Rätselhafte Entführungen im Internet

Geheimdienste müssen gar nicht unbedingt am Kabel lauschen – sie können auch einfach den Internet-Verkehr ihrer Opfer über sich umleiten. Der Netzwerkdienstleister Renesys berichtet von einer deutlichen Zunahme von seltsamen Routing-Vorfällen, bei denen Netzwerkverkehr zeitweise über andere Länder, manchmal sogar Kontinente umgeleitet wird.

An über 60 Tagen beobachtete die auf Netzwerküberwachung spezialisierte Firma dieses Jahr schon Umleitungen, die sie als "gezielte Entführungen" einstuft; betroffen waren davon etwa 1500 Netz-Blöcke. Manchmal dauerten sie nur Minuten, manchmal aber auch mehrere Tage. Konkret berichtet Renesys davon, dass über Monate hinweg mehrfach Routen über Weißrussland umgeleitet wurden. So liefen im Februar für den Internet-Provider Qwest in Washington, DC bestimmte Internet-Pakete aus Mexiko über London und Moskau nach Minsk und von dort über Frankfurt zurück nach Amerika. Auslöser dieses Umwegs war der weissrussische Internet-Provider GlobalOneBel. Im Juli und August registrierte Renesys dann mehrere Umleitungen über Island. Hier liefert die Netzwerkfirma sogar ein noch drastischeres Beispiel. Dabei wurde der komplette Verkehr zwischen zwei Internet-Providern in Denver, Colorado über Island geroutet.

Über das zugrunde liegen de Problem berichtete heise Security 2008 in "Router lügen nicht" - was, wenn doch? – und schon damals war es keineswegs neu. Das Internet setzt sich aus vielen kleineren Netzen, sogenannten Autonomen Systemen (AS) zusammen. Die informieren sich gegenseitig über das Border Gateway Protocol (BGP), wer wen wie gut erreichen kann. So weiß dann etwa der Router Ihres Providers, dass er den Heise-Server im Netz von Plus.line über den deutschen Austauschknoten DE-CIX erreichen kann.

Auf dieser Ebene der Kommunikation zwischen Internet-Providern vertraut man sich einfach; es findet so gut wie keine Kontrolle statt. Wenn ein Provider eine bessere Route zu einem Ziel bekannt gibt, werden seine Nachbarn ihm dessen Pakete anliefern und das dann auch ihren anderen Nachbarn weiter empfehlen. Theoretisch könnten zwar Admins einzelne BGP-Announcements prüfen und freischalten. In der Praxis sind das jedoch so viele, dass das Ganze fast komplett automatisiert passiert. Dass das zu fatalen Problemen führen kann, demonstrierte ein Vorfall in 2008, als nach einem entsprechenden BGP-Annoncement weltweit alle Zugriffe auf Youtube-Videos in einem digitalen Mülleimer in Pakistan landeten.

Die jetzt von Renesys beobachteten Paket-Entführungen unterscheiden sich von solchen Unfällen dadurch, dass nicht alle Routen umgeleitet wurden, sondern jeweils ein sauberer Rückweg von den Manipulationen ausgenommen war. So erreichten die Pakete dann letztlich doch ihren vorgesehenen Empfänger – nur mit einer etwas längeren Laufzeit. Handelt es sich um unverschlüsselte Daten konnten dann alle Stationen unterwegs den Datenverkehr mitlesen.

Wie es genau zu diesen temporären Umleitungen kam, konnte Renesys nicht herausfinden. Der angesprochene isländische Provider etwa verwies lapidar und vage auf ein Software-Problem. Effektiven Schutz vor Missbrauch des BGP-Routings gibt es derzeit auch nicht. Da sich der Aufbau einer Infrastruktur für ein gesichertes und authentifiziertes Routing-Protokoll wohl noch Jahre hinziehen wird, sieht Renesys derzeit den besten Schutz darin, Missbrauch aufzuspüren und anzuprangern.

Damit solche Manipulationen auffallen, sollten die im Normalfall verwendeten Routen natürlich möglichst direkt und ohne Umwege über andere Kontinente zum Ziel führen. Telekom-Chef René Obermann hat also durchaus Recht mit seiner Forderung nach einem "Schengen-Routing", bei dem inner-europäische Datenpakete den Schengen-Raum nicht verlassen. Es reduziert nicht nur die Gefahr flächendeckender Überwachung durch die NSA, sondern gezielte Angriffe durch BGP-Umleitungen fallen damit auch stärker auf. Das sollte die Telekom jetzt also durch ein kostenneutrales Peering mit dem Frankfurter DE-CIX möglichst schnell realisieren. Die aktuellen Vorgänge verdeutlichen aber auch, warum die Forderungen nach einem gesetzlich vorgeschriebenen Schengen-Routing nicht sinnvoll sind. Die technische Infrastruktur des Internet gibt eine solche verpflichtende Beschränkung derzeit einfach nicht her. (ju)