Wenn ein einziger Dienstleister ausfällt, steht das halbe Internet im Stau. Die Abhängigkeit zu Cloudflare ist gigantisch, schreibt Kolumnist Reto Vogt.
ChatGPT war diese Woche kurzzeitig nicht erreichbar. Und zwar im dümmsten Moment: Just als ich in einem Workshop ein paar Tipps und Tricks im Umgang mit der KI zeigen wollte, streikte sie. Und nicht nur sie: Ein technisches Problem bei Cloudflare riss gleich das halbe Internet mit ins Elend und sorgte dafür, dass viele Onlineangebote einen Moment lang nicht mehr funktionierten.
Cloudflare ist nur Profis ein Begriff, dabei kontrolliert die Firma einen gigantischen Teil des Webs. Sie ist so etwas wie der unsichtbare Verkehrspolizist des Internets und filtert bösartigen Verkehr raus, sorgt für Verkehrsfluss und schützt vor digitalen Rowdys. Und wenn dieser Polizist ausfällt, dann steht halt der Verkehr still.
Es ist natürlich extrem bequem, den Schutz der eigenen Website an einen externen Dienstleister auszulagern, der sie vor Angriffen und Ausfällen schützt. Das geht so lange gut, wie es Cloudflare gut geht. Ist das nicht mehr so, dann taucht plötzlich bei vielen Websites, die eigentlich nichts miteinander zu tun haben, dieselbe Fehlermeldung auf. Und legt quasi die Kundenliste von Cloudflare offen.
Verwundbar und abhängig
Das Internet wurde einst als dezentrales Netzwerk konzipiert, das gerade deshalb so robust sein sollte, weil kein einzelner Punkt es zum Einsturz bringen kann. Heute ist das Gegenteil der Fall. Eine Handvoll Konzerne kontrolliert die kritische Infrastruktur, auf der das gesamte Web ruht. Cloudflare für die Verkehrsregelung, AWS und Azure für die Server, Google für die Suche. Wenn einer von ihnen stolpert, merkt es die ganze Welt.
Theoretisch gibt es einen Ausweg: Website-Betreiberinnen und -Betreiber können Cloudflare einfach abschalten. Praktisch ist das hochriskant, weil viele Organisationen gar nicht wissen, wie verwundbar sie ohne diesen Schutzschirm sind. Ihnen ist nicht bewusst, wie viele Angriffsversuche, Bots und Scans Cloudflare im Hintergrund täglich abwehrt. Wer den Dienst während eines Ausfalls abschaltet, sieht zum ersten Mal das ungefilterte Internet und wie «nackt die eigenen Server ohne externe Schutzschicht sind», wie es der Securityspezialist Gunnar Porada auf Linkedin formuliert hat.
Wo ist der Plan B?
Diesmal erholte sich der Verkehrspolizist wieder. Zwar nicht rechtzeitig für den Abschluss meines Workshops, aber wenigstens für alle anderen. Dennoch hat die Kürze des Ausfalls gereicht, um festzustellen: Unsere wichtigsten digitalen Dienste basieren auf ganz wenigen fragilen Säulen, die jederzeit wegbrechen können. Das nächste Mal vielleicht für längere Zeit.
In meinem nächsten Workshop werde ich vorsichtshalber einen Plan B haben. Welchen weiss ich noch nicht. Screenshots? Ein anderes KI-Tool, das hoffentlich nicht auch über Cloudflare läuft? Oder eine lokal installierte KI? Das Problem ist: Einen echten Plan B gibt es meist nicht. Und solange der Verkehrspolizist seinen Dienst tut, wird sich daran auch nichts ändern.
