Aus Schaden klug werden

Die größten IT-Disaster 2021

23.01.2022
Von  und
Josh Fruhlinger ist freier Autor in Los Angeles.
Moritz Iversen ist freier Journalist in München.

Unwahrscheinlich ist, dass die elektronischen Türschlösser von Facebook auch von Facebook betrieben wurden. Es scheint aber so, dass der Konzern die Strategie verfolgt hat, alle internen Systeme auf der eigenen Infrastruktur laufen zu lassen. Mit der Folge, dass die internen Kommunikationssysteme ebenfalls ausfielen, was nicht gerade dazu beigetragen hat, die Krise schnell zu bewältigen. Der Fachausdruck für ein Unternehmen, das so handelt, lautet: "sein eigenes Hundefutter essen". Dies wird im Allgemeinen als Vertrauensbeweis für die eigenen Services angesehen. Der Totalausfall von Facebook erinnert jedoch daran, dass man auch als Vollprofi immer einen Plan B in der Hinterhand haben sollte.

Ein geduldiger Fehler

Am 8. Juni sahen sich Millionen von Internetnutzern, die versuchten, auf Websites von Reddit bis hin zu wichtigen britischen Regierungsstellen zuzugreifen, mit 503-Fehlercodes konfrontiert. Diese zeigen an, dass der Server, auf dem die Website gehostet wird, die Anfrage nicht bearbeiten kann (Twitter funktionierte zwar noch, konnte aber tragischerweise keine Emojis mehr anzeigen). Wie konnten so viele verschiedene Websites auf einmal offline gehen?

Wie sich herausstellte, hängt die Antwort mit dem Aufkommen von Content Delivery Networks (CDN) zusammen, die Unternehmen an strategischen Punkten im Internet Proxy-Server für ihre Kunden einrichten, um superkurze Ladezeiten zu gewährleisten. Fast jede große Website nutzt heutzutage CDNs, und es gibt nicht viele Anbieter in diesem Bereich, so dass der Ausfall eines CDNs dazu führen kann, dass ein großer Teil des Internets ausfällt.

In diesem Fall war Fastly, ein Edge-Computing-Anbieter mit einem florierenden CDN-Geschäft, die Schwachstelle. Das Unternehmen brachte am 12. Mai 2021 ein Software-Update auf den Markt, das einen Fehler enthielt, der unter den passenden Bedingungen durch eine bestimmte Kundenkonfiguration ausgelöst werden konnte. Am 8. Juni schließlich aktualisierte ein Kunde unwissentlich seine Konfiguration und löste damit eine Krise aus.

Boten hassen diesen Trick

Im Oktober entdeckte ein Reporter des "St. Louis Post-Dispatch" in Zusammenarbeit mit dem Sicherheitsexperten Shaji Khan eine fehlerhafte Website. Diese ermöglichte es der Öffentlichkeit, nach der Zertifizierung und den Zeugnissen von Lehrern zu suchen. Allerdings gab sie versehentlich auch die Sozialversicherungsnummern dieser Lehrer preis.

Die Nummern wurden zwar nicht auf der Seite mit den Suchergebnissen selbst angezeigt, aber sie waren im HTML-Code der Seite als Klartext enthalten, so dass sie leicht zu finden waren. Die Zeitung informierte das staatliche Bildungsministerium über den Fehler, bevor die Geschichte veröffentlicht wurde, und gab der Behörde Zeit, ihn zu korrigieren. Wenn sich alle normal verhalten hätten, würden Sie jetzt nichts über diese Geschichte lesen.

Zuerst begann ein Sprecher des Bildungsministeriums damit, eine (nie abgeschickte) Erklärung zu verfassen, in der er den Medien dafür dankte, dass sie ihn auf die Angelegenheit aufmerksam gemacht hatten. Zwei Tage später beschuldigte der Gouverneur die Zeitung öffentlich, "Hacker" angeheuert zu haben, um ihn und die Verwaltung in Verlegenheit zu bringen. Er versprach, eine strafrechtliche Untersuchung einzuleiten. Nach diesen Vorwürfen sah er sich mit Gegenreaktionen und Spott konfrontiert, darunter auch von Mitgliedern seiner eigenen Partei. Die Lehre daraus ist, dass die Art und Weise, wie man mit den Folgen einer IT-Katastrophe umgeht, fast genauso wichtig ist wie die Fehler, die zur Katastrophe geführt haben.