Anzeige

Vergangene Woche wurden 212 Internetadressen und damit Zehntausende Server des Internetgiganten Google für mehrere Stunden von Googles Nutzern und Kunden abgeschnitten. Googles eigene Dienste waren teilweise ebenso nicht erreichbar wie Angebote von Plattformen wie Spotify, die in Googles Cloud Server gemietet hatten.

Doch nicht Google selbst war für den Ausfall verantwortlich, sondern ein kleiner afrikanischer Internetprovider namens MainOne in Lagos, Nigeria, sowie Chinas größter staatlicher Telekommunikationskonzern China Telecom.

MainOnes Router kommunizierten im globalen Adresssystem des Internets, der Verkehr zu den Google-Servern solle ab jetzt über Netze in Nigeria und China laufen. China Telecom bestätigte diese Routen, daraufhin übernahm eine ganze Reihe von großen Internetprovidern die Änderung und schickte den Verkehr via Nigeria nach China.

Lesen Sie auch Gefahr am Meeresboden Der Krieg der Zukunft wird ein Krieg um Kabel sein

Anzeige

Zusammen konnten sie einen relevanten Anteil des Internetverkehrs kapern, der eigentlich an Googles Server-Adressen adressiert war. Google nimmt an, dass der Zwischenfall von einen Konfigurationsfehler der Nigerianer ausgelöst wurde, der Konzern geht nicht von einer absichtlichen Attacke aus. Das Problem wurde nach exakt 74 Minuten gelöst, danach waren Googles Server wieder erreichbar.

Doch andere Stimmen warnen: Der Ausfall könnte auch eine schlecht koordinierte und deswegen fehlgeschlagene Spionageattacke auf Googles Netze sein – er zeige in jedem Fall eine große Schwäche im Adresssystem des Internets auf.

China Telecom hat wiederholt Internetverkehre gekapert

Das sogenannte Routing nach dem Border Gateway Protocol (BGP), also die Koordination der Datenströme im weltweiten Netz, setzt weitgehend darauf, dass alle Akteure stets in guter Absicht handeln und technisch optimale Datenrouten etablieren wollen. Der Fall vom Montag zeigt, wie ein relativ kleiner Provider in Afrika das weltweite Netz durcheinanderbringen kann, wenn er sich einfach einmal nicht an diese Regeln hält.

Anzeige

Ein solcher Regelverstoß passierte nicht das erste Mal. Eine Studie des US Naval War College und der Universität von Tel Aviv von Ende Oktober beschreibt, wie China Telecom seit Jahren wiederholt Internetverkehr kaperte und über Router in China umleitete.

Lesen Sie auch Blockchain in China Der Staat gegen Nerds

Der Verdacht der Autoren: Da China 2015 einen Nichtangriffspakt zur Cyberspionage im Netz mit der Regierung des damaligen US-Präsidenten Obama abschloss, konnten chinesische Staatshacker anschließend nicht mehr direkt Server in den USA angreifen und ausspionieren, ohne die Abmachung zu verletzen.

Stattdessen, so die Studienautoren Chris Demchak und Yuval Shavitt, hätten die Spione einen neuen Weg gefunden, geheime Daten von US-Firmen auszukundschaften: Sie leiten einfach den Datenverkehr zwischen Servern um und schnitten dabei zur späteren Analyse alles mit.

Internetverkehr zwischen US-Bank und Europa gekapert

Anzeige

Die beiden listen eine ganze Reihe von Routen auf, bei denen der Datenverkehr zwischen Firmen in Nordamerika, Asien und Europa teils über Monate hinweg einen Umweg über China einschlug: 2016 wurde der Internetverkehr von Kanada nach Südkorea sechs Monate lang über China umgeleitet. Im Oktober desselben Jahres wurde der Austausch einer US-Bank mit ihren europäischen Filialen in Italien über China geleitet.

Auch der Austausch zwischen Japan und Skandinavien lief über die chinesischen Netze. Ob in der Vergangenheit noch weiterer Datenverkehr kopiert wurde, konnten die Forscher nicht feststellen, doch die Mittel dafür hatte China Telecom bereits länger.

Der chinesische Staatsprovider etabliert seit gut 15 Jahren eigene Netzknoten, sogenannte Points of Presence (PoP), in den USA und Europa. In der EU gibt es die chinesischen Direktverbindungen etwa in Frankfurt, Amsterdam, Paris und London, in den USA unter anderen in New York, Washington, Los Angeles und San Francisco.

Lesen Sie auch Digitale Diktatur Rating-Republik China

Forscher beschreiben, wie China Telecom mittels seiner Präsenz im Zielland den Internetverkehr über eigene Netze leitet: Prinzipiell sandten die Router der Chinesen eine Nachricht an die Router anderer Netzbetreiber in den USA; deren Inhalt: „Seht, es gibt eine neue schnelle Verbindung zu einem Server in Südkorea, und sie läuft über unsere Netzknoten.“

Da die Verbindung tatsächlich funktionierte, übernahmen die Router anderer Provider sie in ihre Adresslisten. Sie merkten sich: Um den Server in Südkorea zu erreichen, können wir den Verkehr über den Netzknoten der Chinesen senden. Dass diese Verbindung vielleicht in Wirklichkeit nicht optimal ist, lässt sich nur schwer prüfen.

Suboptimale Routen werden meist schnell wieder gelöscht

Solche suboptimalen Routen werden – siehe der Zwischenfall in Lagos – öfters auch durch Konfigurationsfehler kommuniziert und dann meist schnell wieder gelöscht. Doch die von China Telecom etablierten Routen, die Demchak und Shavitt untersuchten, wurden teils monatelang aufrechterhalten – ein starkes Indiz dafür, dass sie absichtlich eingerichtet wurden.

„Dass man so einfach Datenströme umlenken und dabei kopieren kann, indem man eigene Schlüsselpositionen in den Kommunikationsnetzwerken eines fremden Landes etabliert, zeigt, wie dringend nötig regulatorische Maßnahmen sind“, schreiben die beiden Autoren.

Anzeige

Dass solche Umleitungsattacken nicht nur technisch möglich, sondern sogar wahrscheinlich sind, bestätigt auch Klaus Landefeld, Experte für Netzinfrastruktur und Mitglied des Aufsichtsrates beim Frankfurter Netzknotenbetreiber DE-CIX: „Wer die Ressourcen eines großen staatlichen Telekommunikationsunternehmens nutzen kann, der kann relativ einfach Routen kapern.“

Zertifizierung der Routen kann Umleitungen blockieren

Zwar gibt es gegen die digitale Umleitung eine technische Abwehr: Indem Serverbetreiber wie Google die Routen im Netz zu ihren Servern zertifizieren, können sie Umleitungen blockieren, erklärt Landefeld: „Doch diese Technik nutzen etwa in Europa nur sieben Prozent aller Serverbetreiber, in den USA noch deutlich weniger.“

Umleitungen der Routen zu großen Internetkonzernen wie etwa Google sind sehr auffällig. „Doch wenn etwa der Verkehr einer kleinen Universität oder einer Bank umgeleitet wird, kann das durchaus ein paar Monate unentdeckt bleiben“, sagt Landefeld.

Lesen Sie auch Künstliche Intelligenz In China verkünden nun die ersten Roboter die Nachrichten

Dass nun mit dem US Naval War College ausgerechnet ein Forschungsinstitut des US-Militärs mit dem Finger auf die Chinesen zeigt, ist bemerkenswert. Denn in Europa betrachten Internetprovider wie die deutsche Telekom das Thema Routing seit Längerem mit Misstrauen – sie vermuten, dass die Sicherheitsbehörden der USA ebenfalls Internetverkehr zwischen EU-Staaten über die eigenen Grenzen lenken, um mitzuhören. Die Deutsche Telekom versuchte 2014, ein eigenes „Schengen-Routing“ zu etablieren. Doch der Versuch, das Internet technisch in nationale Netze zu separieren, scheiterte.