Zwei Ereignisse innerhalb einer kurzen Zeitspanne, die plötzlich daran erinnern, wie groß die Abhängigkeit vom Internet inzwischen ist: der Ausfall bei Cloudflare am Dienstag und nun die Meldung, Wiener Wissenschaftler hätten bei WhatsApp die Daten von 3,5 Milliarden Nutzern abgreifen können.
Cloudflare ist ein Dienstleister, der sich zwischen die Internetseiten seiner Kunden und deren Nutzer stellt und dadurch zum einen einen gewissen Schutz vor digitalen Angriffen bietet und zum anderen die Seite beschleunigt. Damit das funktioniert, wird der Eintrag beim Nameserver geändert, wodurch dann jede Abfrage nicht auf dem Original-Server landet, sondern auf dem des nächstgelegenen Cloudflare-Servers.
Am Dienstag nun waren diese Server über mehrere Stunden außer Funktion, und eine Reihe großer Webseiten und Internetdienste war daraufhin nicht erreichbar; stattdessen gab es nur eine Fehlermeldung. Betroffen waren unter anderem X und Ikea, aber in Deutschland beispielsweise auch die Nachdenkseiten. Die Firma hat mittlerweile erklärt, wodurch dieser Ausfall entstand.
Es war ein Fehler in Schreibrechten in einem Datenbanksystem, wodurch eine einzelne Datei, die helfen soll, Bot-Angriffe zu erkennen, doppelt so groß wurde. Damit wurde sie größer, als es in der Software vorgesehen war, wodurch diese dann abstürzte.
Nach etwa zwei Stunden hatte Cloudflare den Auslöser identifiziert, aber erst gegen 18 Uhr abends hatte sich der Verkehr wieder normalisiert. Insgesamt dauerte die Wiederherstellung also etwas mehr als sechs Stunden.
Das Problem, das durch diesen Vorfall sichtbar wird, ist, dass das Internet den Vorteil, den seine Struktur einmal geboten hat, schrittweise durch Monopolisierungen verliert. Als das Internet entwickelt wurde, sollte es aus einem Netz gleichrangiger Rechner bestehen, die einer den anderen jederzeit ersetzen können – es handelte sich ursprünglich um eine militärische Entwicklung, deren Ziel es war, selbst im Falle eines Atomschlags eine funktionierende Kommunikation aufrechterhalten zu können. Der entscheidende Vorteil war, dass eine Verbindung zwischen Rechner A und Rechner B über beliebig viele verschiedene Wege laufen konnte und damit fast unzerstörbar wurde.
Wenn einzelne große Servergruppen (und Clouds sind nichts als große Serverfarmen) überproportionale Anteile des gesamten Verkehrs bündeln, dann erzeugt das eine neue Verwundbarkeit, wie man am Montag erleben konnte und wie auch schon beim Ausfall des Amazon-Cloudservers im Oktober zu erleben war. Bisher waren die verwundbarsten Punkte des Internets die Knoten der großen Überseeverbindung und die zugehörigen Unterseekabel; die beiden Vorfälle bei Amazon und jetzt bei Cloudflare machen aber sichtbar, dass inzwischen ganz neue hinzugetreten sind.
Ein ganz anderes Problem zeigte sich bei einem Experiment einiger Forscher der Universität Wien. Die konnten sich die Daten für 3,5 Milliarden Nutzerkonten bei WhatsApp herunterladen. Ein Teil dieser Forschergruppe hatte bereits im Jahr zuvor Sicherheitslücken bei der zu Meta gehörenden Anwendung entdeckt und auch an die Firma gemeldet; außer einer Empfangsbestätigung folgte darauf aber nichts.
Die Daten, die allein für Nordamerika 3,8 Terabyte umfassen, beinhalteten auch Profilbilder der Nutzer sowie jene persönlichen Daten, die diese in ihr Profil eingegeben haben. Sie ließen sich geografisch zuordnen, und es ließ sich erkennen, wie viele Geräte zu diesem Konto registriert sind. Der Zugang zu diesen Daten: eine automatische Abfrage, ob zu einer Telefonnummer ein Konto vorhanden ist.
Die Forscher haben ihre Ergebnisse veröffentlicht. Ein Teil der Probleme soll Meta laut einer Meldung von Heise inzwischen gelöst haben: "Dem massenhaften Abgleich von Telefonnummern versucht Meta seit Kurzem durch den Einsatz von Machine Learning sowie ein lebenslanges Limit der maximalen durch ein WhatsApp-Konto getätigten Abfragen zu begegnen."
Was aber bleibt, ist die Erinnerung daran, wie unsicher viele im Netz kursierende persönliche Daten sind, selbst wenn sie nicht über die Tische von Datenhändlern wandern.
Mehr zum Thema – Oberlandesgericht Köln erlaubt Meta die Nutzung von privaten Kundendaten für "KI-Training"