Von der Katzentoilette über die Matratze bis zur kritischen Infrastruktur: Gestern nun hat #AWS den Ursachenbericht für die kurzfristige globale IT-Störung am Montag vorgelegt, der in dieser Woche die Debatte um die Abhängigkeit ganzer Industrien von der #Cloud neu entfachte: Was passiert eigentlich mit uns, wenn die Cloud auf einmal nicht mehr da ist?
In dem Untersuchungsbericht vom US-#Hyperscaler bestätigt sich technisch das, was auch nach ersten Informationen schon als Ursache kommuniziert wurde: Infolge einer #DNS-Störung konnten an die Server keine Anfragen mehr weitergeleitet werden, was erhöhte Latenzen und Ausfälle zur Folge hatte. Zwar konnte das Problem verhältnismäßig schnell behoben werden, die Auswirkungen jedoch waren sofort global spürbar. Das lag unter anderem auch daran, dass die AWS-Region „US-EAST-1“ von der Störung betroffen gewesen ist – das ist quasi nicht nur das Epizentrum des gesamten AWS-Netzwerks, sondern auch der größte Standort mit der höchsten Dichte an Rechenzentren und Kontroll- und Steuerungsebenen.
Im Vergleich zu seinen Hauptkonkurrenten Microsoft Azure und Google Cloud betreibt AWS aktuell über 200 Services und sichert sich damit einen globalen Marktanteil von über 30% – und damit ergeben sich zwangsläufig auch Abhängigkeiten vor allem in der Bereitstellung von Infrastructure-as-a-Service (#IaaS). Und genau das ist besonders fatal, denn zahllose Unternehmen nutzen zur Bereitstellung ihrer eigenen digitalen Produkte und Dienste die Cloud und damit das Rechenzentrum eines anderen – ohne dass dies nach außen hin erkennbar wäre.
Wo der Vorfall in dieser Woche somit eindrucksvoll verdeutlicht hat, dass die Cloud vielleicht doch nicht nur irgendwo aus einer ominösen „Datenwolke“ kommt, sondern trotz ihrer globalen Ausdehnung immer noch physisch und lokal zu verorten und damit ganz definitiv auch anfällig für Störungen sein kann, müssen wir realisieren, dass wir vielleicht längst die Kontrolle über unsere digitale Lieferkette verloren haben, indem sich die vielzitierten „Klumpenrisiken“ in der IT-Sicherheit zunehmend manifestieren und damit ganze IT-Ökosysteme infolge der Betroffenheit eines einzelnen Anbieters ausfallen können.
Doch trotz dieser Erkenntnis dürfte eines klar sein: Aus der Cloud kommen wir weder kurz- noch mittelfristig heraus, denn der Weg in diese Richtung wird schon seit mittlerweile über 15 Jahren gezielt eingeschlagen – und ein Richtungswechsel dürfte trotz der Abhängigkeiten unter vielen IT-Beschaffern auch gar nicht gewollt sein, genauso wenig wie bei Produktanbietern, die mit Software-as-a-Service (SaaS) in den vergangenen Jahren ein hochlukratives Geschäftsmodell errichtet haben.
Deshalb dürfte es umso wichtiger sein, im Sinne der Verfügbarkeit von Daten als Schutzziel der #Cybersecurity dafür Sorge zu tragen, dass sowohl Cloud-Nutzer wie auch Cloud-Anbieter mehr Transparenz über die technischen Grundlagen ihrer Produkte herstellen, damit Risiken in der digitalen Lieferkette rechtzeitig erkannt und Redundanzen sowie Notfallpläne für den Worst Case vorbereitet werden können. Alles andere wäre nicht nur fahrlässig, sondern ein mehr und mehr unkalkulierbares und damit letzten Endes untragbares Risiko für die Cybersicherheit.
Zum Thema habe ich heute Mittag in der Sendung Deutschlandfunk Breitband meine Einschätzung eingebracht: https://www.deutschlandfunkkultur.de/amazon-cloud-stoerung-wie-abhaengig-sind-wir-von-us-cloud-diensten-100.html
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen