaßen die Hauptadern des Internets.

Genau – die CDNs sorgen dafür, dass nicht jeder Nutzer seine Daten direkt von der Quelle bezieht und quer über den Erdball zum heimischen Endgerät transportieren muss. Ohne sie gäbe es sehr viel mehr Datenverkehr im gesamten Internet – und alles würde erheblich länger brauchen, um zu laden.

Aber wie landet der Nutzer eigentlich auf dem für ihn besten Server? Und warum nicht auf dem Ursprungsserver?

Hier spielt das sogenannte Domain-Name-System, kurz DNS, eine zentrale Rolle. Das ist eine Art Register. Denn im Browser geben wir zwar URLs wie "nytimes.com" ein, doch innerhalb des Internets haben die einzelnen Server eigentlich eine IP-Adresse, über die sie gefunden werden. DNS-Server übersetzen diese URLs in die passende IP-Adresse und geben diese an den Browser zurück, damit dieser weiß, wo er die gewünschte Website findet. Wenn Sie also "nytimes.com" eingeben, wird diese Anfrage an ihren DNS-Dienst geschickt. Sagen wir, Sie nutzen den öffentlichen Google-DNS-Server. Der Google-Server fragt dann schließlich beim DNS-Server der "New York Times" nach der richtigen IP-Adresse. Dieser gibt ihm aber keine Adresse, sondern verweist ihn an eine andere Domain, einen DNS-Dienst von Fastly. Google fragt also hier nach, wo die Seite "nytimes.com" zu finden ist und bekommt eine Adresse, die schließlich auf einen nahe gelegenen Fastly-Server zeigt – wo die Homepage der "New York Times" bereits im Cache gespeichert ist. Als Nutzer bekomme ich davon nichts mit, das passiert alles in Sekundenbruchteilen im Hintergrund.

Aber vor ein paar Wochen, am 8. Juni, lief bei Fastly irgendetwas schief – und Besucher von "nytimes.com" erhielten nur eine Fehlermeldung.

Ja, wenn diese Server aus irgendeinem Grund nicht erreichbar sind, dann sehen Nutzer nur eine Fehlermeldung – obwohl es bei der "New York Times" selbst gar keine Probleme gibt.

Der Fehler war laut Fastly ein Bug in einem im Mai aufgespielten Update, der dann am 8. Juni plötzlich ausgelöst wurde. Nach gut einer Stunde hatte das Unternehmen das Problem im Griff, die meisten Websites waren bald wieder verfügbar. Aber wenn das Problem gar nicht bei den eigentlichen Websites liegt – können diese solch ein Problem nicht auch selbst angehen?

Das können sie – und die "New York Times" hat das auch gemacht. Das geht, indem sie Änderungen in ihren DNS-Aufzeichnungen vornehmen. Dort schickt man Nutzer dann eben nicht länger zu Fastly, sondern zu einem Zielserver, der erreichbar ist. Ich glaube, in diesem Fall waren es ihre eigenen Quellserver. Das ist ein möglicher Weg, mit solch einem Ausfall umzugehen. Aber die Umschaltung hat eine Weile gedauert. Und bei diesem Weg gibt es auch eine Reihe von Nachteilen. Denn unter Umständen ist der Quellserver gar nicht dafür ausgelegt, große Mengen an Traffic zu bedienen, sodass er dann einfach zusammenbricht. Bei der New York Times hat man möglicherweise durchgerechnet, ob der eigene Server den Nutzeransturm auffangen kann – oder sich schlicht gedacht: Besser, als gar nicht verfügbar zu sein.

Aber es gibt unterschiedliche Wege mit diesem Risiko umzugehen. Amazon etwa verteilt seinen Datenverkehr je nach Bedarf auf mehrere CDN-Provider. Die haben ihr eigenes CDN und nutzen das auch stark, aber sie sind außerdem Kunde bei Akamai und Fastly. Je nach Region und je nach der jeweiligen Leistung der einzelnen Provider werden die optimalen Routen berechnet und die Nutzer entsprechend geleitet. Dort gibt es auch Resilienz-Mechanismen, wenn mal ein CDN-Provider ausfallen sollte. Deshalb war Amazon von den beiden jüngsten Störungen bei Fastly und Akamai auch nicht wirklich betroffen.

Wenn das so einfach geht, warum machen das dann nicht alle so?

Das ist eine finanzielle Frage. Für E-Commerce-Unternehmen können auch kürzeste Ausfälle bereits sehr teuer werden. Da kann es sich lohnen, die Kosten für mehrere CDN-Provider zu tragen – die sind allerdings erheblich.

Kann man sagen, dass der Großteil des Internettraffics heute über CDN-Provider fließt?

Genaue Zahlen dazu gibt es meines Wissens zwar nicht – aber, ja, ganz sicher ist das so. Denken Sie allein an Netflix. Netflix hat sich sein eigenes CDN gebaut – und sorgt für eine enorm große Menge an Traffic. All die Medien, die man konsumiert, Gaming und ähnliche Bereiche, das wird alles über CDN-Provider ausgeliefert. Ich würde sagen, die überwiegende Mehrheit des Traffics kreuzt irgendwie durch diese Provider. Und darüber hinaus gibt es definitiv eine Konzentration bei den großen Providern. Man denke da an Akamai, Cloudflare, Fastly und dann gibt es noch mehr medienorientierte, wie Edgecast oder Limelight Networks. Es ist wirklich so, dass eine Handvoll von diesen Providern das Gros des Internettraffics abfertigt.

Das klingt danach, als seien diese CDNs klar kritische Infrastruktur für das Internet?

Ja, absolut.

Sind diese Internetsäulen denn auch entsprechend gut gegen Angriffe und Ausfälle abgesichert?

Einige haben bereits bestimmte Mechanismen in ihren Service eingebaut. Akamai etwa dient auch als ein Schutz-Provider gegen DDoS-Angriffe für viele große Websites. Sie können riesige Mengen an Traffic absorbieren, ohne dass darunter der eigene Dienst oder die Dienste ihrer Kunden leiden. Gleichzeitig sind solche hochverteilten Dienste wie CDNs sehr schwer anzugreifen, vor allem weil die CDNs Traffic so mühelos umleiten können. Das macht es für Angreifer sogar schwer, nur einzelne Bereiche in ihrer Infrastruktur anzugreifen.

Aber wenn diese Dienste so wichtig sind, wie kann es denn sein, dass es innerhalb weniger Wochen gleich bei zwei der größten Anbieter – Fastly und Akamai – zu Ausfällen kommt?

Ja, das ist schon interessant. Es ist das gleiche wie bei Cloud-Providern: Wenn etwas schief geht, dann auf eine bedeutende Art und Weise. Man muss allerdings auch bedenken, dass es in den allermeisten Fällen eben keine Probleme gibt. Dabei wird laufend optimiert, laufend werden Updates eingespielt, es gibt da auch viel Automation – und manchmal führt selbst ein kleiner Fehler dann zu einem großen Ausfall.

Die meisten der großen Ausfälle, die wir bis jetzt gesehen haben, wurden von diesen selbst verursacht. So war es ja auch bei den beiden jüngsten Vorfällen. Ich glaube diese scheinbare Häufung war einfach ein Zufall. Ich denke aber, dass die Konzentration in diesem Bereich auf wenige große Provider durchaus einer näheren Analyse bedarf.

Wie meinen Sie das?

Nun ja, der eigentliche Sinn des Internets besteht ja von einem Strukturstandpunkt aus darin, dass es ein verteiltes Netzwerk ist, das mühelos aushält, wenn einzelne Knoten ausfallen. Tatsächlich halten heute aber einige wenige Provider die Schlüssel zu weiten Teilen des Internets in ihren Händen. Man sieht das bei Cloudanbietern, wo es im Wesentlichen drei entscheidende Anbieter gibt – Amazon, Google und Microsoft Azure – und ähnlich ist es bei den CDN-Providern, wo sehr viele Seiten und Dienste bei Akamai, Fastly und Cloudflare gehostet werden. Hier verengt sich das Netz zunehmend. Und es wird spannend sein zu sehen, wie sich das entwickelt – da gibt es sehr viele unvorhergesehene Folgen.

Können Sie das erläutern?

Selbst wenn Sie als Unternehmen versuchen, die ganz großen Anbieter zu vermeiden, kann es gut sein, dass ihr CDN-Provider selbst wiederum wesentlich von einem der großen Anbieter abhängt. Manchmal realisiert man gar nicht, dass es viele verschiedene nächste Schritte von solchen Abhängigkeiten geben kann. Es ist nahezu unausweichlich, dass man von einem der großen Ausfälle auch betroffen wäre. Und das ist definitiv ein Trend, den wir sehen: Diese Ausfälle mögen nicht oft passieren, aber wenn, dann ist gewissermaßen deren Explosionsradius von Mal zu Mal größer.

Nun sind sowohl die größten Cloud-Provider als auch die größten CDN-Provider, die Sie genannt haben, US-Unternehmen. In den vergangenen Monaten hat sich gezeigt, dass China gegenüber den USA zunehmend selbstbewusst auftritt, was Cyberangriffe angeht. Russland scheint in den vergangenen Jahren ebenfalls zahlreiche Hacker-Attacken gegen die USA gebilligt, wenn nicht sogar beauftragt zu haben. Glauben Sie, dass diese Konstellation eine zunehmende Gefahr für das künftige Internet darstellen könnte? Dass politisch motivierte Hacker etwa gezielt die größten CDN-Provider angreifen?

Das ist eine interessante Frage. Hacker haben in den vergangenen Jahren sowohl CDNs als auch Cloud-Provider angegriffen – aber da gibt es verschiedene Aspekte zu bedenken. Die Hacks, die wir gesehen haben, waren eher die einfachsten Wege das zu tun. Also etwa die Routen zu diesen Anbietern zu hacken und nicht die Server der Anbieter selbst. Das kann man sich so vorstellen, dass die Hacker dann im Internet behaupten, "Hallo, ich bin Cloudflare, schickt mir euren Internetverkehr". Aufgrund der Art, wie das Internet funktioniert, kann das tatsächlich passieren, das ist kein ungewöhnlicher Vorfall. In der Regel passiert so etwas versehentlich, manchmal aber auch mit bösartigen Absichten.

Können Sie uns mal einen Fall schildern?

Im Jahr 2018, glaube ich, gab es diese Gruppe von Hackern, die auf diese Art einen Kryptowährungsraub bei "MyEtherWallet.com" durchgezogen haben. Die Kryptobörse nutzte unter anderem einen DNS-Dienst von Amazons Cloud-Dienst AWS. Die Angreifer hackten einen Internetprovider und ließen sich dann bestimmten Datenverkehr, der eigentlich an AWS gehen sollte, selbst zuleiten. Dort wurden Anfragen, die eigentlich "MyEtherWallet.com" erreichen sollten, stattdessen auf eine nachgebaute Seite umgeleitet. Nutzer, die sich dann dort angemeldet haben, bekamen zwar eine Warnung, weil das genutzte SSL-Zertifikat nicht gültig war, wer dies aber ignorierte und sich dennoch einloggte, dem wurde die Kryptowährung gestohlen. Das war eine ziemlich dreiste Attacke – und Amazons gut geschützte Server selbst mussten sie dafür gar nicht angreifen.

Aber das sind Kriminelle. Meine Frage zielte eher Richtung Cyberkriegsführung und von Staaten initiierte Sabotage.

Ja, das ist absolut ein Thema. Es gibt auch einige Forschungsarbeiten, die sich damit beschäftigen, wie solche gerade beschriebenen Route-Hackings auch von ausländischen Anbietern durchgeführt werden könnten. Das ist absolut machbar. Und solche Dinge passieren ziemlich häufig, ohne dass es vielen Menschen auffällt. Denn viele dieser Vorfälle sind sehr kurz. Aber trotzdem: Für diese kurze Zeit fließen dann gewaltige Datenmengen durch Netzwerke, die eigentlich keinen Zugang dazu haben sollten.

Was die Frage angeht, ob Angreifer auch direkt Zugriff zu den Systemen von CDNs erhalten könnten – sicher, theoretisch ist alles möglich. Die Frage ist, was sie dadurch erreichen würden. Die meisten hier gespeicherten Daten sind öffentlich zugänglich. Aber gut möglich, dass es hier bestimmte Fälle gibt, bei denen dies nützlich wäre – schließlich könnten Angreifer dann auch eine Verbindung zu den Ursprungsservern der Kunden herstellen. Ich kenne derzeit aber kein Beispiel, bei dem Angreifer direkten Zugriff erlangt hätten.

Weltweit nimmt der Datenhunger zu, immer mehr Haushalte sind mit schnellen Breitbandanschlüssen angebunden. Kommt das Internet damit klar? Oder ächzt die Infrastruktur zunehmend unter der wachsenden Datenlast?

Die Internetprovider dimensionieren ihre Netzwerke eigentlich so, dass sie auch auf überraschende Lastspitzen reagieren können. Es gibt natürlich immer wieder Anpassungsphasen – wie zum Beispiel im vergangenen Jahr, als plötzlich die ganze Welt Videokonferenzen startete und auf einmal viel mehr Kapazität im Upstream gebraucht wurde als zuvor. Da hat es eine Zeit gedauert, bis die Internetanbieter ihr Angebot entsprechend angepasst hatten. In dieser Zeit haben wir eine Zunahme an Ausfällen gesehen, die ein paar Monate angedauert hat. Aber danach war offenbar wieder ein Plateau erreicht und jetzt ist die Situation eigentlich wie vor der Pandemie.

Das Internet ist also resilient genug, um sowas auch in Zukunft abzufedern?

Absolut. Und die CDN-Provider haben ihren Anteil daran.

Frau Medina, vielen Dank für das Gespräch.