Microsoft: Die ganz normale, lautlose Cloud-Apokalypse
Wenn Cloud-Dienste ausfallen, ist oft nur ein Server kaputt. Wenn aber Googles Safe-Browsing-Systeme den Zugriff auf die deutsche Microsoft Cloud komplett blockieren, liegt noch viel mehr im Argen - und das lässt für die Zukunft nichts Gutes erwarten.
"Ich kann mich nicht in der deutschen Microsoft-Cloud anmelden", sagt ein Mann am anderen Ende der Telefonleitung vor ein paar Wochen. "Die wird als Phishing-Seite blockiert". Als Redakteur am Telefon bin ich schon froh, dass uns nur eine Support-Anfrage erreicht und nicht ein Anruf für die Poliklinik, die offenbar vor Jahren Visitenkarten mit unserer Telefonnummer herausgegeben hat. Routiniert versuche ich, den Anrufer abzuwimmeln (wofür ich hiermit um Entschuldigung bitte) und lege irgendwann auf. Irgendetwas an dem Gespräch hängt mir aber nach, so dass ich den beschriebenen Fehler doch noch recherchiere. Und schnell entdecke ich viel mehr als den typischen Support-Fall eines überforderten Nutzers, der sich zu Golem.de verirrt.
Obwohl Microsofts deutsche Cloud im vergangenen Herbst abgekündigt wurde, ist das Angebot für Bestandskunden nach wie vor verfügbar. Außerdem will Microsoft seine Cloud-Dienste natürlich auch weiterhin in Deutschland anbieten, nur eben integriert in den Rest der eigenen Infrastruktur. Nach ein paar Minuten Online-Suche zeigt sich auch mir das Problem des Anrufers: Die Domain Microsoftonline.de wird von Googles Safe-Browsing-API als Phishing-Seite markiert und deshalb in den wichtigen Browsern Chrome und Firefox mit einer entsprechend eindringlichen, roten Warnung blockiert.
Microsofts deutscher Cloud-Nachbau
Die Sublevel-Domain login.microsoftonline.de wird deshalb ebenfalls blockiert. Ein Zugriff auf die Domain Office.de bleibt ebenso erfolglos, immerhin leitet letztere nur automatisch auf die erstgenannte Seite um. Nutzer, die standardmäßig Chrome oder Firefox verwenden, können also tatsächlich nicht ohne weiteres auf die Cloud-Dienste hinter den Domains zugreifen. Irritierenderweise kann ich weiter problemlos auf das Online-Office von Golem.de zugreifen - das läuft aber immerhin unter einer .com-Domain.
Video: Microsoft Azure Datacenter - Trailer [1:05]
Ich bin wegen dieses doch recht kuriosen Fehlers immer noch etwas verwirrt, weiß nicht so recht, was ich davon halten soll und bespreche den Fehler mit unseren Linux- und Konsolen-erfahrenen Security-Kollegen. Die wissen allerdings auf Anhieb auch nicht recht weiter. Immerhin stellen wir gemeinsam fest, dass die blockierte Domain wohl Microsoft gehört und von einem Nameserver mit .de-Domain von Microsoft verwaltet wird. Für die Domain ist allerdings keine IP-Adresse zugewiesen und es sind damit auch keine Inhalte auf microsoftonline.de abrufbar.
Die .com-Domain verfügt natürlich über eine eigene IP-Adresse und über ein Zertifikat von Microsofts eigener Certificate Authority (CA), aber ebenso wenig über Webinhalte. Das Zertifikat der .de-Domain ist von der CA der D-Trust GmbH. Allem Anschein nach ist hier also bis ins letzte Detail eine parallele Infrastruktur aufgebaut worden, was wohl nicht nur uns verwunderlich oder gar suspekt erscheint.