BGP-Hijacking legt immer noch das Internet lahm – und RPKI ist der Fix, den die meisten ISPs noch nicht eingesetzt haben
Irgendwann im April 2010 wurde für etwa 18 Minuten rund 15 % des weltweiten Internetverkehrs über das Netzwerk von China Telecom umgeleitet. Darunter befand sich Traffic von US-Militär, Regierungsbehörden und großen Unternehmen. China Telecom hatte nichts gehackt. Es kündigte einfach an, bessere Routen zu diesen Zielen zu haben, und der Rest des Internets glaubte das – denn das Border Gateway Protocol, das System, das den gesamten Internetverkehr routet, hat keine Möglichkeit zu überprüfen, ob eine Routing-Ankündigung legitim ist.
Das war vor 16 Jahren. Das zugrundeliegende Problem ist immer noch nicht behoben.
Das Protokoll, das auf Vertrauen basiert
BGP stammt aus dem Jahr 1989. Es wurde entwickelt, als das Internet ein kleines Netzwerk aus Universitäten und Regierungsbehörden war, die sich kannten. Das Protokoll funktioniert nach dem Prinzip: Wenn ein Netzwerk (Autonomous System, kurz AS) ankündigt, einen bestimmten IP-Adressblock erreichen zu können, dann ist diese Ankündigung wahr. Es gibt keine kryptografische Verifikation, keine Authentifizierung, keine Möglichkeit nachzuweisen, dass man das Recht hat, eine Route anzukündigen. Man kündigt sie einfach an, und das Internet routet den Traffic zu einem.
Das ist relevant, weil BGP der Weg ist, auf dem jedes Paket im Internet sein Ziel findet. Wenn du eine Webseite lädst, fragt der Router deines ISP die BGP-Tabellen ab, um den Pfad zum Server zu ermitteln. Wenn jemand eine falsche Route injiziert, geht dein Traffic woanders hin – zu einem Netzwerk, das ihn lesen, modifizieren oder einfach verwerfen kann.
BGP-Hijacking passiert regelmäßig. Pakistan Telecom legte YouTube 2008 für zwei Stunden lahm, weil es versehentlich eine bessere Route ankündigte. Rostelecom in Russland fing 2020 kurzzeitig Traffic von Amazon, Google, Akamai und 200 weiteren Anbietern ab. Ein belarussischer ISP kaperte 2021 den IP-Bereich von Cloudflare. Die meisten Vorfälle sind versehentliche Fehlkonfigurationen, aber staatliche Akteure haben gezeigt, dass sie es auch absichtlich tun können.
Was RPKI beheben soll
Resource Public Key Infrastructure – RPKI – ist ein kryptografischer Rahmen, der es IP-Adressinhabern erlaubt, sogenannte Route Origin Authorizations (ROAs) zu signieren. Eine ROA besagt in kryptografischer Form: „AS 64500 ist autorisiert, das Präfix 198.51.100.0/24 anzukündigen.“ Wenn jemand anderes dasselbe Präfix ankündigt, können Netzwerke mit aktivierter RPKI-Validierung erkennen, dass die Ankündigung zu keiner gültigen ROA passt, und sie ablehnen.
Die fünf Regional Internet Registries – ARIN (Nordamerika), RIPE NCC (Europa/Mittlerer Osten), APNIC (Asien-Pazifik), LACNIC (Lateinamerika) und AFRINIC (Afrika) – bieten alle RPKI-Dienste an. ROAs zu erstellen ist kostenlos. Die kryptografische Infrastruktur ist bereits vorhanden.
Das Problem ist, dass RPKI zwei Schritte erfordert, um Hijacking tatsächlich zu stoppen. Erstens müssen die Adressinhaber ROAs erstellen. Zweitens müssen ISPs und Netzwerkbetreiber ihre Router so konfigurieren, dass sie Ankündigungen ablehnen, die die Validierung nicht bestehen (das nennt man Origin Validation oder RPKI-ROV). Beide Teile müssen umgesetzt sein, damit der Schutz wirkt.
Wo die Einführung tatsächlich steht
Anfang 2026 haben etwa 50–55 % der global gerouteten IPv4-Präfixe gültige ROAs – das heißt, ihre Inhaber haben sie mit RPKI signiert. Das ist ein Anstieg von etwa 20 % im Jahr 2020 und zeigt echte Fortschritte. Aber die ROA-Erstellung ist nur die Hälfte der Gleichung.
Origin Validation – die Filterung, die tatsächlich schlechte Routen ablehnt – ist auf weitaus weniger Netzwerken implementiert. NIST schätzt, dass derzeit etwa 30–35 % der Tier-1- und Tier-2-Netzwerke RPKI-ROV durchsetzen. Die großen US-Carrier (AT&T, Verizon, Lumen/CenturyLink) waren langsam. Europäische Carrier, insbesondere die mit Anbindung an RIPE NCC, haben höhere Einführungsraten. Einige große CDNs wie Cloudflare und Fastly setzen es durch. Die meisten regionalen ISPs und Unternehmensnetzwerke tun das nicht.
Was das bedeutet: Selbst wenn deine ROA besagt, dass du ein Präfix besitzt, wird ein erheblicher Teil der Internetinfrastruktur eine gekaperte Ankündigung dieses Präfixes von jemand anderem immer noch akzeptieren. Der Schutz ist partiell, nicht universell.
Warum es so lange dauert
Die Gründe für die langsame Einführung sind hauptsächlich operativer und wirtschaftlicher Natur, nicht technisch. Die Konfiguration von RPKI-ROV auf den Routern eines Carriers erfordert, die Routing-Policy an jedem Peering-Punkt und jedem Border-Router anzupassen. Eine falsch konfigurierte ROA kann ein legitimes Netzwerk unerreichbar machen – die Lösung wird zur Ursache des Ausfalls. Große ISPs mit hunderttausenden Routen sind verständlicherweise nervös, wenn es darum geht, eine Filterung zu aktivieren, die versehentlich legitimen Traffic blockieren könnte.
Es gibt auch ein Anreizproblem. Die Kosten eines BGP-Hijacking trägt das betroffene Netzwerk. Die Arbeit der RPKI-ROV-Einführung fällt jedem anderen Netzwerk zu. Für einen einzelnen ISP lautete die Rechnung historisch: Der Aufwand ist meiner, der Nutzen ist diffus. Das ist ein klassisches Koordinationsproblem.
Regulierungsbehörden beginnen, Druck auszuüben. Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und die FCC haben Leitlinien herausgegeben, die die RPKI-Einführung bei US-Carriern fördern, und CISAs Prinzipien „Secure by Design“ erwähnen BGP-Sicherheit explizit. Die EU-Richtlinie NIS2, die 2024 in Kraft getreten ist, verlangt von Betreibern wesentlicher Dienste die Umsetzung von BGP-Sicherheitsmaßnahmen – allerdings ist die Durchsetzung in den Mitgliedsstaaten noch uneinheitlich.
Jenseits von RPKI: Was nötig ist, um Routing wirklich zu sichern
RPKI-ROV validiert nur den Ursprung einer Route – das erste AS, das sie ankündigt. Es validiert nicht den vollständigen Pfad, den eine Routenankündigung durchläuft. Eine umfassendere Lösung namens BGPsec fügt kryptografische Signaturen für jeden Schritt des Pfades hinzu, erfordert aber, dass jedes AS auf dem Pfad dies unterstützt, und hat erhebliche Leistungsauswirkungen auf die Router-Hardware. Die Einführung liegt praktisch bei null.
Ein Mittelweg namens ASPA (Autonomous System Provider Authorization) wurde 2024 von der IETF standardisiert. ASPA erlaubt Netzwerken, Datensätze zu signieren, die festlegen, welche ASes ihre Upstream-Provider sind. Damit können Route-Leaks erkannt und abgelehnt werden, die RPKI-ROV übersieht – konkret Fälle, in denen ein Netzwerk versehentlich seine Kundenrouten an seine anderen Provider weitergibt. ASPA stößt auf Interesse, befindet sich aber noch in einer sehr frühen Einführungsphase.
Die zugrundeliegende Realität ist, dass Internetsicherheit beim Routing ein kollektives Handlungsproblem ist. Es erfordert, dass die Mehrheit der bedeutenden Netzwerke gleichzeitig ihre Betriebspraktiken ändert, um voll wirksam zu sein. RPKI hat in den letzten fünf Jahren echte Fortschritte gemacht – die Entwicklung ist positiv – aber beim aktuellen Tempo kann ein entschlossener staatlicher Akteur oder ein falsch konfigurierter Tier-1-Router immer noch den globalen Internetverkehr umleiten. Der technische Fix existiert. Die Einführungslücke ist das Problem.