Das Cloudflare-Netzwerk erstreckt sich über mehr als 310 Städte in gut 120 Ländern und umfasst Verbindungen zu mehr als 13.000 Netzwerkanbietern, um Millionen von Kunden eine breite Palette von Diensten anbieten zu können. Die Größe unseres Netzwerks und unseres Kundenstamms verschafft uns eine einzigartige Perspektive hinsichtlich der Ausfallsicherheit des Internets und ermöglicht es uns, die Folgen von Internetstörungen zu beobachten. Dank der kürzlich veröffentlichten Cloudflare Radar-Funktionalität haben wir in diesem Quartal damit begonnen, die Auswirkungen aus Sicht des Routing sowie des Datenverkehrs sowohl auf Netzwerk- als auch auf Standortebene zu untersuchen.
Das erste Quartal 2024 begann mit einer Reihe von Internetstörungen. Schäden an terrestrischen und Unterseekabeln verursachten an mehreren Stellen Probleme, während Militäraktionen im Zusammenhang mit laufenden geopolitischen Konflikten die Konnektivität in anderen Gebieten beeinträchtigten. Die Regierungen mehrerer afrikanischer Länder sowie Pakistans haben Internetsperren angeordnet und sich dabei stark auf die mobile Konnektivität konzentriert. Böswillige Akteure, bekannt als Anonymous Sudan, bekannten sich zu Cyberangriffen, die die Internetkonnektivität in Israel und Bahrain unterbrachen. Wartungsarbeiten und Stromausfälle zwangen die Nutzer, offline zu gehen, was zu einem merklichen Rückgang des Traffics führte. Und es kam zu einer ungewöhnlichen Wendung: RPKI-, DNS und DNSSEC- Probleme gehörten zu den technischen Problemen, die Verbindungen von Nutzern bei mehreren Netzwerkanbietern unterbrachen.
Wie wir bereits in der Vergangenheit angemerkt haben, soll dieser Beitrag einen zusammenfassenden Überblick über die beobachteten Störungen geben. Es handelt sich nicht um eine erschöpfende oder vollständige Auflistung der im Laufe des Quartals aufgetretenen Probleme.
Kabelausfälle
Moov Africa Tchad
Berichte über Schäden an Glasfaserkabeln, die am 10. Januar in Kamerun aufgetreten sind, haben die Konnektivität für Kunden von AS327802 (Moov Africa Tchad / Millicom), einem Telekommunkationsanbieter im Tschad, unterbrochen. In einem (übersetzten) Facebook-Post von Moov Africa Tchad heißt es dazu „Am Nachmittag des 10. Januar 2024 kam es zu einem Ausfall des Internets aufgrund einer Unterbrechung der Glasfaser, die aus Kamerun kommt und über die der Tschad Zugang zum Internet hat, da die aus dem Sudan kommende Glasfaser zeitweilig nicht verfügbar war.“ Es ist unklar, ob der erwähnte Kabelbruch in Kamerun oder im Tschad aufgetreten ist, und das erwähnte Kabelproblem im Sudan könnte jenes Problem sein, das in unserem zusammenfassenden Beitrag für das Q4 2023 behandelt wird. Als Binnenland ist der Tschad auf Internet zu/durch die Nachbarländer angewiesen, und die AfTerFibre-Kabelkarte zeigt die Abhängigkeit des Tschad von begrenzten Kabelpfaden durch Kamerun und Sudan.
Die nachstehenden Grafiken zeigen, dass der Moov Africa Tchad-Traffic am 10. Januar ab Mittag (UTC) für mehr als 12 Stunden unterbrochen war, und die Störung auch auf Länderebene sichtbar war. Die Unterbrechung der Glasfaserkabel führte auch aus der Routing-Perspektive zu erheblichen Schwankungen, da sich das Volumen des angekündigten IPv4-Adressraums auf Netzwerk- und Länderebene während der Störung häufig verschob.
Eine zweite weniger schwerwiegende Störung wurde ebenfalls am Morgen (UTC) des 11. Januar beobachtet. Diese Unterbrechung war Berichten zufolge auf einen angeblichen Cyberangriff von Anonymous Sudan zurückzuführen, der sich gegen AS328594 (SudaChad Telecom) richtete, einen vorgelagerten Provider für Moov Africa Thcad.
Orange Burkina Faso
Am 15. Februar wurde bei AS37577 (Orange Burkina Faso) eine kurze (~30 Minuten), aber vollständige erhebliche Internetstörung beobachtet. Laut der Übersetzung eines Kommuniqués, das der Anbieter in den sozialen Medien veröffentlicht hat, „ist der Vorfall auf eine Glasfaserunterbrechung zurückzuführen, die eine Störung der Internetdienste für bestimmte Kunden verursacht.“ Orange gab nicht an, ob es sich um eine lokalisierte Glasfaserunterbrechung handelte oder um einen Schaden an einer der terrestrischen Glasfasern, die das Land durchqueren. Durch den Vorfall war das Netzwerk vollständig offline, da die Menge an angekündigtem IPv4-Adressraum für die gesamte Dauer des Vorfalls auf null sank.
MTN Nigeria
MTN Nigeria wandte sich am 28. Februar an die sozialen Medien, um seine Kunden darüber zu informieren, dass „Sie aufgrund eines größeren Serviceausfalls, der durch mehrere Unterbrechungen der Glasfaserkabel verursacht wurde und Sprach- und Datendienste beeinträchtigt hat, Probleme bei der Verbindung mit dem Netzwerk hatten.“ In einem veröffentlichten Bericht wurden die Auswirkungen beschrieben: „Millionen von Kunden im ganzen Land waren von dem stundenlangen Ausfall betroffen, insbesondere in Lagos.“ Die Verbindung wurde zwischen 13:30‑20:30 Uhr Ortszeit (12:30‑19:30 Uhr UTC) für etwa sieben Stunden unterbrochen, und der Anbieter veröffentlichte kurz vor Mitternacht Ortszeit eine nachfolgende Mitteilung, in der er mitteilte, dass der Dienst vollständig wiederhergestellt worden sei.
Digicel Haiti
Eine 16-stündige Internetstörung am 2. und 3. März bei AS27653 (Digicel Haiti) war auf eine doppelte Unterbrechung der Glasfaserkabel infolge von Gewalttätigkeiten im Zusammenhang mit dem versuchten Sturz von Premierminister Ariel Henry zurückzuführen. Ab etwa 22:00 Uhr Ortszeit am 2. März (03:00 Uhr am 3. März) kam es zu einem etwa neunstündigen Totalausfall. Der Datenverkehr erholte sich für etwa zweieinhalb Stunden, gefolgt von drei Stunden nahezu kompletter Unterbrechung. Digicel Haiti verschwand während des neunstündigen Ausfalls faktisch aus dem Internet, da während dieser Zeit kein IPv4- oder IPv6-Adressraum vom Netzwerk angekündigt wurde.
SKY (Philippinen)
Eine kurze Traffic-Störung, die am 18. März auf AS23944 (SKY) auf den Philippinen beobachtet wurde, stand wahrscheinlich im Zusammenhang mit einer Glasfaserunterbrechung. In einer Mitteilung, die SKY in den sozialen Medien veröffentlichte, hieß es: „SKY-Dienste in mehreren Gebieten in Marikina, Pasig und Quezon City sind derzeit von einem Glasfaserproblem betroffen”, wobei 45 betroffene Gebiete aufgelistet wurden. Der Traffic war zwischen 20:00‑21:00 Uhr Ortszeit (12:00‑13:00 Uhr UTC) am stärksten beeinträchtigt, obwohl die vollständige Wiederherstellung noch mehrere Stunden dauerte. Es wurden nur geringfügige Auswirkungen auf das Routing aufgrund der Glasfaserunterbrechung verzeichnet.
Mehrere afrikanische Länder
Am 14. März haben Schäden an mehreren Unterseekabeln vor der Westküste Afrikas die Internetverbindung in mehreren Ländern des westlichen und südlichen Afrikas beeinträchtigt. Der Schaden wurde Berichten zufolge durch Steinschlag unter Wasser verursacht und führte nicht nur zu einer Unterbrechung der Internetverbindung, sondern auch zu Problemen bei der Verfügbarkeit der Cloud-Dienste Microsoft Azure und Office 365.
Die Kabel Africa Coast to Europe (ACE), Submarine Atlantic 3/West Africa Submarine Cable (SAT-3/WASC), West Africa Cable System (WACS) und MainOne wurden alle beschädigt und trafen 13 afrikanische Länder, darunter Benin, Burkina Faso, Kamerun, Elfenbeinküste, Gambia, Ghana, Guinea, Liberia, Namibia, Niger, Nigeria, Südafrika und Togo.
Vergleichsweise kurze Störungen wurden in Niger, Guinea und Gambia beobachtet, die zwischen weniger als einer Stunde und etwa zwei Stunden dauerten.
In Ländern wie Togo, Liberia und Ghana erstreckten sich die Unterbrechungen jedoch über mehrere Tage, und es dauerte mehrere Wochen, bis der Traffic wieder die zuvor beobachteten Spitzenwerte erreichte.
Betreiber in den betroffenen Ländern versuchten, die Verfügbarkeit aufrechtzuerhalten, indem sie den Traffic auf das Equiano-Unterseekabel von Google verlagerten (das Berichten zufolge einen 4-fachen Anstieg des Traffics verzeichnete) und das Unterseekabel von Maroc Telecom West Africa in Marokko verlagerten. Der Dienst auf dem SAT-3-Kabel wurde am 6. April vollständig wiederhergestellt, die Reparaturen an ACE wurden am 17. April abgeschlossen, die Reparaturen an WACS und MainOne werden voraussichtlich bis zum 28. April abgeschlossen sein.
Weitere Details und Beobachtungen finden Sie in unserem Blogbeitrag „Undersea cable failures cause Internet disruptions for multiple African countries“.
Rotes Meer
Am 24. Februar wurden drei Unterseekabel, die durch das Rote Meer verlaufen, beschädigt: das Seacom/Tata-Kabel, das Asia Africa Europe-1-Kabel (AAE-1) und das Europe India Gateway-Kabel (EIG). Es wird vermutet, dass die Kabel vom Anker des Frachtschiffs Rubymar, einem Frachtschiff, das am 18. Februar durch eine ballistische Rakete beschädigt wurde, durchtrennt wurden. Zum Zeitpunkt der Unterbrechung hat Seacom die Beschädigung ihres Kabels bestätigt, während die Eigentümer der beiden anderen Kabel keine ähnlichen Bestätigungen veröffentlicht haben.
Obwohl die Kabelschäden Berichten zufolge Länder in Ostafrika betrafen, darunter Tansania, Kenia, Uganda, und Mosambik, wurden in Cloudflare Radar für diese Länder keine Traffic-Ausfälle festgestellt.
Militäroperationen
Sudan
Am 2. Februar beobachtete Cloudflare einen Traffic-Rückgang bei AS15706 (Sudatel) und AS36972 (MTN Sudan), wobei ein ähnlicher Verlust am 7. Februar bei AS36998 (Zain Sudan / SDN Mobitel) auftrat. Die Unterbrechung bei MTN Sudan geht einher mit einem Social Media-Beitrag des Anbieters, in dem es heißt (übersetzt) „Wir bedauern die Unterbrechung aller Dienste aufgrund von Umständen, die außerhalb unserer Kontrolle liegen. Wir entschuldigen uns für die Unannehmlichkeiten, die durch diese Unterbrechung entstanden sind, versichern Ihnen aber, dass wir uns bemühen, den Dienst so schnell wie möglich wiederherzustellen, und dass Sie über die Wiederherstellung des Dienstes informiert werden.“ Am 5. Februar, einige Tage nach Beginn des Ausfalls, veröffentlichte Zain Sudan einen Social Media-Beitrag, in dem es hieß (übersetzt) „Zain Sudan ist ständig bemüht, die Kommunikation und den Internetdienst für seine geschätzten Abonnenten aufrechtzuerhalten, Wir möchten darauf hinweisen, dass der derzeitige Netzausfall auf Umstände zurückzuführen ist, die sich unserer Kontrolle entziehen. Wir hoffen, dass die Sicherheit überwiegt und der Dienst so bald wie möglich wiederhergestellt wird.” Sudatel hat keine Informationen über den Status seines Netzes mitgeteilt. Digital Rights Lab – Sudan postete am 4. Februar in den sozialen Medien: „Unsere Quellen haben bestätigt, dass @RSFSudan-Kräfte die Datenzentren von ISPs in Khartum, #Sudan, unter ihre Kontrolle gebracht haben.” Es ist wahrscheinlich, dass die bei diesen Anbietern beobachteten Internetausfälle mit diesen Übernahmen zusammenhängen, die Teil des militärischen Konflikts sind, der seit dem 15. April 2023 im Land herrscht.
Die Unterbrechungen in diesen Netzen waren von unterschiedlicher Dauer. Bei Sudatel begann der Traffic am 11. Februar wieder zu fließen. Bei Zain Sudan funktionierte der Datenverkehr seit dem 3. März wieder. Dies wurde durch einen Social Media-Beitrag bestätigt, in dem es hieß (übersetzt) „Das Zain-Netz funktioniert allmählich wieder und ermöglicht seinen Abonnenten für eine begrenzte Zeit kostenlose Kommunikation. Zain verspricht, weiter an der Wiederherstellung des Netzes in den übrigen Staaten zu arbeiten.” Der Traffic war bei MTN Sudan bis zum Ende des ersten Quartals noch nicht wiederhergestellt.
Ukraine
Im Februar hat sich der Ausbruch des Ukraine-Russland-Krieges zum zweiten Mal gejährt. In dieser Zeit haben wir über eine Reihe von Internetausfällen in der Ukraine berichtet, die durch konfliktbedingte Angriffe verursacht wurden. Am 22. Februar beschädigten russische Luftangriffe auf kritische Infrastrukturen in der Ukraine Luftangriffe auf kritische Infrastrukturen in der Ukraine Energieanlagen im ganzen Land, was zu weitreichenden Stromausfällen führte. Diese Stromausfälle verursachten Internetstörungen in mehreren Regionen der Ukraine, darunter Charkiw, Saporischschja, Odessa, das Gebiet Dnipropetrowsk und das Gebiet Chmelnyzkyj. Der Traffic ging zunächst gegen 05:00 Uhr Ortszeit (03:00 Uhr UTC) zurück, in Charkiw sogar um 68 %. In allen Regionen war das Traffic-Aufkommen jedoch mehrere Tage lang geringer als in der Vorwoche.
Gazastreifen
In unserem Blog-Beitrag mit der Zusammenfassung der Internetstörungen im vierten Quartal 2023 haben wir darauf hingewiesen, dass Paltel (Palestine Telecommunications Company) im Oktober, November und Dezember mehrere Social Media-Beiträge zu Störungen bei seinen Festnetz-, Mobilfunk- und Internetdiensten veröffentlicht hat. Im ersten Quartal 2024 wurden ähnliche Ausfälle am 12. Januar, 22. Januar und 5. März beobachtet. Paltel führt diese Ausfälle auf die anhaltenden Aggressionen im Zusammenhang mit dem Krieg mit Israel zurück.
Die damit verbundenen Ausfälle während des Quartals variierten in ihrer Länge, von wenigen Stunden bis zu über einer Woche. Jeder Ausfall ist in den folgenden Grafiken dargestellt, die den Paltel-Traffic innerhalb von vier palästinensischen Verwaltungsbezirken in der Region Gaza-Streifen zeigen. Während es im Verwaltungsbezirk Gaza offenbar zu einer Unterbrechung des Traffic kam, da die Verbindungen weiterhin verfügbar waren, kam es in den Verwaltungsbezirken Khan Yunis, Rafah und Deir al-Balah zu vollständigen Ausfällen.
12.‑19. Januar
 |
 |
 |
 |
22.‑24. Januar
 |
 |
 |
 |
5. März
 |
 |
 |
 |
Cyberangriffe
Neben dem bereits erwähnten Cyberangriff, der die Konnektivität für AS327802 (Moov Africa Tchad / Millicom) am 11. Januar beeinträchtigte, wurden im ersten Quartal mehrere andere beobachtete Internetstörungen durch Cyberangriffe verursacht.
HotNet Internet Services (Israel)
Anonymous Sudan hat Berichten zufolge einen Angriff auf AS12849 (HotNet Internet Services) gestartet, einen großen israelischen Telekommunikationsanbieter. Der Angriff war offenbar nur von kurzer Dauer, da er den Traffic nur zwischen 22:00 Uhr am 20. Februar und 00:00 Uhr am 21. Februar Ortszeit (20:00‑22:00 Uhr UTC am 20. Februar) unterbrochen hat. Obwohl der Angriff nur von kurzer Dauer war, gelang es, den Provider vom Netz zu nehmen, da das Volumen des von HotNet angekündigten IPv4- und IPv6-Adressraums während des Angriffszeitraums auf null sank.
Zain Bahrain
Anonymous Sudan hat Berichten zufolge auch AS31452 (Zain Bahrain) mit einem Cyberangriff angegriffen. Dieser Angriff schien weniger schwerwiegend zu sein als der Angriff auf HotNet in Israel, aber er dauerte auch wesentlich länger, da der Datenverkehr zwischen 20:45 Uhr am 3. März und 18:15 Uhr am 4. März Ortszeit (17:45 Uhr am 3. März bis 15:15 Uhr UTC am 4. März) unterbrochen wurde. Es wurden keine Auswirkungen auf den angekündigten IP-Adressraum beobachtet. Zain Bahrain bestätigte die Unterbrechung der Konnektivität in einem Social Media-Beitrag am 4. März, in dem es heißt (übersetzt) „Wir möchten Sie darüber informieren, dass einige Kunden Schwierigkeiten bei der Nutzung einiger unserer Dienste haben könnten. Unser technisches Team arbeitet daran, diese Schwierigkeiten so schnell wie möglich zu beheben.”
Mehrere Netzwerke in der Ukraine
Am 13. März wurden mehrere ukrainische Telekommunikationsanbieter angegriffen, darunter AS16066 (Triangulum), AS34359 (Link Telecom Ukraine), AS197522 (Kalush Information Network), AS52074 (Mandarun) und AS29013 (LinkKremen). Am stärksten betroffen schien Triangulum, das zwischen dem 13. und 20. März einen fast vollständigen Traffic-Einbruch verzeichnete, wie unten zu sehen. Triangulum veröffentlichte auf seiner Webseite einen Hinweis, indem es unter anderem hieß: „Am 13. März 2024 wurde ein Hackerangriff auf eine Reihe ukrainischer Provider durchgeführt. Um 10:28 Uhr am 13. März 2024 kam es im Netzwerk unseres Unternehmens zu einem großflächigen technischen Ausfall, der es unmöglich machte, elektronische Kommunikationsdienste anzubieten. Die Mitarbeiter des Unternehmens ergreifen zusammen mit den Mitarbeitern der Cyber Police und dem National Cyber Security Coordination Center rund um die Uhr umfassende Maßnahmen, um die gesamte Palette der Dienste so schnell wie möglich wiederherzustellen. Die Dienste werden schrittweise wiederhergestellt. Die vollständige Wiederherstellung kann mehrere Tage dauern.“
Bei anderen betroffenen Anbietern waren die Verbindungsunterbrechungen vergleichsweise kürzer. Der fast vollständige Ausfall bei Mandarun dauerte etwa einen Tag, während die anderen Ausfälle etwa sieben Stunden dauerten, beginnend gegen 11:30 Uhr Ortszeit (09:30 Uhr UTC) am 13. März, wobei die Konnektivität gegen 08:00 Uhr Ortszeit (06:00 Uhr UTC) am 14. März wieder auf das übliche Niveau zurückkehrte.
Staatlich angeordnet
Komoren
Nach Protesten gegen die Wiederwahl von Präsident Azali Assoumani haben die Behörden auf den Komoren Berichten zufolge am 17. Januar die Internetverbindung abgeschaltet. Während der Datenverkehr auf Landesebene zwischen 12:00 Uhr Ortszeit am 17. Januar (09:00 Uhr UTC) und 17:30 Uhr Ortszeit am 19. Januar (14:30 Uhr UTC) in gewissem Umfang unterbrochen wurde, war dies beim Datenverkehr von AS36939 (Comores Telecom), wesentlich deutlicher zu spüren, da es in den zwei Tagen zu mehreren nahezu vollständigen Ausfällen kam. Obwohl Comores Telecom eine begrenzte Menge an IPv4-Adressraum ankündigt, kam es am 17. und 18. Januar zu erheblichen Schwankungen, die mehrmals auf null sanken.
Sudatel Senegal/ Expresso Telecom und Tigo/Free (Senegal)
Im Senegal ordnete der Minister für Kommunikation, Telekommunikation und digitale Angelegenheiten die Aussetzung der mobilen Internetverbindung ab 22:00 Uhr Ortszeit (22:00 Uhr UTC) an. Die Aussetzung erfolgte im Anschluss an die Proteste, die im Zuge der Verschiebung der Präsidentschaftswahlen ausgebrochen waren. Der Datenverkehr von AS37196 (Sudatel Senegal/Expresso Telecom) ging zum Zeitpunkt des Inkrafttretens der Aussetzung stark zurück und erholte sich um 07:30 Uhr Ortszeit (07:30 Uhr UTC) am 7. Februar. Der Datenverkehr von AS37649 (Tigo/Free) fiel am 5. Februar gegen 09:30 Uhr Ortszeit (09:30 Uhr UTC), wobei der Anbieter die Abonnenten über soziale Medien über die Aussetzung informierte. Der Traffic auf Tigo/Free erholte sich gegen Mitternacht Ortszeit (00:00 Uhr UTC) am 7. Februar, und der Anbieter benutzte soziale Medien, um Abonnenten über die Verfügbarkeit des Dienstes zu informieren. Bei beiden Anbietern wurden keine Änderungen am angekündigten IP-Adressraum beobachtet, was darauf hindeutet, dass die Aussetzung der mobilen Internetverbindung nicht auf Routing-Ebene erfolgte.
Etwas mehr als eine Woche später, am 13. Februar, ordnete die senegalesische Regierung erneut die Unterbrechung der mobilen Internetverbindung an, um die „Verbreitung hasserfüllter und subversiver Botschaften im Internet“ zu verhindern, und zwar im Vorfeld eines von Aktivistengruppen geplanten Marsches, mit dem sie ihren Unmut über die Verschiebung der Präsidentschaftswahlen zum Ausdruck bringen wollten. Die Sperre des mobilen Internets war am deutlichsten bei Tigo/Free zu sehen, wo es zwischen 10:15 und 19:45 Uhr Ortszeit (10:15‑19:45 Uhr UTC) zu einer erheblichen Unterbrechung kam.
Pakistan
Einem veröffentlichten Bericht zufolge herklärte die pakistanische Telekommunikationsbehörde (PTA), dass die Internetdienste verfügbar bleiben würden, wenn die Bürger am 8. Februar zur Wahl einer neuen Regierung gehen. An diesem Tag haben die pakistanischen Behörden jedoch den mobilen Internetzugang im ganzen Land gekappt, als die Wähler des Landes ihre Stimme abgeben wollten. Die Behörden begründeten den Schritt mit der Aufrechterhaltung von Recht und Ordnung nach den gewalttätigen Ausschreitungen vom Vortag. Die Auswirkungen der angeordneten Abschaltung waren bei mehreren Internetanbietern in Pakistan sichtbar, darunter AS59257 (Zong/CMPak), AS24499 (Telenor Pakistan) und AS45669 (Jazz/Mobilink), und zwar von 07:00 bis 20:00 Uhr (02:00‑15:00 Uhr UTC), wobei der Traffic etwa neun Stunden später wieder das erwartete Niveau erreicht hat. In einem Beitrag auf dem Pulse-Blog der Internet Society wird geschätzt, dass die Sperre Pakistan fast 18,5 Mio. USD an verlorenem BIP gekostet hat.
Tschad
Zwischen dem 28. Februar und dem 7. März wurden im Tschad mehrere Internetstörungen beobachtet. Die erste begann um 10:45 Uhr Ortszeit am 28. Februar und dauerte bis 18:00 Uhr Ortszeit am 1. März (09:45 Uhr am 28. Februar - 17:00 Uhr UTC am 1. März). Kürzere Störungen von jeweils nur wenigen Stunden Dauer wurden auch am 3., 4. und 7. März beobachtet. Die offensichtlichen Sperren erfolgten im Zuge der politischen Gewalt im Lande. Bemerkenswerte Rückgänge des angekündigten IPv4-Adressraums in den Netzwerken des Landes wurden zeitgleich mit den Sperren am 28. Februar, 3. März und 4. März beobachtet, obwohl nicht klar ist, warum ein ähnlicher Rückgang am 7. März nicht stattfand.
Ausfälle der Stromversorgung
Tadschikistan
Einem veröffentlichten Bericht zufolge kam es am 1. März in Tadschikistan zu einem großflächigen, mehrstündigen Stromausfall, der möglicherweise auf einen erhöhten Stromverbrauch durch elektrische Heizgeräte zurückzuführen ist, da sich die Temperaturen im ganzen Land dem Gefrierpunkt näherten. Der Ausfall begann gegen 11:00 Uhr Ortszeit (06:00 Uhr UTC) und dauerte etwa drei Stunden. Die Auswirkungen auf den Internet-Traffic des Landes sind in der untenstehenden Grafik zu sehen. Obwohl die Stromversorgung gegen 14:00 Uhr Ortszeit (09:00 Uhr UTC) wiederhergestellt war, erreichte der Internetverkehr erst gegen 05:00 Uhr Ortszeit am nächsten Tag (Mitternacht UTC am 2. März) wieder ein erwartetes Niveau.
Obwohl Stromausfälle meist die größten Auswirkungen auf den Internet-Traffic haben, da Computer und Heim-/Büro-Router ausfallen, schien sich dieser Ausfall auch auf die Netzwerkinfrastruktur innerhalb des Landes auszuwirken, da das Gesamtvolumen des angekündigten IPv4-Adressraums im ganzen Land leicht zurückging, als der Strom ausfiel.
Tansania
Am 4. März hat die Tanzania Electricity Corporation (TANESCO) in den sozialen Medien einen Hinweis auf einen anhaltenden Stromausfall veröffentlicht. Darin hieß es: „Die Tanzania Electricity Corporation (TANESCO) hat die Öffentlichkeit darüber informiert, dass es einen Fehler im National Grid-System gegeben hat, der zu einem Ausfall der Stromversorgung in einigen Gebieten des Landes, darunter auch in Zanzibar, geführt hat. Unsere Experten setzen ihre Bemühungen fort, sicherzustellen, dass die Stromversorgung wieder in ihren normalen Zustand übergeht. Die Organisation entschuldigt sich für die entstandenen Unannehmlichkeiten.“ Der Stromausfall unterbrach die Internetkonnektivität in Tansania und führte zwischen 13:30‑23:00 Uhr Ortszeit (10:30‑20:00 Uhr UTC) zu einem Rückgang des Traffics.
Technische Probleme
Orange España
Netzwerk-Routing ist der Prozess der Auswahl eines Pfades durch ein oder mehrere Netzwerke. Im Internet basiert das Routing auf dem Border Gateway Protokoll (BGP). In der Vergangenheit basierte der Austausch von BGP-Routing-Informationen auf dem Vertrauen zwischen den Anbietern, aber im Laufe der Zeit wurden Sicherheitsmechanismen wie Resource Public Key Infrastructure (RPKI) entwickelt, um den Missbrauch des Systems durch schlechte Akteure zu verhindern. RPKI ist eine kryptografische Methode zum Signieren von Datensätzen, die eine BGP-Routenankündigung mit der korrekten AS-Nummer des Ursprungs verbinden. ROA-Datensätze (Route Origin Authorization) bieten ein Mittel zur Überprüfung, ob ein Inhaber eines IP-Adressblocks ein AS (autonomes System) autorisiert hat, Routen zu diesem einen oder mehreren Präfixen innerhalb des Adressblocks zu generieren. Cloudflare hat im Laufe der Jahre eine Reihe von Blogbeiträgen über die Bedeutung von RPKI und unseren Support veröffentlicht. Richtig implementiert und konfiguriert, tragen RPKI und ROAs zur Routing-Sicherheit bei und verhindern effektiv Verhalten wie BGP-Hijacking.
Das RIPE NCC („RIPE“) ist eines von fünf regionalen Internet-Registern (Regional Internet Registries RIR), das die Zuweisung und Registrierung von Internet-Ressourcen sowie Koordinierungstätigkeiten anbietet. Die Region von RIPE umfasst Europa, den Nahen Osten und Zentralasien. Am 3. Januar nutzte ein böswilliger Akteur die laxe Kontosicherheit von RIPE und S12479 (Orange España) und verwendete Anmeldedaten, die im öffentlichen Internet gefunden wurden, um sich bei dem RIPE-Konto von Orange España anzumelden. Sobald der Angreifer die Kontrolle über das Konto erlangt hatte, veröffentlichte er mehrere ROAs mit „gefälschten“ Ursprüngen, wodurch Tausende von Routen, die von AS12479 stammten, „RPKI-ungültig“ wurden, was dazu führte, dass Carrier, die RPKI-ungültige Routen ablehnen, einen großen Teil des IP-Raums von Orange España nicht mehr befördern konnten.
Weil Cloudflare die RPKI-Validierung durchsetzt, haben wir auch die ungültigen RPKI-Routen abgelehnt. Wir hätten versucht, Orange España über unsere Standardroute in Richtung einiger unserer Transit-Provider zu erreichen, aber da diese ebenfalls eine RPKI-Validierung durchführen, wäre der Traffic auch innerhalb dieser Provider-Netzwerke abgelehnt worden. Aus diesem Grund verursachte dieser Vorfall aus Sicht von Cloudflare einen Rückgang des Datenverkehrs von Orange España zwischen 16:45 und 19:45 Uhr Ortszeit (14:45‑17:45 Uhr UTC) sowie einen deutlichen Rückgang des angekündigten IPv4-Adressraums von AS12479.
Orange España bestätigte in den sozialen Medien, dass unzulässig auf das RIPE-Konto des Unternehmens zugegriffen worden war, und als Folge des Vorfalls hat RIPE die Zwei-Faktor-Authentifizierung (2FA) für Anmeldungen verbindlich gemacht. Für weitere Einblicke in den Vorfall haben Doug Madory von Kentik und Ben Cartwright-Cox von bgp.tools detaillierte Analysen und Zeitpläne veröffentlicht.
MaxNet (Ukraine)
Am 11. Januar kam es bei den Abonnenten von AS34700 (MaxNet) in der Ukraine zu einem neunstündigen Internetausfall. Der anfängliche Traffic-Rückgang trat gegen 16:00 Uhr Ortszeit (14:00 Uhr UTC) auf und wurde gegen 01:00 Uhr Ortszeit am 12. Januar (23:00 Uhr UTC am 11. Januar) wiederhergestellt. In einem ersten Social Media-Beitrag des Anbieters wurde der Grund für den Ausfall erklärt: (übersetzt) „Liebe Abonnenten! Aufgrund der Überflutung eines der Knotenpunkte durch eine Versorgungsstörung sind einige Gebiete der Stadt möglicherweise teilweise oder ganz ohne Dienste. Wir tun unser Bestes, um die Dienste wiederherzustellen, aber das benötigt Zeit. Weitere Informationen zu den Öffnungszeiten werden veröffentlicht, sobald die Notfallarbeiten abgeschlossen sind.“ Ein nachfolgender Beitrag informierte die Abonnenten, dass die Internetverbindung wiederhergestellt wurde. Die Überflutung hatte offenbar auch Auswirkungen auf die Kern-Routing-Infrastruktur, da das Volumen des von MaxNet angekündigten IPv4-Adressraums zwischen 16:00 und 22:00 Uhr Ortszeit (14:00‑20:00 Uhr UTC) ebenfalls auf null fiel.
Plusnet (Vereinigtes Königreich)
Eine Traffic-Störung, die am 15. Januar auf AS6871 (Plusnet) in Großbritannien beobachtet wurde, wurde von dem Anbieter in Antworten auf Kundenbeschwerden in den sozialen Medien zunächst als „Massenausfall“ bezeichnet. Die eigentliche Ursache für die Unterbrechung stellte sich jedoch als weit weniger sensationell heraus – sie war offenbar mit Problemen mit den DNS-Servern verbunden. Da die Abonnenten nicht in der Lage waren, Hostnamen mit den Standard-DNS-Resolvern von Plusnet erfolgreich aufzulösen, führte dies zu einem Rückgang des Datenverkehrs im Netzwerk für etwa zwei Stunden, zwischen 16:00 und 18:00 Uhr Ortszeit (und UTC). Benutzer, die ihre Systeme so konfiguriert hatten, dass sie einen DNS-Resolver eines Drittanbieters verwenden, wie z. B. den Cloudflare 1.1.1.1-Dienst, erlebten keine Serviceunterbrechung.
Russland
Auch in Russland gab es im Januar DNS-Probleme, allerdings auf eine andere Art und Weise als bei Plusnet-Kunden in Großbritannien. Ein gemeldeter DNSSEC-Fehler am 30. Januar führte dazu, dass .ru-Domains mehrere Stunden lang nicht erreichbar waren. (DNSSEC schafft ein sicheres Domain Name System, indem bestehende DNS-Einträge mit kryptografischen Signaturen versehen werden. Indem Sie die zugehörige Signatur überprüfen, können Sie sicherstellen, dass ein angeforderter DNS-Eintrag von seinem autoritativen Nameserver stammt und nicht unterwegs verändert wurde, im Gegensatz zu einem gefälschten Eintrag, der durch einen Man-in-the-Middle-Angriff eingeschleust wurde.)
Der Fehler bei der DNSSEC-Validierung führte zu SERVFAIL- Antworten auf DNS-Abfragen gegen den 1.1.1.1-Resolver von Cloudflare für Hostnamen in der Ländercode-Top-Level-Domain (ccTLD) .ru. Zu Spitzenzeiten erhielten 68,4 % der Anfragen SERVFAIL-Antworten. Das Coordination Center für die .ru-ccTLD bestätigte, dass es an dem „technischen Problem arbeitet, das die .ru-Zone in Verbindung mit der globalen DNSSEC-Infrastruktur betrifft“, machte aber keine weiteren Angaben zur Ursache des Problems, wie etwa ein mögliches Problem mit einem DNSSEC-Key-Rollover. Die ccTLD .ru war am 16. August 2019 ebenfalls mehrere Stunden lang von einem ähnlichen DNSSEC-bezogenen Ausfall betroffen.
AT&T (Vereinigte Staaten)
Kurz vor 04:00 Uhr Eastern / 03:00 Uhr Central (09:00 Uhr UTC) am 22. Februar kam es bei AT&T-Kunden in mehreren Städten in den Vereinigten Staaten zu Unterbrechungen des Mobilfunkdienstes. Zu den betroffenen Städten gehörten Atlanta, Houston und Chicago, wo die Konnektivität für etwa acht Stunden unterbrochen war. Die Daten von Cloudflare zeigten, dass zu Beginn des Problems der Datenverkehr von AT&T (AS7018) im Vergleich zur Vorwoche in Chicago um 45 % und in Dallas um 18 % zurückging.
In einem von AT&T veröffentlichten „Network Update“ heißt es: „Basierend auf unserer ersten Überprüfung glauben wir, dass der heutige Ausfall durch die Anwendung und Ausführung eines falschen Prozesses verursacht wurde, der beim Ausbau unseres Netzwerks verwendet wurde, und nicht durch einen Cyberangriff.“
Wartungsmaßnahmen
Vodafone Ägypten
Zwischen und 11:30 Uhr Ortszeit (03:15‑09:30 Uhr UTC) am 5. März kam es bei Kunden von AS36935 (Vodafone Ägypten) zu Unterbrechungen der mobilen Internetverbindung, wobei der beobachtete Datenverkehr aus dem Netz um bis zu 70 % unter das erwartete Niveau sank. In einem (übersetzten) Social Media-Beitrag des Providers hieß es teilweise: „Wir entschuldigen uns dafür, dass es in einigen Gebieten aufgrund von Aktualisierungen, die heute Morgen stattgefunden haben, derzeit zu Schwierigkeiten beim Betrieb des 4G-Dienstes kommt.“ Infolge des Ausfalls des 4G-Netzes musste Vodafone die betroffenen Kunden entschädigen und wurde außerdem von der ägyptischen Regulierungsbehörde für Telekommunikation (National Telecommunications Regulatory Authority, NTRA) mit einer Geldstrafe belegt.
Ocean Wave Communication (Myanmar)
Kurz vor Mittag Ortszeit (05:15 Uhr UTC) am 12. März wurde bei AS136442 (Ocean Wave), einem Anbieter von Glasfaser-Internetdiensten für Verbraucher und Unternehmen in Myanmar ein erheblicher Rückgang des Datenverkehrs festgestellt. In einem (übersetzten) Social Media-Beitrag des Anbieters hieß es „Ocean Wave-Kunden, bitte beachten Sie, dass es aufgrund von Wartungsarbeiten am Netzwerk kein Internet/langsame Verbindungen geben wird.” Die Unterbrechung der Konnektivität dauerte etwa sieben Stunden, wobei der Datenverkehr kurz vor 19:00 Uhr Ortszeit (12:15 Uhr UTC) wieder auf das übliche Niveau zurückkehrte.
Fazit
Zwei bemerkenswerte Schadensfälle an Unterseekabeln im ersten Quartal haben erneut deutlich gemacht, wie wichtig der Schutz von Unterseekabeln ist und welche Risiken damit verbunden sind, wenn sie durch geopolitisch sensible Gebiete oder in deren Nähe verlaufen. Angesichts der Abhängigkeit von Unterseekabeln für die Übertragung des Internet-Traffics wird dies noch viele Jahre lang ein Thema bleiben.
Der Vorfall bei Orange España hat auch deutlich gemacht, wie wichtig es ist, betrieblich wichtige Ressourcen mit Multi-Faktor-Authentifizierung zu schützen – ein Thema, über das Cloudflare bereits in der Vergangenheit geschrieben hat. Organisationen wie RIPE spielen eine wichtige Rolle hinter den Kulissen für das Funktionieren des Internets und sind daher verpflichtet, alle praktischen Vorsichtsmaßnahmen zu ergreifen, wenn es um die Sicherung ihrer Systeme geht, um zu verhindern, dass böswillige Akteure Aktionen durchführen, die die Internetkonnektivität auf breiter Front stören könnten.
Das Cloudflare Radar-Team überwacht ständig Störungen im Internet und teilt seine Beobachtungen im Cloudflare Radar Outage Center, auf Social Media und in Blogbeiträgen auf blog.cloudflare.com mit. Folgen Sie uns in den sozialen Medien unter @CloudflareRadar (X), cloudflare.social/@radar (Mastodon) und radar.cloudflare.com (Bluesky), oder kontaktieren Sie uns per E-Mail.