Störung bei Telekom und Microsoft Wenn IP-Adressen entführt werden
Ein Techniker überprüft Netzwerkkabel. Die Störung der Telekom hatte aber nichts mit einem falsch verbundenen Kabel zu tun.
Foto:Felix Kästle/ picture alliance / dpa
Dieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Für viele Angestellte begann der Arbeitstag im Homeoffice am Donnerstag mit Fehlermeldungen. Der Zugriff auf Office 365 und Outlook.com war für sie nicht möglich. Videokonferenzen über Skype, Microsoft Teams oder Ciscos WebEx mussten ausfallen. Für Verwirrung sorgte, dass die Betroffenen auf andere Internetdienste problemlos zugreifen konnten und Kollegen mit Anschlüssen bei anderen Providern keine Probleme hatten, Microsofts Angebote zu nutzen. Wenn also weder die Netze der Telekom noch die Server von Microsoft ausgefallen waren – was war das Problem?
Auf Anfrage des SPIEGEL haben sich Microsoft und die Deutsche Telekom nicht näher zu den Gründen des Ausfalls oder dessen genauen Umfang geäußert. Der Provider legt aber Wert darauf, dass das Problem nicht sein Verschulden gewesen sei. »Es lag kein Fehler im Netz der Telekom vor«, erklärt ein Sprecher. Vielmehr habe eine Fehlkonfiguration bei einem anderen Provider die mehrstündigen Ausfälle verursacht. Doch was heißt das konkret?
Datenpakete endeten in Bulgarien
Die Spur führt nach Bulgarien, aber zunächst einmal nach Dortmund. Hier sitzt der kleine Provider und Netzwerkspezialist »rrbone«, der bundesweit 1000 Firmenkunden speziell für solche Fälle betreut. Als sich die Störung am Donnerstagmorgen durch das Netz der Telekom zog, meldeten die Systeme, die die Erreichbarkeit seiner Kunden ständig überwachen, plötzlich Alarm.
Der Grund war schnell gefunden: »Um 8:33 Uhr hat ein bulgarischer Provider fünf große Netze der Deutschen Telekom für sich beansprucht«, sagt der Netzarchitekt Dominik Bay, Geschäftsführer des Dortmunder Unternehmens. Die Folge: Microsoft-Dienste, die mit den betroffenen IP-Adressen zu kommunizieren versuchten, schickten ihre Datenpakete plötzlich nicht mehr nach Deutschland, wo sie erwartet wurden, sondern in das bulgarische Netz. Die Verbindungen brachen daraufhin ab.
Nach gut drei Stunden hatte sich die Störung in Wohlgefallen aufgelöst. Der bulgarische Provider Telehouse nahm die entsprechende Änderung zurück und der Datenverkehr konnte nach und nach wieder den üblichen Verlauf nehmen. Kunden, die immer noch Probleme hatten, riet der Telekom-Support auf Twitter ihre Router neu zu starten.
Der Vorfall zeigt die dezentrale Natur des Internets. Denn wie ein Datenpaket in Millisekunden über ganze Kontinente reisen kann, ist das Ergebnis einer komplexen Technik. Das Domain Name System (DNS) regelt, unter welcher IP-Adresse eine Website zu erreichen ist. Doch wie man eine Verbindung dahin aufbaut, wird vom sogenannten Border Gateway Protocol (BGP) festgelegt. Hiermit können Provider erfahren, auf welchem Wege sie am schnellsten Datenpakete von ihrem Netz in ein anderes Netz transportieren.
Diese sogenannten Routen sind eine Kerntechnik des Internets, die es ermöglicht, Datenpakete von einem Provider zu einem anderen zu senden, ohne dass diese direkt miteinander zusammengeschaltet werden müssen. Ihr Ziel finden die Datenpakete, indem sie sich einen Weg von Internetknoten zu Internetknoten suchen.
Doch BGP funktioniert zu einem gewissen Grade auf Vertrauensbasis. Jeder Provider annonciert selbst, welche Routen er übernehmen will. Die benachbarten Provider tragen die Information von Internetknoten zu Internetknoten weiter, bis die neue Verbindung etabliert ist. Wenn die annoncierte Verbindung jedoch falsch ist, können die Folgen enorm sein. So hatte ein pakistanischer Provider im Jahr 2008 den Verkehr von YouTube weltweit gestört, weil er den Zugang seiner eigenen Kunden auf das Videoportal blockieren wollte . Fachleute reden hier vom »BGP Hijacking« – der Entführung von IP-Adressen. Seither kam es zu einer Handvoll solcher Vorfälle, die jedes Mal größere Störungen auslösten.
Beim Netzwerkknoten DE-CIX wurde die Umleitung nach Bulgarien als ungültig erkannt und einfach ausgefiltert
Foto: DE-CIXDeshalb haben die Provider Sicherheitsmechanismen eingeführt. Zwar kann immer noch jeder Provider seine eigenen Routen annoncieren, die anderen Provider unterziehen solche Botschaften aber einem Plausibilitätstest. »Eigentlich gibt es Filter, die verhindern sollen, dass sich jemand unerlaubt solche großen IP-Bereiche aneignen kann«, sagt Netzwerkexperte Bay.
Auch beim deutschen Internetknoten-Betreiber DE-CIX, der weltweit mit knapp 2300 Netzbetreibern verbunden ist, kam die falsche Meldung aus Bulgarien an. Doch die automatisierten Filter erkannten den offenkundigen Fehler, sodass der Datenverkehr wie gewohnt weiter lief. Warum das System bei Microsoft und einigen anderen Anbietern versagte, ist unklar. Der bulgarische Provider Telehouse, der die Ursache der Störung war, hat sich auf Anfrage des SPIEGEL noch nicht geäußert.
