Microsoft: Wir haben unsere Lektion gelernt

Wer den Schaden hat, muss offensichtlich damit rechnen, dass sich Trittbrettfahrer finden: Nach den technischen Problemen durch einen Router-Konfigurationsfehler Mitte der Woche und der Denial-of-Service-Attacke (DoS) am Donnerstag war Microsoft am gestrigen Freitag erneut Opfer eines Angriffs. Die DoS-Attacke habe zu zwei Ausfällen der Webserver von Microsoft geführt, die jeweils 15 Minuten gedauert hätten, erklärte der Konzern am gestrigen späten Freitagabend.

Microsoft habe sofort alles unternommen, um den normalen Betrieb wieder aufnehmen zu können. Um 12.30 Uhr pazifischer Zeit (21.30 deutscher Zeit) habe alles wieder normal funktioniert. Der Angriff sei mit dem vom Donnerstag vergleichbar gewesen: Die DoS-Attacke zielte auf die Router im Microsoft-Netzwerk, nicht auf die Webserver selbst. Ein Zusammenhang zur Sicherheit oder Zuverlässigkeit irgendeines Microsoft-Produkts habe nicht bestanden. Es habe keine Einbruchsversuche gegeben und Kundendaten seien nicht betroffen gewesen. Die Webserver von Microsoft sowie alle anderen Internet-Dienste, die mit Microsoft-Systemen arbeiten, haben während der Attacke normal funktioniert, erklärte der Software-Konzern.

Offensichtlich aber möchten die Redmonder nach den Schwierigkeiten der letzten Tage Konsequenzen ziehen: "Microsoft anerkennt die volle Verantwortung für die Unannehmlichkeiten, die unsere Kunden in den letzten Tagen erleben mussten", betont der Konzern. Rick Devenuti, Vizepräsident bei Microsoft und Chief Information Officer, erklärte: "Durch die Erfahrungen der letzten Tage haben wir einige wichtige Lektionen gelernt." In der Vergangenheit habe sich Microsoft darauf konzentriert, die Angriffe auf Microsoft-Produkte zu verstehen und sie zu verhindern. "Wir haben unglücklicherweise keine ausreichenden Selbstverteidigungstechniken für die Nutzung von Produkten anderer Hersteller angewandt, die an der Front von Teilen unserer zentralen Netzwerk-Infrastruktur stehen."

Nach den schmerzvollen Lektionen dieser Woche habe Microsoft bereits Schritte unternommen, um die Architektur der Netzwerk-Infrastruktur zu ändern, meinte Devenuti. Damit solle die Zuverlässigkeit und Verfügbarkeit für die Kunden verbessert werden. Offensichtlich bezieht sich Devenuti damit auf die Kritik, die in den USA und in Deutschland laut wurde, dass beispielsweise die DNS-Server von Microsoft alle im selben IP-Subnetz angeschlossen sind und dadurch nicht nur durch Konfigurationsfehler, sondern auch durch Angriffe auf die zuständigen Router auszuschalten sind: "Wir werden weiter unsere Infrastruktur-Architektur und die Vorgehensweisen untersuchen, um unsere Netzwerkressourcen zu schützen."

Die Besonderheit an den beiden Attacken gegen Microsoft liegt in ihrem Angriffsziel: Statt wie bislang die Web-Server selbst, waren die Router im Microsoft-Netzwerk das Opfer. Dies führt natürlich dazu, dass die Subnetze, die über bestimmte Router angeschlossen sind, nicht mehr erreicht werden können, wenn der Router durch massenhafte unsinnige Datenpakete überlastet ist. Normalerweise stellt dies kein größeres Problem dar: Die Unerreichbarkeit eines einzelnen IP-Subnetzes kann meist nicht zu größeren Ausfällen führen, da die öffentlich verfügbaren Server nicht nur über eine Route erreichbar sind. In der Regel, bei vernünftigem Design der Netzwerk-Architektur der einzelnen Teilnehmer, ist das Internet dadurch recht resistent gegen Störungen in einzelnen Knotenpunkten. Selbst der Ausfall zentraler Leitungen oder Router führt meist nur dazu, dass der Datenverkehr sich verlangsamt, weil er über andere Routen umgeleitet werden muss – die Datenübertragung kommt aber nicht komplett zum Stillstand.

Microsoft selbst nutzt beispielsweise auch die Caching-Infrastruktur von Akamai, um eine möglichst gute Erreichbarkeit seiner Webangebote zu erzielen. Dies führte beispielsweise dazu, dass über einige Provider, etwa KPNQwest, die Microsoft-Webseiten nach dem Router-Konfigurationsfehler Mitte der Woche eine Zeit lang noch erreichbar waren, da die Anfragen zuerst direkt an Akamai weitergeleitet wurden.

Allerdings hat Microsoft offensichtlich ein Problem: Die DNS-Server, die die Anfragen auf Microsoft-URLs in die zugehörigen IP-Adressen übersetzen, liegen nach bisherigen Informationen alle in dem gleichen IP-Subnetz (207.46.138.0). Damit lassen sich die DNS-Server ausschalten, wenn der entsprechenden Router, der den Datenverkehr in das Netz leitet, nicht mehr mitspielt. Dies wirkt sich dann über kurz oder lang auch auf gecachte oder replizierte Informationen bei anderen Anbietern aus.

Warum Microsoft dies so organisiert hat, darüber gab der Konzern bislang keine Stellungnahme ab. Die meisten größeren Unternehmen nutzen mehrere DNS-Server in unterschiedlichen IP-Subnetzen: IBM beispielsweise betreibt für ibm.com vier DNS-Server in vier verschiedenen Netzen an unterschiedlichen Unternehmensstandorten; Oracle besitzt für oracle.com zwei DNS-Server in zwei verschiedenen Netzen; Sun setzt für sun.com drei DNS-Server in drei verschiedenen Subnetzen ein. Dies macht zwar einen Angriff nicht vollständig unmöglich, erschwert ihn aber zumindest stark. Microsoft selbst hat diverse öffentliche Class-C-Netze von 207.46.0.0 bis 207.46.255.0 registriert, zudem etwa auch das Class-B-Netz 131.107.0.0. Der Konzern nutzt diese aber bislang wohl nicht für die Verteilung der zentralen DNS-Server oder für Backup-DNS-Server.

Siehe dazu auch Erste Reaktionen von Microsoft auf DNS-Probleme und den Hintergrund-Bericht Microsoft, das Internet und die Namen. (jk)