De Maart
Update Freitag 17:20 Uhr: Wie die Regierung und die Post mittlerweile mitgeteilt haben, war die Ursache des Ausfalls entgegen anderslautender Aussagen doch ein Cyberangriff. Die Ermittlungen laufen – trotzdem sind die Informationen in diesem Text nicht weniger relevant.
Update Samstag: Die Regierung hat inzwischen auf Nachfrage des Tageblatt klargestellt, dass Notruf und LU-Alert-Nachrichten nicht über die DNS-Server der Post geleitet werden. Mehr Informationen finden Sie in diesem Artikel.
Als das Internet ausfällt, sitzt der pensionierte Informatiker Claude Flammang in der Wohnung seiner 91-jährigen Mutter in Esch und konfiguriert den Home-Assistant eines Freundes via Fernzugriff. Weil die betagte Frau keinen Internet-Vertrag hat, nutzt er sein Smartphone als Hotspot. Plötzlich bricht die Verbindung zusammen. Zunächst denkt er, dass der Fehler bei ihm liegt. Dann ruft er die Website von ntv auf. Auch hier schlägt die Verbindung fehl. Das Internet ist weg.
Claude kennt das Internet noch aus Zeiten, als die meisten Menschen noch keinen PC zu Hause hatten. Und er kann Troubleshooting – informatischer Fachjargon für Fehlerbehebung. Claude öffnet also die Kommandozeile in Windows und pingt die 8.8.8.8 an – den DNS-Server von Google, wissend, dass dieser frei erreichbar ist und auf Ping-Anfragen antwortet. Das tut der Server auch anstandslos. Das Internet funktioniert also. Dann pingt er testweise acl.lu an – hier erscheint eine Fehlermeldung. Claude weiß also jetzt, dass das Problem beim DNS-Server der Post liegt. Er wechselt also den DNS-Server und konfiguriert den Home-Assistant seines Freundes fertig. Dann macht er Feierabend und wechselt auch auf dem Smart-TV den DNS-Server, bevor er die neue Staffel Sandman auf Netflix guckt.
Was ist ein DNS-Server?
Ohne dass wir es merken, fragen unsere Computer ständig sogenannte DNS-Server – das sind so etwas wie Telefonbücher des Internets. Wenn man eine Internetadresse wie www.tageblatt.lu eingibt, weiß der Computer nicht automatisch, wo er die Seite findet. Also fragt er beim DNS-Server nach: „Unter welcher IP-Adresse finde ich diese Seite?“
Der DNS-Server übersetzt dann den Namen in eine Zahl – zum Beispiel:
→ www.tageblatt.lu = 194.154.192.30
Nur mit dieser IP-Adresse kann der Computer die Seite aufrufen. Wenn der DNS-Server ausfällt, funktioniert das nicht mehr. Das Internet ist technisch noch da, aber nicht mehr auffindbar – wie ein Telefonnetz ohne Telefonnummern.
Tipp für Fortgeschrittene: Wer den DNS-Server in den Einstellungen seines Geräts manuell auf einen anderen Anbieter (z. B. Google: 8.8.8.8) umstellt, kann solche Störungen manchmal umgehen.
Während Claude seine Serie schaut, erreichen andere Menschen die Notrufnummern 112 und 113 nicht. Im ganzen Land fallen in Läden die Terminals für Kartenzahlungen aus. Finanztransaktionen funktionieren nicht. Über LU-Alert werden verwirrende Nachrichten verschickt, die Menschen dazu auffordern, in ein anderes Netz zu wechseln – und die gerade die Menschen im Netz der Post nicht erreichen. Was auch egal ist, denn der Netzwechsel ist technisch sowieso nicht möglich. Kurz: Es herrscht absolutes Chaos.
Das Nadelöhr der Krisenkommunikation
Claudes Fall lässt einige beängstigende Rückschlüsse zu. Denn der Umstand, dass er das Internet problemlos nutzen konnte, zeigt: Das Problem lag nicht bei den Antennen und auch nicht im Netz selbst. Kabel und Datenübertragung funktionierten. Aber weshalb ging dann der Notruf nicht? Und vor allem: Weshalb funktionierte LU-Alert nicht? Letzteres sollte mittels Cell Broadcasting verschickt werden. Cell Broadcasting ist eine Technik, mit der Behörden Warnmeldungen direkt auf Handys schicken können – ohne App, ohne SMS und ohne Internet. Die Nachricht wird über die Funkmasten des Mobilfunknetzes verschickt. Jeder, der sich gerade in einer betroffenen Region befindet und ein kompatibles Handy eingeschaltet hat, bekommt die Warnung automatisch auf den Bildschirm, ähnlich wie eine Push-Nachricht. Einzige Bedingung ist eine Verbindung zum Mobilfunknetz. Und Claudes Hotspot zeigt: Das Mobilfunknetz funktionierte tadellos.
Das bedeutet, dass nicht nur die Anrufe an die Notrufzentrale seit der 2024 erfolgten vollständigen Umstellung auf IP-Telefonie über die DNS-Server der Post laufen. Es heißt, dass auch die Notfallkommunikation der Behörden an die Bevölkerung mutmaßlich in irgendeiner Form über dieselben DNS-Server geroutet werden, bevor sie die Funkmasten ansteuern und die Bevölkerung erreichen. Mit anderen Worten: Die sicherheitsrelevante Kommunikation Luxemburgs zum Bevölkerungsschutz ist möglicherweise vom Funktionieren der zwei DNS-Resolver- und der drei DNS-Authorative-Server der Post abhängig. Zumindest für Post-Kunden.
Die Betonung liegt auf dem „möglicherweise“. Der Umstand aber, dass die versendeten LU-Alert-Nachrichten die Kunden anderer Netze erreichten, während die Smartphones von Postkunden stumm blieben, stellt die Vermutung auf ein vorläufiges Fundament.
Recursive Loop
Das wäre nicht nur grob fahrlässig. Es würde auch gegen die seit 2024 geltende NIS-2-Direktive (Network and Information Systems Directive 2) der EU verstoßen. Die Richtlinie verpflichtet Betreiber kritischer Infrastrukturen – also zum Beispiel Internetanbieter, Stromnetzbetreiber oder Krankenhäuser –, ihre Systeme besser abzusichern. Auch DNS-Server zählen dazu. Die Post muss dafür sorgen, dass ihre Dienste auch im Krisenfall weiterlaufen können. Dazu gehört unter anderem der Aufbau von Backup-Systemen und Ausweichrouten. Diese haben am Mittwoch offenkundig versagt. Dafür drohen übrigens empfindliche Geldstrafen: Bei Verstößen drohen Bußgelder von sieben bis zehn Millionen Euro oder 1,4 bis zwei Prozent des Jahresumsatzes.
Sven Clement (Piraten), neben Ben Polidori (LSAP), der einzige Informatiker, der in Luxemburg auch Abgeordneter ist, hält es im Gespräch mit dem Tageblatt für möglich, dass die DNS-Server der Post in einem sogenannten „Recursive Loop“ festhingen. Stellen Sie sich vor, Sie rufen irgendwo an und geraten an eine automatische Weiterleitung, die ihren Anruf aber wieder an die gleiche Nummer weiterleitet wie jene, die sie ohnehin schon angerufen haben. Der DNS-Server schickt eine Anfrage, die er nicht beantworten kann, in der Regel zu einem Root-Server. Davon gibt es dreizehn weltweit. Wenn der DNS-Server die Anfrage aber an sich selbst weiterleitet, bleibt sie unbeantwortet – eine Verbindung kann nicht aufgebaut werden.
Clement hatte bereits im November 2018 in einer parlamentarischen Anfrage darauf hingewiesen, dass beim Umstieg auf flächendeckende IP-Telefonie das Risiko besteht, dass Menschen weder über das Festnetz, noch über ihr Mobiltelefon den Notruf erreichen können. Er stellte auch damals schon die Frage nach der Möglichkeit für nationales Roaming. Der damalige Medienminister Xavier Bettel (DP) antwortete: „Fir den 112 an den 113 fonctionéiert de nationale Roaming. Wann also d’Netz vun engem Operateur ausfällt, da ginn deem seng Clienten, déi den 112 oder den 113 uruffen, automatesch op de mobile Réseau vun engem aneren Operateur ëmgeleet.“ Dass diese Information fehlerhaft ist, weiß seit Mittwoch jetzt das ganze Land.
Das Resultat? Wie der Direktor der Hôpitaux Robert Schuman im Gespräch mit Radio 100,7 erzählt, kamen am Mittwoch verletzte Personen mit ihren Privatautos in die Notaufnahme. Zumindest diejenigen, die noch fahren konnten. Ob es Opfer des Ausfalls gab, ist vermutlich noch Gegenstand der Analysen, die Premierminister Frieden angekündigt hat. Hoffentlich fördern die auch zutage, dass wir uns irren und es kein Problem mit dem DNS-Server war.
Sehr gute Analyse. Es langt halt nicht wenn cell broadcast autonom funktioniert, man muss halt auch die zu versendenten Meldungen autonom dort hinein bekommen. Wenn das nur über lu-alert-senden․lu funktioniert, dann macht das kleinste DNS Problem das Versenden unmöglich.
Wenn es schon solche t-shirts gibt, dann ist ja eigentlich gewusst dass DNS recht oft Probleme macht.
Ech hat keen Ausfall, si bei LOL. Trotzdeem hunn ech schons jorelaang 8.8.8.8 an 8.8.4.4 als DNS Serveren op mengem Router (Fritzbox) agestallt. Dorunner wäert ech no desem Incident dann och näischt änneren.
Korrektur: Das mit dem DNS kann doch sein.
Mein Internet war wohl nur minimal betroffen, weil mein Router automatisch auf 8.8.8.8 ausgewichen ist.
Der Artikel ist übrigens nicht sehr korrekt.
Das Internet von der Post war nur minimal beeinträchtigt, und es ist möglich, dass es nur Zufall war, dass es nach der Umstellung auf 8.8.8.8 dann wieder ging (weil die Störung des Internets wie gesagt nur kurzfristig war).
Korrelation bedeutet nicht Kausalität.
Den Problem, firwat een als POST Client den 112 an 113 net konnt uruffen ass:
Den Handy haat zwar nach Empfang (also wor am POST Netz ageloggt), mais d'Netz selwer konnt keng Uriff durchleeden.
Den Handy kënnt dann net vum selwen op d'Idee, fier en anert Netz auszeprobeieren.
Wann d'Post hiert Netz Offline gesaat hätt, dann hätten d'Handyen sech (beim wielen vun 112) automatesch iergendeen Netz erausgesicht (an net Post, well dat Netz net do wär).
Et misst fir sou Fäll am Fong en Noutfall-Plang gin, dass mindestens all Opérateur eng Koopératioun huet mat engem Partner/Backup-Opérateur, dass wann sie eng Stéierung hun, sie kënnen komplett Offline goën, an all hier Clienten sech dann beim Partner kinnten (automatesch) aloggen, bis den d'Stéierung am Grëff ass.
Dat geing awer nëmmen fier Handyen gëllen an net fier d'Festnetz... Do ass dat technesch onméiglech (oder extrem schwéier machbar).