Haben Sie es gemerkt? Waren Sie betroffen? Ein großer Teil des Internets war Mitte November nicht erreichbar. Am Dienstag, den 18.11.2025, erlitt ein zentraler Dienst im Internet seine größte Auszeit seit 2019: Cloudflare. Wenn Sie nichts bemerkt haben, waren Sie wohl kein Kunde von Cloudflare und nutzten keine Web-Dienste, die Kunden des Quasi-Monopolisten sind.

Erst im letzten Newsletter mussten wir über Downtime bei Amazons Cloud-Dienst AWS berichten – die unter anderem auch „smarte“ Matratzen irritierte. Dieses Mal traf es zahllose Webseiten, die teils für mehrere Stunden nicht erreichbar waren. Zu denen gehörten auch prominente Dienste wie ChatGPT und der Twitter-Nachfolger X.

Die eigene Warnung nicht gehört?

Fast wie Satire klingt da im Nachhinein das Fazit des betroffenen Herstellers Cloudflare, der noch im Oktober in seiner „Online Outages“-Studie warnte: Das Internet bleibe fragil und anfällig. Was als Werbung für die eigenen Dienste gemeint war, die das Internet für Unternehmen stabiler machen sollen, erwies sich spätestens Mitte November als Bumerang, als die eigenen Dienste für Stunden ausfielen.

Cloudflare ist ein Internetdienst, den laut Heise etwa 20 % aller Webseiten nutzen, um bösartige oder unerwünschte Abfragen auszufiltern, von Malware bis zu KI-Learning-Bots. Quasi eine Firewall für die eigene Webseite, die davon lebt, stets das große Bild zu haben, was im Internet passiert. Wie bei modernen Spam-Engines erkennt Cloudflare Angriffe, eventuell schon bevor sie den eigenen Server treffen, und hat mit seinem Angebot durchaus Alleinstellungsmerkmale.

Monopole bleiben bevorzugte Ziele für Angreifer

Aber derartige Monopol- oder USP-Stellungen haben gravierende Nachteile. Erstens wird man damit zwangsläufig zum Ziel von gezielten und qualifizierten Angriffen: Schon 2024 musste die Firma einen Einbruch von Hackern bestätigen. Zweitens ist bei der schieren Größe der Anwenderbasis besondere Vorsicht bei Administration und Updates geboten. Wenn dann etwas schiefläuft, ist der Schaden meist nicht innerhalb von Minuten zu beheben.

Dabei war Cloudflare sicher gewarnt, schon 2019 brachte ein Fehler mit Wildcards (sogenannten regulären Ausdrücken, RegEx) in den Regeln der Web Application Firewall 80 % der Webseiten zu Fall. Damals waren große Webangebote wie Dropbox, Cloudbase, Discord, Shopify und Zendesk betroffen. Der Vorfall gilt als wegweisend für viele Firmen, die erst dadurch lernten, dass sie ein massives externes Risiko eingekauft hatten. In der Fachsprache nennt man das Single Point of Failure – wenn es quasi einen Bestandteil der Strategie gibt, der alles zu Fall zu bringen imstande ist, wie die untersten Karten eines Kartenhauses.

Und ewig grüßt das Murmeltier…

Vor wenigen Tagen gab es für die Cloudflare-Kunden einen neuen Murmeltiertag: Wieder einmal war der Firma ein gravierender, folgenschwerer Fehler unterlaufen. Laut Heise war „eine Änderung an den Zugriffsrechten für eine interne Datenbank verantwortlich, wegen der letztlich eine Datei durch zu viele Einträge zu groß wurde.“ An das ganze Cloudflare-Netzwerk verteilt, brachte sie eine darauf angewiesene Software zur Abwehr von automatisierten Bots zum Absturz. Cloudflare erklärte, nur wer dieses Feature nutze, habe Downtime erfahren – ein schwacher Trost für alle Anwender, die mittelbar betroffen waren, weil für den Alltag in der Firma wichtige Webseiten, Shops oder Portale nicht mehr funktionierten.

Wenig überraschend muss sich Cloudflare derzeit – wie bei der RegEx-Geschichte fünf Jahre vorher – viele Fragen über Qualitätsmanagement, Teststrukturen und kontrollierten Rollout und Rollback anhören. Die Antworten sind mehr oder weniger egal, denn das Vertrauen ist bereits verspielt.

Externe Risiken erkennen und vermeiden

Und genau deshalb fragen sich nicht nur die Kunden des US-Konzerns erneut, wie sie derlei kritische Risiken für den Alltagsbetrieb minimieren oder eliminieren können. Selbst wenn die eigene Webseite nicht betroffen ist, mag es fatal sein, wenn beispielsweise Sales kein Salesforce mehr nutzen kann und auf das Wohlwollen der Kunden angewiesen ist.

Dagegen hilft nur, digital souveräne Lösungen einzusetzen, idealerweise „on premises“, stets auf Unabhängigkeit zu achten und technische Lösungen stets in einer Risikoanalyse zu hinterfragen: Sind sie notwendig? Was passiert, wenn sie ausfallen? Können wir weiterarbeiten? Was ist der Backup-Plan? Bei all diesen Fragen hat die IT Works AG Antworten für Sie. Wir helfen Ihnen dabei, Schwachstellen zu finden und Alternativen aufzubauen, auch ohne Cloud und externe Abhängigkeiten.