Patch me if you can: Der Facebook-GAU - dann doch lieber weniger Sicherheit?

Inhaltsverzeichnis

Der Soundtrack zerplatzender Träume ist nicht ein leises Plitschen aufgeblasener Seifenlösung. Es ist auch keine dumpfe Explosion, kein markerschütterndes Jammern. Es ist das Kreischen eines Winkelschleifers. Als am 4. Oktober die Stahlhaut des Rechenzentrums über der Kleinstadt Prinewood, Oregon, von Trennschleifern durchsiebt wurde, starb nicht nur die physische Außenhülle von Facebook. Es ging auch eine Idee zugrunde.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Maximale Flex-ibilität

Das Detail mit der Flex wurde zwar später als Mythos widerlegt. Trotzdem hat die Geschichte alles, was eine Tragödie braucht: große Macht (Fallhöhe!), Hybris (Move fast and break things!) – und natürlich DNS*.

Zwar hat es bei allen Anbietern von Cloud-Diensten und ähnlichen Massenverlockungen immer wieder Ausfälle gegeben. Aber diesmal war der Schuss ins eigene Knie so gründlich, dass es, zumindest in der Vorstellung, der Trennhexe zur Wiederbelebung bedurfte.

Was tatsächlich in die Brüche ging an dem Tag, war der Glaube an unsere Beherrschung der Komplexität. Die besten Site Reliability Engineers (SREs) der Welt hatten DNS für die Facebook-Dienste geografisch multiredundant gemacht, Ausfälle ganzer Regionen nicht nur geplant, sondern praktisch geübt, lehrbuchhaft Out-of-Band-Managementnetze eingezogen und sogar ein Auditsystem gegen menschliche Fehler gebaut. Alles wahnsinnig schlau.

Bitte keine Zu-schlau-er

Zu schlau möglicherweise angesichts der menschlichen Schludrigkeit. Wer hätte denn ahnen können, dass ein fetter Finger nicht ein, sondern gleich alle Backbone-Bereiche aus dem Internet auskoppelt (danke, BGP!), weil ein anderer fetter Finger das Tool verbockt hat, das genau solche Fälle abfangen sollte. Und dass die out-of-bändische Rettung dummerweise ebenfalls von DNS abhängt, das sich höflicherweise selbst verabschiedet hat, da es meinte, nicht mehr aktuell mitreden zu können. Lediglich die Sache mit dem IoT-Schließsystem, das ebenfalls DNS braucht, hatte den Connaisseuren von Murphys Gesetz vorher schon Bauchschmerzen bereitet. Folgerichtig war der Zugang zu den Rechenzentren selbst für Befugte nicht sofort möglich.

Gefühl: ge-schlau-cht

Auch wenn hier nur sehr grob zusammengefasst: Das post mortem des peinlichen Ausfalls klingt auch in Langform so, als hätte niemand jemals auf das nun wahr gewordene Szenario kommen können. Und das ist genau das Problem.

Zwar will man nun noch mehr Übungen auf noch höheren Abstraktions- und Aggregationsebenen einführen, etwa auch ganze Backbones testweise abschießen und weitere Out-of-Breitband-, Out-of-Bandwurm- sowie Out-of-Death-Metal-Band-Rettungsleinen einführen. Und wird damit sicher das vorgefallene Szenario und noch zig weitere theoretische Katastrophen verhindern können. Der Kampf ist so aber nicht zu gewinnen.

Gesichts-Vergessenheit

Vielmehr schafft jede neue Ebene neue Komplikationen, neue Schnittstellen und Abstraktionswechsel, an denen etwas schiefgehen kann. Schon rein mathematisch ist das kombinatorische Wachstum an Soll-nicht-Bruchstellen selbst für die Riesen der Techbranche dauerhaft nicht stemmbar.

Bei den Stromnetzen haben inzwischen einige Staaten verstanden, dass wir diese „down dumben“ müssen, also absichtlich primitiver machen, wenn wir die Kontrolle behalten wollen. Noch sind WhatsApp, Instagram und Co. keine kritischen Infrastrukturen vor dem Gesetz. Das kann sich jedoch bald ändern, bestimmen sie doch das ökonomische Wohl und Teile der politischen Meinung von Milliarden von Menschen.

Das Ende der Gesichte?

Gewissermaßen ist hier die Ökonomie wieder einmal weiter als die Technik. Für „uns“ braucht es zuerst beziehungsweise immer wieder einen blutigen Ausfall, um unserer Abhängigkeiten gewahr zu werden – und eine Woche später implementieren wir wieder fröhlich „Einloggen mit Big Tech“. Die Wettbewerbshütenden vieler Länder hingegen haben bereits erkannt, dass die herkömmlichen Checks und Balances nicht mehr ausreichen, um die Techkonzerne im Rahmen des fairen, normalen Raubtierkapitalismus zu halten. Zerschlagungen stehen gar im Raum, die auch früher in der Geschichte schon spannende vielschichtige Folgen gehabt haben.

Für uns hieße das, zumindest einmal anzufangen darüber nachzudenken, ob es wirklich so sein muss, dass ein einziger Anbieter, der den Zugang zu Millionen von kleinen Unternehmungen kontrolliert, sein eigenes Kartenhaus aus BGP-über-DNS-über-DNS-… aufbaut. Bei Amazon beispielsweise schätzen ernst zu nehmende Ökonomen, dass ein mittellanger Ausfall von AWS us-east-1 eine Rezession auslösen könnte.

Und so müssen wir als Gesellschaft diese Dienste auch behandeln.

* Es war DNS, wenn auch nicht nur, nicht hauptsächlich, aber am Ende irgendwie doch mit schuld.

Diese Kolumne ist in iX 11/2021 erschienen.

(ur)