{"id":28535,"date":"2023-04-19T16:34:00","date_gmt":"2023-04-19T15:34:00","guid":{"rendered":"https:\/\/zayoeutrans.burbledev.com\/resources\/ein-sicheres-oeffentliches-internet-ist-das-moeglich\/"},"modified":"2026-05-07T18:04:56","modified_gmt":"2026-05-07T17:04:56","slug":"ein-sicheres-oeffentliches-internet-ist-das-moeglich","status":"publish","type":"resources","link":"https:\/\/zayoeutrans.burbledev.com\/de\/resources\/ein-sicheres-oeffentliches-internet-ist-das-moeglich\/","title":{"rendered":"Ein sicheres \u00f6ffentliches Internet? Ist das m\u00f6glich?"},"content":{"rendered":"\n

Das \u00f6ffentliche Internet ist eine ganze Menge. Es ist eine kosteng\u00fcnstige Verbindung f\u00fcr entfernte B\u00fcros. Es bietet Studenten Zugang zu unz\u00e4hligen \u00f6ffentlichen Lernprogrammen. Es ist der Mechanismus, \u00fcber den das Wissen der Welt auf unsere Ger\u00e4te gelangt. Es ist die Lebensader eines jeden Unternehmens f\u00fcr seine Kunden. <\/p>\n\n

Bei allem Nutzen, den das Internet bietet, sind wir uns einig, dass das Internet nicht sicher ist. Internet Service Provider (ISPs) auf der ganzen Welt beginnen jetzt, das zu \u00e4ndern. Um zu verstehen, wie das geht, sollten wir uns kurz ansehen, was das Internet zum Brummen bringt. <\/p>\n\n

Das Internet ist ein zusammenh\u00e4ngendes Netzwerk von Netzwerken. Das Kernst\u00fcck des Internets sind die miteinander verbundenen Netzwerke der gr\u00f6\u00dften Internet Service Provider (ISPs) – die “Tier-1s”. Ein Tier-1 ISP hat Zugang zum gesamten Internet, ohne f\u00fcr IP Transit bezahlen zu m\u00fcssen. <\/p>\n\n

Sie tun dies durch “Peering”, d.h. durch die Einrichtung von abrechnungsfreien Inter-ISP-Verbindungen, die dazu dienen, den Datenverkehr von einem Netzwerk zu einem anderen weiterzuleiten, das f\u00fcr die Zustellung des Pakets ben\u00f6tigt wird. Diese Vereinbarungen sind freiwillig, unbezahlt, f\u00fcr beide Seiten vorteilhaft, bilateral, direkt mit anderen Tier-1s oder strategischen Netzwerken und dienen den Bed\u00fcrfnissen ihrer gegenseitigen Kunden und dem Internet insgesamt. <\/p>\n\n

Durch diese “Peering”-Vereinbarungen tauschen die Tier-1s Daten zwischen ihren Netzwerken aus und \u00fcbertragen sie, und kleinere ISPs kaufen den Internetzugang von den Tier-1s. Die Tier-1-ISPs, die Peering betreiben, halten ihre Netzwerke aufrecht, indem sie stets f\u00fcr eine ausreichende Bandbreite sorgen, um den zwischen ihnen ausgetauschten Content und “Eyeball”-Verkehr zu unterst\u00fctzen. <\/p>\n\n

Ohne eine solche unternehmens\u00fcbergreifende Zusammenarbeit w\u00fcrde das Internet nicht so reibungslos funktionieren. <\/p>\n\n

Die Zusammenschaltung durch Peering ist nur der erste Schritt. Im n\u00e4chsten Schritt werden die Regeln f\u00fcr den Austausch von Paketen festgelegt – wie das Routing erfolgt. Alle miteinander verbundenen Netzwerke tauschen Pakete nach den Regeln aus, die in einem Protokoll namens BGP (Border Gateway Protocol) definiert sind, dem globalen Routing-System f\u00fcr den Internetverkehr. <\/p>\n\n

BGP ist eines der Kernprotokolle des Internets. Aber es wurde nicht mit Blick auf die Sicherheit entwickelt. <\/p>\n\n

Resource Public Key Infrastructure (RPKI) ist eine “begleitende” Technologie, die das BGP-Routing sicherer machen soll. Sie tut dies, indem sie die Herkunft des Datenverkehrs \u00fcberpr\u00fcft. RPKI erm\u00f6glicht es Netzwerkbetreibern, die Authentizit\u00e4t von BGP-Routenank\u00fcndigungen zu \u00fcberpr\u00fcfen, ihre G\u00fcltigkeit sicherzustellen und die Routenank\u00fcndigung zur\u00fcckzuweisen, wenn sie von einer nicht autorisierten Quelle stammt. <\/p>\n\n

\n
\n
\"\"<\/figure>\n<\/div>\n\n\n\n
\n

RPKI – Der “T\u00fcrsteher” des Internets<\/h2>\n\n\n\n

RPKI hat ein sch\u00e4rferes Auge auf die Ank\u00fcndigungen, die in das Netzwerk eines ISP gelangen, und stellt sicher, dass sie autorisiert sind. <\/p>\n\n\n\n

Stellen Sie sich vor, Sie sind T\u00fcrsteher in einem Nachtclub und ein Gast kommt an die T\u00fcr und behauptet, VIP zu sein. Sie fragen zun\u00e4chst nach dem Namen des Gastes, erhalten ihn und gleichen ihn mit den Informationen auf Ihrer VIP-G\u00e4steliste ab. Wenn der Name auf der VIP-G\u00e4steliste steht, k\u00f6nnen Sie den Gast einlassen. <\/p>\n\n\n\n

<\/p>\n<\/div>\n<\/div>\n\n

Oder… wie beim RPKI k\u00f6nnen Sie auch einen Nachweis verlangen, dass der Gast derjenige ist, der er zu sein vorgibt, und um einen Ausweis bitten, der mit den Angaben auf seinem VIP-Pass \u00fcbereinstimmt. Erst wenn der Gast diese Dokumente vorlegt und diese Dokumente \u00fcberpr\u00fcft wurden, wird er eingelassen. <\/p>\n\n

RPKI ist der Club-T\u00fcrsteher des Internets. Wenn Netzwerke die Autorit\u00e4t beanspruchen, Routen anzuk\u00fcndigen (den Club zu betreten), \u00fcberpr\u00fcft der T\u00fcrsteher die Autorit\u00e4t und Identit\u00e4t anhand eines virtuellen VIP-Passes. <\/p>\n\n

Bei diesen VIP-P\u00e4ssen handelt es sich um die digitalen Zertifikate, die von den f\u00fcnf globalen Regional Internet Registries (RIRs) ver\u00f6ffentlicht und jedem Clubgast zugewiesen werden. Die f\u00fcnf RIRs sind AfriNIC (Afrika), APNIC (Asien-Pazifik), ARIN (Nordamerika), LACNIC (Lateinamerika) und RIPE NCC (Europa, MIdlerer Osten und Zentralasien). Die Zertifikate werden in der RPKI (unserer T\u00fcrsteherliste) ver\u00f6ffentlicht. <\/p>\n\n

RPKI pr\u00fcft dieses digitale Zertifikat mit den Informationen in seinem System. Wenn dieser digitale VIP-Pass von einer vertrauensw\u00fcrdigen Stelle erkannt und <\/em>signiert wird, wird der Zugang gew\u00e4hrt. <\/p>\n\n

Wie das gesamte Internet erfordert auch der RPKI Zusammenarbeit<\/h2>\n\n

Die RPKI-Validierung erfolgt in zwei Richtungen: sowohl durch das Ursprungsnetz als auch durch das Empfangsnetz. \u00c4hnlich wie das freiwillige gute Verhalten beim Peering erfordert RPKI auch ein freiwilliges gutes Verhalten der gepeerten ISPs, um alle Internetnutzer zu sch\u00fctzen. Der Schutz durch die \u00dcberpr\u00fcfung der Ursprungsidentit\u00e4t wird am sinnvollsten, wenn Netzwerke ihre eigenen Routenherk\u00fcnfte “signieren” oder identifizieren und <\/em>wenn sie die Urspr\u00fcnge des f\u00fcr ihre Netzwerke bestimmten Verkehrs validieren. <\/p>\n\n

Als Tier-1 ISP ist sich Zayo der Verantwortung bewusst, ein solides, ausgewogenes und gut verteiltes Peering aufrechtzuerhalten. Wir nehmen uns auch die Verantwortung zu Herzen, Technologien wie RPKI einzuf\u00fchren, um das gesamte Internet sicherer zu machen. Zayo ist stolz darauf, zu den Tier-1-ISPs zu geh\u00f6ren, die diese Technologie einsetzen, zun\u00e4chst durch die \u00dcberpr\u00fcfung der Herkunft des Datenverkehrs, der in unser Netzwerk gelangt, und sp\u00e4ter in diesem Jahr durch das “Signieren” – die Erstellung und Anbringung digitaler Signaturen auf unseren eigenen Routen, um deren Authentizit\u00e4t zu gew\u00e4hrleisten. <\/p>\n\n

\u00dcber die hier beschriebene anf\u00e4ngliche Grundlage von RPKI hinaus liegt das ultimative Versprechen noch in der Zukunft. Die Grundlage ist geschaffen und wird derzeit von ISPs weltweit \u00fcbernommen. Aus dieser Grundlage werden sich zuk\u00fcnftige Verbesserungen ergeben, wie z.B. ASPA-Objekte (Autonomous System Provider Authorization), die Hinzuf\u00fcgung von AS-Pfaden (Autonomous System Paths) und schlie\u00dflich BGPSec, bei dem BGP signierte Anzeigen enthalten wird. <\/p>\n\n

Was macht das RPKI derzeit konkret?<\/h2>\n\n

Die RPKI-Technologie sch\u00fctzt vor Route Hijacking. BGP-Routenentf\u00fchrung ist ein \u00fcblicher Angriff, bei dem der Angreifer (ein Clubgast, der den VIP-Status f\u00fcr sich beansprucht) eine falsche Route ank\u00fcndigt (er legt eine gef\u00e4lschte ID oder einen VIP-Pass vor und gibt sich als derjenige aus, der er nicht ist), um den Datenverkehr in sein eigenes Netzwerk umzuleiten. Warum sollten sie das tun? Weil der umgeleitete Datenverkehr die Art von gew\u00fcnschten Informationen enth\u00e4lt, die f\u00fcr b\u00f6swillige Zwecke verwendet werden k\u00f6nnen, z. B. Kontonummern, Passw\u00f6rter oder andere pers\u00f6nliche Daten. <\/p>\n\n

Diese Angriffe haben reale Konsequenzen. <\/p>\n\n

\n
\n

Ein erfolgreicher Hijack:<\/h3>\n\n\n\n

Im Jahr 2018 wurde ein gro\u00df angelegter Angriff<\/a> auf MyEtherWallet, einen Kryptow\u00e4hrungs-Wallet-Dienst, gestartet. Die Angreifer erlangten die Kontrolle \u00fcber die BGP-Router und waren in der Lage, den f\u00fcr MyEtherWallet bestimmten Datenverkehr auf eine Phishing-Website umzuleiten, die von den eigenen Servern der Angreifer gehostet wurde. Die Website sah identisch aus wie die MyEtherWallet-Website, so dass die Benutzer nicht wussten, dass sie umgeleitet worden waren. Sie gaben ihre Benutzernamen und Passw\u00f6rter ein, und damit hatten die Angreifer Zugriff auf ihre Anmeldedaten (und stahlen ihr Geld). W\u00e4ren die Routen ordnungsgem\u00e4\u00df mit RPKI validiert worden, w\u00e4re die Umleitung zur\u00fcckgewiesen worden und der Datenverkehr w\u00e4re zu seinem eigentlichen, vorgesehenen Ziel weitergeleitet worden. <\/p>\n<\/div>\n\n\n\n

\n
\"\"<\/figure>\n<\/div>\n<\/div>\n\n

Weitere erfolgreiche Hijacks:<\/h3>\n\n

Sehr \u00e4hnliche BGP-Hijack-Angriffe<\/a> gab es 2022 auf Kryptow\u00e4hrungs-“\u00dcberbr\u00fcckungsdienste”: Ronin Network (600 Millionen Dollar gestohlen), Wormhole Network (325 Millionen Dollar gestohlen) und Harmony Horizon Bridge (100 Millionen Dollar gestohlen).<\/p>\n\n

Abgesehen von den offensichtlichen lukrativen Kryptoangriffen zielen BGP-Hijacker auch auf den Datenverkehr von ISPs und DNS-Providern ab, um Benutzer auf ihre eigenen Server umzuleiten. Und warum? Um den Zugang zu bestimmten Websites zu kontrollieren, um sensible Informationen im Datenverkehr abzufangen, zu \u00fcberwachen und zu entschl\u00fcsseln oder um einfach nur den Internet-Service zu st\u00f6ren. Seit 2020 gab es \u00fcber 1.400 BGP-Hijacking-Vorf\u00e4lle – etwa 14 pro Tag – und unabh\u00e4ngig vom Grund des Angriffs scheinen die Angreifer<\/a> ihre Ziele zu erreichen. <\/p>\n\n

Unbeabsichtigte “Hijacks” – die Verheerungen eines Tippfehlers<\/h3>\n\n

BGP-Umleitungen sind nicht immer beabsichtigt oder b\u00f6swillig. Versehentliche BGP-Umleitungen werden als “Routenlecks” bezeichnet und k\u00f6nnen durch menschliche Programmierfehler, Softwarefehler, Konfigurationsprobleme oder andere unbeabsichtigte Fehler entstehen. Im Jahr 2019 wurde beispielsweise<\/a> ein gro\u00dfer Teil des Internetverkehrs von Verizon versehentlich \u00fcber das IP Netzwerk eines seiner Kunden umgeleitet. Dieser Kunde, ein kleiner Metallhersteller aus Pennsylvania, stellte fest, dass sein System schnell \u00fcberlastet war und die IP-Benutzer von Verizon nie ihr eigentliches Ziel erreichten. <\/p>\n\n

Da BGP immer nach dem effizientesten Routing durch das Internet sucht, k\u00f6nnen versehentliche Fehlkodierungen oder andere Fehler viele Benutzer umleiten und zu weitreichenden Ausf\u00e4llen, verminderter Leistung und unterbrochenen Reisen zu den beliebtesten Zielen<\/a> wie Google, Facebook, YouTube, Amazon, Netflix und anderen beliebten Websites f\u00fchren.<\/p>\n\n

Wie unser Club Bouncer bietet RPKI die Sicherheitsvorkehrungen, die die Sicherheitsl\u00fccken von BGP schlie\u00dfen k\u00f6nnen. Unabh\u00e4ngig davon, ob BGP-Umleitungen absichtlich oder versehentlich vorgenommen werden, stellt RPKI sicher, dass ISPs den Datenverkehr an vorher genehmigte, autorisierte und g\u00fcltige Ziele weiterleiten. <\/p>\n\n

Zayo’s investiert in den Erfolg seiner Kunden<\/h2>\n\n

In den vergangenen zwei Jahren hat Zayo unser Netzwerk erheblich verbessert und seine Leistungsf\u00e4higkeit f\u00fcr unsere Kunden sichergestellt. Wir verbessern unser Netzwerk, erweitern seine Reichweite und modernisieren unsere IP-Schicht. Unsere Priorit\u00e4ten waren einfach: eine gr\u00f6\u00dfere geografische Abdeckung, die Sicherheit unserer Kunden – und letztlich auch die ihrer Kunden – und gleichzeitig eine flexible, automatisierte Bereitstellung von Bandbreiten. <\/p>\n\n

Die Rolle von Zayo beim Aufbau von RPKI als Grundlage des Internets ist Teil dieser allgemeinen Netzwerkstrategie. Eine weitere Initiative ist die Forderung nach einer Zwei-Faktor-Authentifizierung<\/em> f\u00fcr alle BGP-Routing-\u00c4nderungen, die Kunden anfordern. Zayo ist einer der ersten Internet-Provider, der die BGP-Sicherheit auf diese Weise versch\u00e4rft. <\/p>\n\n

Zusammengefasst umfassen die j\u00fcngsten IP-bezogenen Netzwerk-Updates von Zayo Folgendes:<\/p>\n\n