IRCNF
Internet & Network

BGP-Hijacking bleibt ein struktureller Fehler im Internet-Routing – RPKI-Einführung ist die Lösung

Teilen:
BGP-Hijacking bleibt ein struktureller Fehler im Internet-Routing – RPKI-Einführung ist die Lösung

Das Protokoll, das das Internet antreibt, hat keine eingebaute Authentifizierung

Jedes Mal, wenn du eine Website lädst, durchquert dein Traffic Dutzende autonome Systeme, die von ISPs, Cloud-Anbietern und Unternehmen betrieben werden. Diese Netzwerke tauschen Routing-Informationen über BGP aus – ein Protokoll, das 1989 ohne kryptografische Authentifizierung entwickelt wurde. Wenn ein Netzwerk ankündigt, einen bestimmten IP-Adressblock zu besitzen, glaubt ihm jedes andere Netzwerk ohne Überprüfung.

Dieses strukturelle Defizit hat über Jahrzehnte zu Vorfällen geführt. Im April 2010 kaperte China Telecom kurzzeitig Routen für 15 % des globalen Internetverkehrs für 18 Minuten. 2018 entführten Angreifer BGP-Routen für Amazon Route 53 DNS-Resolver und stahlen damit 152.000 $ in Ethereum. CAIDA verzeichnete 2023 über 1.700 bestätigte BGP-Hijacking-Ereignisse.

RPKI: Kryptografische Routenvalidierung seit 2012

Resource Public Key Infrastructure (RPKI), standardisiert in RFC 6480 (2012), verknüpft IP-Adressbesitz mit kryptografischen Zertifikaten. Netzwerkbetreiber erstellen Route Origin Authorizations (ROAs) – signierte Bestätigungen, welches autonome System einen Präfix legitim originieren darf. Eine Studie von NIST und der University of Maryland aus dem Jahr 2023 ergab, dass Netzwerke mit RPKI-ROV-Durchsetzung 95 % der getesteten Hijacking-Versuche abwiesen.

Adoption im Jahr 2026

Stand Mai 2026 tragen rund 47 % der global gerouteten IPv4-Präfixe gültige ROAs. Die Durchsetzung (ROV) liegt bei etwa 35 % der autonomen Systeme. AWS, Google Cloud, Microsoft Azure und Cloudflare setzen RPKI alle durch. Die Nachzügler sind vor allem regionale ISPs in Südostasien, Lateinamerika und Afrika. Die EU-NIS2-Richtlinie (Oktober 2024) listet BGP-Sicherheit einschließlich RPKI explizit als erforderliche technische Kontrollen für essentielle Netzbetreiber auf.

Jenseits von RPKI: ASPA zur Pfadvalidierung

RPKI validiert Routenursprünge, aber nicht den AS-Pfad. BGPsec, die theoretische Komplettpfad-Lösung, hat nahezu null Deployment. Autonomous System Provider Authorization (ASPA) gewinnt schneller an Fahrt – RIPE NCC integrierte ASPA-Erstellung 2025, und große europäische ISPs rollen es aus. ASPA fängt Route-Leaks ab, die reines RPKI nicht erkennt.

Praktische Handlungsempfehlungen

  • Erstelle jetzt ROAs über dein RIR-Portal – die Oberfläche von RIPE NCC ist die intuitivste.
  • Aktiviere ROV-Durchsetzung auf Border-Routern mit Routinator, OctoRPKI oder dem Validator von NLnet Labs.
  • Tritt MANRS bei (manrs.org) – über 900 teilnehmende Netzwerke seit Mai 2026.
  • Prüfe ROA-Ablaufdaten und automatisiere Monitoring, um ROA-Fäule zu verhindern.
  • Behalte die ASPA-Entwicklung im Auge, wenn deine Organisation komplexe Peering-Beziehungen hat.
BGPRPKIrouting securityinternet infrastructurenetwork-security
Teilen:
BGP-Hijacking bleibt ein struktureller Fehler im Internet-Routing – RPKI-Einführung ist die Lösung | IRCNF - Intelligent Reliable Custom Next-gen Frameworks