Rechnerpanne bei DENIC: Warum .de plötzlich versagte
Letzte Woche konnten die meisten deutschen Internet-Adressen für mehrere Stunden nicht erreicht werden. Der Grund ist nun bekannt: Ein simpler fehlerhafter Kopiervorgang.
Manchmal hat ein verhältnismäßig einfacher Fehler erstaunliche Konsequenzen. Es geschah vergangenen Mittwoch zwischen 13 Uhr 30 und 15 Uhr: Plötzlich ließen sich Internet-Adressen, die auf ".de" für Deutschland endeten, nur noch sehr vereinzelt erreichen. Gab man etwa "taz.de" in einen frisch gestarteten Browser ein, kam es zu einer Fehlermeldung. "Server nicht gefunden" hieß es dann. Was für das Web galt, galt auch für E-Mails. Zahllose Botschaften an ".de"-Adressen erreichten in dieser Zeit nicht ihre Empfänger, kamen in Form einer Fehlermeldung zurück oder verschwanden ganz ins digitale Nivana.
Der Ursprung der Probleme, die in dieser massiven Form in Deutschland seit vielen Jahren nicht mehr vorgekommen waren, wurde schnell bekannt: Beim DENIC, der zentralen Registrierungsstelle für deutsche Internet-Adressen, war es zu größeren Rechnerpannen gekommen. Die Institution mit Sitz in Frankfurt, eine von den deutschen Providern getragene Genossenschaft, betreibt die so genannten DNS-Root-Server für ".de". Jede Internet-Adresse muss, damit Datenverkehr zu ihr weitergeleitet werden kann, von einer für den Menschen verständlichen Form (Domain) in eine Zahlenkombination umgewandelt werden, die so genannte IP-Adresse. Aus "www.taz.de" wird so zum Beispiel "194.29.234.20". Für diese Umwandlung sind Domain Name Service-Rechner verantwortlich, kurz DNS. Und deren jeweilige Zentrale für einen Adressbereich wird Root-Server genannt.
Dass das gesamte deutsche Netz nicht zusammenbrach, lag nur daran, dass die auch bei jedem Provider vorhandenen DNS-Server bereits erfolgreich abgefragte Adressen für eine gewisse Zeit zwischenspeichern. Doch irgendwann müssen sich auch diese wieder an die Root-Server wenden. Und genau die versagten am Mittwoch.
Beim DENIC räumte man den Fehler zwar sofort ein und arbeitete an seiner schnellen Behebung, doch die tatsächliche Begründung wurde erst am Freitag nachgeliefert. "Ab ca. 13:30 Uhr (MESZ) am Mittwoch (...) war DENIC mit dem Bild konfrontiert, dass, je nach Standort und angefragter Domain, Anwender teilweise die falsche Antwort "Domain existiert nicht" erhielten", so die Registrierungsstelle in ihrem offiziellen Statement, "in diesem Fall waren die davon betroffenen .de-Domains für den betroffenen Anwender nicht über ihre Domainadressierung erreichbar und E-Mails aus bzw. zu diesen Adressen wurden dann abgewiesen oder nicht gesendet". Grund für das Problem sei gewesen, dass im Rahmen der alle zwei Stunden erfolgenden Aktualisierung der Name Service-Daten die Verteilung eines nicht vollständigen Updates angestoßen wurde. Insgesamt 16 Standorte versorgt das DENIC regelmäßig mit frischen Domain-Zuordnungen, dem so genannten "Zonen-File". 12 davon hatten am Mittwoch Datenschrott erhalten. Grund dafür war ein Problem, das auch viele normale Anwender kennen: Ein simpler unterbrochener Kopiervorgang.
Damit der ".de"-Adressraum wieder lief, musste das DENIC-Notfallteam beherzt zur virtuellen Axt greifen: Ab 14 Uhr 30 wurden die fehlerhaften Standorte einfach abgeschaltet, da nicht unmittelbar klar gewesen sei, "ob die Zone aufgrund eines fehlerhaften Bestands in der Datenbank oder aufgrund eines Fehlers im
Generierungsprozess defekt war". Gemeinerweise musste die Mannschaft auch noch damit kämpfen, dass nun automatisierte Registrierungssysteme von Domain-Anbietern versuchten, die vermeintlich "freien" Adressen beim DENIC käuflich zu erwerben. Es dauerte bis 15 Uhr 45, bis alle Standorte mit den korrekten Daten versorgt und wieder hochgefahren werden konnten. Bei einzelnen Internet-Anbietern dauerte es noch weitere Stunden, bis alle Probleme gelöst waren, denn auch die fehlerhaften Daten speicherten diese zwischen.
Eigentlich hätte ein unterbrochener Kopiervorgang nicht zum Ausfall großer Teile des deutschen Netzes führen dürfen. Beim DENIC beeilte man sich denn auch zu betonen, dass das Zonen-File "gleich mehrfach auf Vollständigkeit und Plausibilität" geprüft werde. Allerdings hat das in diesem Fall leider nichts geholfen. Beim kürzlich erfolgten Anlegen einer verbesserten Verteilinfrastruktur war offenbar der letzte notwendige Kopiervorgang so angelegt worden, dass ein Abbruch nicht festgestellt werden konnte. "Zwar sollte auch dieser Vorgang abgesichert sein, der Sicherungsmechanismus hat den Fehler allerdings nicht korrekt ausgewertet." Es ist davon auszugehen, dass das nun nicht mehr vorkommt.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Einigung zwischen Union und SPD
Vorgezogene Neuwahlen am 23. Februar
Debatte um Termin für Bundestagswahl
Vor März wird das nichts
Berliner Kurator verurteilt
Er verbreitete Hass-Collagen nach dem 7. Oktober
SPD nach Ampel-Aus
It’s soziale Sicherheit, stupid
Bewertung aus dem Bundesinnenministerium
Auch Hamas-Dreiecke nun verboten
Wirbel um Berichterstattung in Amsterdam
Medien zeigen falsches Hetz-Video