[English]Am 30. Juli 2024 kam es weltweit zu einem partiellen Ausfall der Microsoft Cloud-Dienste (Azure, Microsoft 365 etc.). Ich hatte berichtet – aber nicht alle Nutzer waren betroffen. Nun hat Microsoft einen Post Incident-Report vorgelegt und erste Ursachen benannt. Auslöser der Probleme war ein DDoS-Angriff, der zu einer Überlastung führte. Ein Bug in den Routinen zur Abwehr solcher Fälle verstärkte dann die Folgen des Angriffs. Ergänzung: Eine politisch im Nahost-Konflikt ausgerichtete Hackergruppe reklamiert den Angriff für sich.
Anzeige
Probleme mit der Microsoft Cloud
Ich hatte im Beitrag Microsoft Entra / MS 365 down (30.7.2024) über Leistungsprobleme bei Microsofts Cloud-Diensten berichtet. Ein Leser informierte mich zum 30. 7. 2024 gegen 14:29 Uhr, dass Microsoft Entra seit 2 Stunden nicht mehr erreichbar sei. Betroffene berichteten, dass die Microsoft 365-Dienste nicht mehr erreichbar seien oder arg zäh reagierten. Aber es waren nicht alle Nutzer unter der Leserschaft betroffen.
Während einige Leser keine Probleme feststellen konnten, meldete Fred ein Login-in die Administratorkonsole mit Verzögerungen von 15 Minuten. Mein Versuch, die Statusseiten von Azure aufzurufen, wurde mit "Our services aren't available right now" abgewiesen. Ein Leser berichtete hier von Problemen im Microsoft Defender; der Aufruf von Assets – Devices dauerte ewig und schlug dann mit dem Hinweis "no data available" fehl. Probleme bereiteten auch abhängige Lösungen on Drittanbietern, wie Rolf hier anmerkt. Er konnte Lexware nicht mehr nutzen, weil das Produkt wohl von den Microsoft Cloud-Diensten abhängt.
DDoS-Angriff und ein Bug als Ursache
Ich hatte die Nacht bereits im Beitrag Microsoft Entra / MS 365 down (30.7.2024) den Hinweis von Microsoft im Azure Statusverlauf ergänzt. Interessant sind die Ursachen, auf die Sascha hier ebenfalls hingewiesen hat:
- Eine unerwartete Nutzungsspitze führte dazu, dass die Komponenten von Azure Front Door (AFD) und Azure Content Delivery Network (CDN) unterhalb akzeptabler Schwellenwerte arbeiteten, was zu intermittierenden Fehlern, Timeout- und Latenzspitzen führte.
- Ursache für die Lastspitze war ein DDoS-Angriff (Distributed Denial-of-Service), der Microsofts DDoS-Schutzmechanismen aktivierte. Wäre eigentlich kein Problem, dazu sind die Schutzmechanismen ja da.
- Erste Untersuchungen Microsofts deuten jedoch darauf hin, dass ein Fehler in der Implementierung der DDoS-Abwehrmaßnahmen die Auswirkungen des Angriffs verstärkte, anstatt sie zu mildern.
Kann man mit "erst kein Glück und dann kam auch noch Pech hinzu" umschreiben. Vor DDoS-Angriffen ist kein Unternehmen gefeit und Microsoft erlebte in der Vergangenheit viele solcher Angriffe. Die DDoS-Angriffe von Anonymous Sudan brachten die Microsoft Cloud schon mal an ihre Grenzen (siehe Links am Artikelende).
Anzeige
Ergänzung: Gemäß diesem Tweet übernimmt eine politisch handelnde Gruppe mit Namen SN_Darkmeta die Verantwortung für den DDoS-Angriff. Ob das stimmig ist, kann ich nicht beurteilen. In diesem Tweet werden Screenshots des laufenden Angriffs auf Azure gezeigt.
Die Folgen der Cloud
Schau ich mir die Rückmeldungen aus der Leserschaft an, reichen die Reaktionen von "nix ging mehr" bis "keine Beeinträchtigungen feststellbar". Wonach sich diese Erfahrungen richten, kann ich nicht erklären. Besonderer Voodoo von Administratoren, die sich schon mal zu Kommentaren der Art "was mache ich falsch, dass ich nicht betroffen bin" hinreißen lassen, scheint nach meinem Dafürhalten nicht im Spiel zu sein.
Betroffenen hilft es halt auch nix, wenn x Leute hier im Blog mit "kann keine Probleme feststellen" kommentieren. Glücklicherweise bin ich ja nur Beobachter und Berichterstatter. Aber IT-Entscheider müsste sich langsam die Frage stellen, ob die Entscheidungen pro Cloud immer so klug waren. Bestimmte Funktionen wird man ohne Cloud nicht realisieren können – aber das dumpfe "wir verlagern alles in die Microsoft Cloud" birgt halt Risiken. Die Versprechungen des Marketings "es wird alles einfacher und günstiger" haben sich – zumindest in meinen Augen – als (erwartbar) haltlos erwiesen.
Und mir geht noch ein Gedanke durch den Kopf – der aber möglicherweise dem "Fokus-Effekt" geschuldet ist. Suche ich im Internet und hier im Blog nach AWS- oder Google Cloud-Ausfällen, ist das weitgehend eine Fehlstelle. Wenn es Ärger gibt, ist i.d.R. die Microsofts Cloud betroffen. Gibt zwar Leser, die diese Berichterstattung zu Microsoft-Problemen mokieren. Aber ich schätze mal, Microsofts Strategen sind halt Opfer des eigenen Erfolgs geworden. Da ich nicht der verlängerte Marketing-Arm Microsofts bin, der erzählen muss, wie toll das mit der Cloud doch sei, werde ich auch weiterhin über solche Opsies berichten.
Ähnliche Artikel:
Exchange Online-Störung (5. Juni 2023) – Werk russischer Hacker?
Outlook.com und OneDrive down – Folge von Cyberangriffen? (8. Juni 2023)
Microsoft Azure-Ausfall (9. Juni 2023); was ist da los?
Microsoft 365-Portal erneut mit Schluckauf (14.6.2023)
Cloud-Ausfälle: Microsoft verrät Details zum DDoS-Angriff durch Anonymous Sudan/Storm-1359
Doch DDoS-Angriff auf MS-Cloud (5.–14. Juni 2023) für Ausfälle verantwortlich
Anonymous Sudan: Microsoft bestreitet Datenleck von 30 Millionen Kundenkonten
Anzeige
Es gibt garnichts ohne Risiko, egal was man macht. Und Beiträge, die zeigen, dass es kein Totalausfall für alle Leser war, zeigen, dass die Lage manchmal einfach überdramatisiert wird, gerade in den Texten des lokalen Hausmeisters hier, der vor lauter Bäumen oftmals den Wald nicht sieht. Klar, ein Ausfall ist immer schlimm für die Betroffenen, aber das wäre genauso schlimm, wenn das lokale Netz wegen DDOS / Defekt / Fehlkonfiguration / … ausfällt, ohne dass man irgendwelche Cloudfunktionen nutzt.
Naja wenn ich geDDOSed werde ist meine Firma betroffen und sonst niemand… macht schon nen Unterschied! Bringt endlich auch für Software volle Produkthaftung! Dann erledigt sich das ganz schnell wenn MS von ihren 22 Mrd. Gewinn 18 Mrd als Schadenersatz auszahlen darf. (natürlich jede ander Softwarebutze die meint auf Qualitätssicherung zu scheißen ebenso)
Bin auch in 99% der Fälle nicht betroffen, aber das liegt daran das ich Cloud vermeide und meine Systeme im Griff habe!
Richtig 100% Sicherheit gibt es nicht aber Cloud ist 50:50 Glücksspiel. Darauf verzichte ich gerne.
Ich nutze auch MS einfach weils ned ohne geht, sehe das aber als notwendiges Übel und muss mir das nicht noch schönreden!
> "weils ned ohne geht"
Das ist mir zu einfach. Wieso sollte s ohne nicht gehen? Alle Dienste, welche M$ zur verfügung stellt sind auch ohne M$ in der einen oder anderen Art verfügbar. Schließlich muß man auch nicht jden Muckenschiß haben. Grundsätzlich geht es auch ohne, aber eben auf eine andere Art und Weise. Und ebenso grundsätzlich benötigt es jede menge Wissen eine IT Umgebung aufzusetzen und zu betreiben. Das wird bei M$ gerne unterschlagen, denn jder Heimnutzer von Windows ist schließlich M$ Experte. Dazu kommen noch jede menge dahergelaufende Dienstleister mit nutzlosen Zertifikaten.
Es sind dann aber erhebliche Klimmzüge notwendig, um das eine oder andere funktional zu ersetzen.
Problem sind immer irgendwelche Kunden, die Zwischen- und Endergebnisse nicht nur zu bestimmten Zeiten sondern auch in fest vorgegebenen Formaten erhalten wollen. Wenn die zugehörigen Programme nur unter Windows lauffähig sind, bleibt einem keine andere Wahl, außer natürlich den Kunden zu meiden, was je nach Branche schwierig bis unmöglich ist, ohne in die Insolvenz zu gehen.
Da kommen durchaus mal Wünsche wie "Setzen Sie ein Meeting an" mit der Zusatzbemerkung "wir können und dürfen nur Teams (App!)". Richtig eklig wird es dann, wenn andere am Meeting beteiligte einwenden "wir können und dürfen nur Zoom (App!). Für den einen oder anderen wird es dann schon schwer, dem Meeting in $Browser beizutreten, weil deren IT das einfach und strikt nicht will.
IT insgesamt ist schon irgendwie schräg geworden, aber die Windowswelt ist nochmal ein ganz besonderes Irrenhaus.
es ist einfach: wenn es die Software die man unbedingt braucht nur unter Windows gibt, dann ist das eben so… ist halt in der Realen Welt nicht so das es alles unter Linux gibt. Wäre schön wenn es anders wäre, ist es aber nicht und daher ist hier weiterhin MS angesagt. Und wenn der Kunde MS Office & Co. verlangt dann ist das so, der Kunde zahlt nämlich meine Brötchen und bestimmt damit auch was er möchte und kriegt… da ist nichts schwer dran!
Wenn das Netz zugedosst wird, hängt es natürlich davon ab, was gedosst wurde und auf welchem Weg man zu den Systemen kommt.
Das wiederum hängt davon ab, welchen Provider man hat und wie der die Daten über den Teich bringt.
Das lässt mich gleich fragen:
Microsoft bietet doch europäische Server an.
Dann müssen die Daten doch gar nicht über den Teich.
Dann müsste der dDos auch gegen europäische MS Infrastruktur gefahren worden sein, oder?
Oder die europäischen IP-Adressen sind nur virtuell, damit es für naive Kunden so aussieht, als sei alles DSGV konform (was es ja auf dem Papier und Traveroute ist. Aber für Netzbetreiber wird MSN ist Routing auf IP ebene viel zu langsam. Das geht alles per MP(?)…
Kann wer erklären, warum die MS Dienste in Europa zusammen brechen, wenn Systeme in den USA gedosst werden?
Die MS cloud. Ein Buch mit 7 Siegeln?
Bei uns war wohl keiner unserer Kunden betroffen und die liegen alle in der "EU", bzw. "Deutschen"-Cloud.
Ich hatte vor einer "Weile" (ca. 1 – 3 Jahre?) einen Artikel gelesen, der u.a. Geschäftsberichte von MS, AWS und Alphabet auswertete, und diese durch Netzanalyse von IT-Sicherheitsexperten, mit Schwerpunkt auf Cloud-Infrastrukturen ergänzte. Der brachte ganz gut auf den Punkt, dass die großen Dienstleister allesamt sehr große Server-Kapazitäten für ihre Cloud-Dienste in den verschiedenen Regionen der Welt betreiben.
(Wenn ich den Artikel wiederfinde, trage ich den nach)
Wenn ich mich richtig erinnere, stehen speziell in Europa, mit Schwerpunkt auf Deutschland, Niederlande, Frankreich, und zunehmen Skandinavien dabei sehr große Kapazitäten, da von hier aus auch Balkan, Nahost, sowie Nordafrika mitversorgt wird, und weil Europa mit der größte Binnenmarkt und Kunde, u.a. Deutschland ist.
Die Tennents von den Meisten europäischen Kunden dürften also auf der europäischen Infrastruktur liegen, da dies auch massiv Kosten spart. – Die Telemetrie-Daten kann man ja weiterleiten….
Dass die Cloud-Systeme (Front- und Backend) ganz ordentlich segmentiert sind, sollte eigentlich auch nichts Neues sein, zumindest wenn man hier die Kommentare und auch in anderen Blogs liest, wodurch sich auch erklären lässt, dass einige Kunden betroffen sind und andere nicht.
Vor allem gibt es wohl eine Segmentierung von Clustern in Front- und Backend-Bereichen, sowie dazugehörige Netze, öffentlichen Netzen und sicherlich auch im internen Netz.
Und je nachdem welche Netz-Ressourcen jetzt durch die DDOS-Attacke involviert waren, sind natürlich auch nur bestimmte Netzsegmente betroffen und je nach Pech / Glück werden auch nur bestimmte Quell-Netze der Attacke zugeordnet und blockiert, wodurch dann auch nur Kunden aus bestimmten Quellnetzen ausgeschlossen sind, deren Routing sie jetzt gegen die Wand laufen lässt.
Als jmd. der mit verschiedenen VPN-Lösungen experimentiert, ist mir auch schon ein paar mal passiert, dass ich der einzige war, der noch auf bestimmte Kundensystem drauf kam, da vom Endpunkt des VPN über ein nicht gestörtes Netz zum Kunden weiter geroutet werden konnte.
Wenn ich mal MS-Dienste trace bim ich sehr schnell im MSN und lande in Amsterdam oder Paris oder einer anderen großen west europäischen (EU) Stadt.
Da vermutete ich bisher große Rechenzentren von MS…
aber wie gesagt, das was mein Traveroute zeigt wird virtuell sein.
Wir hatten keine Probleme, dann war der impact wohl eher punktuell, falls überhaupt vorhanden.