IP-Piraten zweigen Internetdaten ab

Lutz Pössneck,

Verschlüsselter Datenverkehr wird von IP-Piraten gekapert, über eigene Server umgeleitet, dort mitgelesen und verändert – bei dieser Vorstellung sträuben sich die Nackenhaare von IT-Profis. Lecks im Border Gateway Protocol (BGP) erlauben es Staaten wie China und Pakistan jedoch, genau dies zu tun.

Offenbar war diese Sperre jedoch auch der Grund für den weltweiten Ausfall von Youtube. Die Pakistan Telecom und der Internet Provider PCCW sollen dafür Youtubes Webserver-Adresse “entführt” haben. Der weltweite Ausfall sei ein Versehen gewesen. Erst nachdem Youtube PCCW auf die Probleme hingewiesen hatten, konnte die Panne behoben werden.

IP-Hijacking – das ist es, was einige Experten befürchten. Die Operatoren der Server, über die der Datenverkehr umgeleitet wird, könnten nicht verschlüsselte E-Mails lesen, löschen oder bearbeiten, sagte Neustar-Manager Joffe jetzt gegenüber CNET. Lücken in der SSL-Verschlüsselung könnten dazu führen, dass auch angeblich geschützte Daten ausgespäht werden.

“Wenn Sie die Inhalte des DNS-Taffic überprüfen wollen, sollte der Datenverkehr über Sie laufen”, sagte Joffe. “China hat einen enormen Teil des Traffic umgeleitet – und kann diesen theoretisch kontrollieren und modifizieren.” Darunter sei auch der Datenverkehr von US-Ministerien und großen Unternehmen gewesen. Er glaube auch, dass es bereits mehr Vorfälle dieser Art gegeben habe. Die Informationen darüber seien jedoch nicht öffentlich.

Mit dem Border Gateway Protocol (BGP) informieren sich die Router untereinander darüber, welche Verbindungswege verfügbar sind. Man könne mit Fug und Recht sagen, dass BGP das Protokoll sei, das das Internet zusammenhalte, so der Netzwerkexperte Andree Toonk gegenüber Technology Review.

Dass dieses Protokoll Sicherheitslecks hat, ist seit langem bekannt. Die Situation werde sich dennoch nicht schnell ändern, sagte Joffe. “Arbeitsgruppen sind jetzt dabei, die Sachen zu bessern und dafür zu sorgen, dass der Datenverkehr nicht entführt werden kann – aber das wird noch Jahre dauern.” Mögliche Auswege sollen Projekte wie Secure BGP und Resource Public Key Infrastructure (RPKI) liefern.

Derzeit gebe es für einen BGP-Router noch keine Möglichkeit, nachzuprüfen, ob das, was ein anderer BGP-Router ihm mitteile, wahr ist, hieß es von Toonk. “Aus diesem Grund glaubt ein BGP-Router einem anderen BGP-Router schlicht alles.” Das Beste, was man als Admin machen könne, sei Analysewerkzeuge zu verwenden. “Früherkennung ist das Allerwichtigste.”