Kommentar zum AWS-Fail: Hinter dem Sündenbock DNS steht Hyperscaler-Inkompetenz

Am 19. und 20. Oktober 2025 gab es einen Ausfall der AWS-Cloud in der Region us-east-1 (North Virginia), einem der Kernstandorte von AWS. Dieser Ausfall erschütterte populäre und auch weniger sichtbare, aber kritische Internetdienste. Ausgelöst durch den Ausfall waren diese Dienste nicht oder nur sehr eingeschränkt erreichbar. Darunter waren Amazons eigene Streamingangebote, Atlassian, Docker, der Epic Game Launcher und der Messenger Signal.

Amazon berichtete von DNS-Auflösungsproblemen, und schnell wurde wieder das Meme „It’s always DNS“ ausgepackt, um den Ausfall zu erklären. DNS als *der* Infrastrukturdienst des Internets scheint eine Art Naturgewalt zu sein, der selbst die allgewaltigen Hyperscaler schutzlos ausgeliefert sind. Eine Woche später, am 29. Oktober, hatte dann auch Microsoft Azure mit einem Ausfall zu kämpfen – der angegebene Auslöser: DNS!

Garbage in, Garbage out

Ist DNS nun die Nemesis der Cloud? AWS schreibt in der Post-Mortem-Analyse: „a latent race condition in the DynamoDB DNS management system“ – ein Fehler im DNS-Managementsystem der Amazon DynamoDB hatte falsche Daten in das DNS geschrieben. Das DNS, ein weltweiter Verzeichnisdienst, der es erlaubt, hinter Domainnamen Daten abzulegen und wieder abzurufen, hat zuverlässig funktioniert: Er hat die eingetragenen – falschen – Daten ausgeliefert.

Der Fehler lag nicht im DNS, er lag in der DynamoDB. DNS arbeitet nach dem in der IT bekannten GIGO-Prinzip: Garbage in – Garbage out. DNS weiß nicht, welche Daten korrekt sind und welche nicht. Es gibt die Daten zurück, die Menschen oder Maschinen dort hinterlegen.

Man kann den Eindruck gewinnen, dass große Teile der Internetdienste, Fachpresse und Hyperscaler-Kunden auf der Suche nach einem Sündenbock sind: Es zeigt sich, dass auch die hoch spezialisierten Experten der Hyperscaler die Komplexität der Systeme nicht beherrschen. Statt zu der Erkenntnis zu gelangen, dass ein Cloud-Anbieter den Verantwortlichen im Unternehmen nicht die Arbeit abnimmt, einen hochverfügbaren Dienst zu erstellen und Gegenmaßnahmen für Ausfälle zu implementieren, zeigt man lieber auf das Naturereignis DNS. DNS lässt sich anscheinend nicht bändigen, nicht einmal von den Hyperscalern.

Vor dem DNS gab es im Internet einen zentralen Dienst für die Namensauflösung, die Datei hosts.txt. Sie wurde am Stanford Research Institute zentral verwaltet und auf alle Rechner des Internets verteilt. Die frühen Baumeister des Internets erkannten, dass die zentral ausgelieferte hosts.txt die Verfügbarkeit von Diensten im Internet gefährdet, und ersetzten sie 1983 durch DNS als explizit dezentralen Dienst.

Es ist eine Ironie der Geschichte, dass heute bei Ausfällen zentralisierter Dienste die Schuld bei ebendiesem dezentralen Dienst gesucht wird, der aber bestens und fehlerfrei funktioniert. Die Erkenntnis aus dem Jahr 1983, dass sich Ausfallsicherheit und die Zentralisierung von Diensten im Internet ausschließen, ist wohl in den letzten Jahren in Vergessenheit geraten.

Dieser Kommentar ist das Editorial der iX 12/2025, die am 21. November 2025 erscheint.

(axk)