BGP ist 35 Jahre alt und hält das Internet immer noch zusammen – und genau das ist das Problem
1989 skizzierten zwei Ingenieure bei einem Treffen ein Routing-Protokoll auf Servietten. Das Protokoll – das Border Gateway Protocol, kurz BGP – sollte eine schnelle Lösung für das wachsende Problem sein, wie unabhängige Netzwerke einander mitteilen können, wohin sie Datenverkehr leiten. Es war funktional, pragmatisch und nahezu ohne Sicherheitsvorkehrungen. Heute ist es die Grundlage des globalen Internets – und das seit 35 Jahren.
BGP ist keine Software, mit der die meisten Menschen direkt interagieren. Es ist das Protokoll, das zwischen den Routern an den Rändern jedes großen Netzwerks läuft – jedem Internetdienstanbieter, jedem Cloud-Anbieter, jedem Unternehmen mit eigenem IP-Adressraum. Wenn Sie eine Webseite laden, sorgt BGP dafür, dass Ihre Anfrage die richtige Abfolge von Netzwerken durchläuft, um den richtigen Server zu erreichen. Ohne BGP wäre das Internet eine Ansammlung isolierter Inseln. Mit ihm ist es ein einziger erreichbarer Adressraum von rund 4,3 Milliarden IPv4-Adressen.
Wie BGP tatsächlich funktioniert
Das Internet ist in Autonome Systeme (AS) organisiert – unabhängige Netzwerke, die von einer einzigen Organisation betrieben werden. Ihr ISP ist ein AS. Amazon Web Services ist ein AS. Eine Universität mit eigener Netzinfrastruktur ist ein AS. Jedes AS hat eine Nummer (eine ASN, vergeben von regionalen Internet-Registrierungsstellen) und einen Satz von IP-Präfixen – Adressbereiche, die es kontrolliert.
BGP ist das Protokoll, mit dem ASes ihren Nachbarn ihre Präfixe ankündigen und die Routen der anderen lernen. Wenn AS-A ein Präfix erreichen will, das AS-Z gehört, verlässt es sich auf eine Kette von BGP-Ankündigungen: Der Router von AS-A weiß, dass AS-B einen Pfad zu AS-Z hat, AS-B weiß, dass AS-C einen hat, und so weiter. Das Protokoll basiert auf Vertrauen: Wenn ein AS ankündigt „Ich habe einen Pfad zu diesen IP-Adressen", akzeptieren benachbarte ASes diese Ankündigung und verbreiten sie weiter. Es gibt keine kryptografische Verifikation. Es gibt keine zentrale Autorität. Wenn ein AS ein Präfix ankündigt, das ihm nicht gehört, verbreitet sich die Ankündigung global.
Das ist eine BGP-Entführung (BGP Hijack). Und sie passiert regelmäßig.
Berühmte Ausfälle
2010 kündigte China Telecom für etwa 18 Minuten rund 15 % der globalen Internet-Routen durch sein Netzwerk an. Datenverkehr, der für US-Militärseiten, Dell, IBM und hunderte anderer Organisationen bestimmt war, wurde kurzzeitig durch chinesische Infrastruktur geleitet. Der Vorfall war wahrscheinlich unbeabsichtigt – eine Fehlkonfiguration statt gezieltem Abhören –, aber er zeigte das Ausmaß der Gefährdung.
2019 kündigte ein kleiner Internetdienstanbieter in Pennsylvania versehentlich 20.000 Routen an, die ihm nicht gehörten, und leitete den Traffic von Amazon, Cloudflare, Facebook und vielen anderen durch ein Netzwerk mit unzureichender Kapazität. Die Folge: weit verbreitete Verlangsamungen und Ausfälle, die Millionen von Nutzern mehrere Stunden lang beeinträchtigten.
2021 legte ein eigener BGP-Konfigurationsfehler von Facebook – kombiniert mit einem DNS-Ausfall – alle Facebook-Dienste (Facebook, Instagram, WhatsApp) für sechs Stunden komplett lahm. Der BGP-Entzug von Facebooks eigenen Präfixen bedeutete, dass Datenverkehr ihre Infrastruktur nicht erreichen konnte, selbst wenn DNS funktioniert hätte. Die Wiederherstellung des Dienstes erforderte, dass Ingenieure physisch auf die Hardware in den Rechenzentren zugriffen, da auch die normalen Fernwartungswerkzeuge keine Verbindung herstellen konnten.
Das Muster bei diesen Vorfällen ist gleichbleibend: BGPs Vertrauensmodell führt dazu, dass Fehler und bösartige Ankündigungen mit Internetgeschwindigkeit verbreitet werden und Korrekturen Zeit brauchen, um hunderte autonome Systeme zu durchlaufen.
RPKI: Die Lösung, deren Einführung Jahrzehnte dauert
Resource Public Key Infrastructure (RPKI) ist das kryptografische Framework, das BGPs Vertrauensproblem beheben soll. RPKI ermöglicht es IP-Adressinhabern, digital signierte Zertifikate – Route Origin Authorizations (ROAs) – zu erstellen, die kryptografisch festlegen, welche ASes berechtigt sind, welche Präfixe zu bewerben. Ein Router, der RPKI-Validierung durchführt, kann Ankündigungen ohne gültige ROA ablehnen und damit den meisten Entführungsszenarien einen Riegel vorschieben.
RPKI ist seit den frühen 2010er Jahren technisch verfügbar. Die Einführung erfolgte aus strukturellen Gründen langsam: Jedes Netzwerk muss zwei Dinge tun – seine eigenen Präfixe signieren (Origin-Validierung) und Ankündigungen von Peers validieren (Route Origin Validation). Der zweite Schritt bietet nur in dem Maße Schutz, wie viele Netzwerke den ersten Schritt durchführen. Es ist ein Koordinationsproblem in Internet-Maßstab.
Die Fortschritte haben sich beschleunigt. Stand 2026 sind etwa 40 % der globalen Routing-Tabelle durch gültige ROAs abgedeckt. Große Netzwerke – Cloudflare (der lautstärkste RPKI-Befürworter), AT&T, Comcast, Deutsche Telekom und die meisten großen Cloud-Anbieter – setzen jetzt RPKI-Validierung auf ihren Peering-Links durch. MANRS (Mutually Agreed Norms for Routing Security) verfolgt die Einhaltung, und der Anteil MANRS-konformer Netzwerke ist seit 2022 deutlich gestiegen.
Die verbleibenden 60 % der Routing-Tabelle sind ein hartnäckiger langer Schwanz. Kleinere ISPs und regionale Netzwerke haben oft nicht die technischen Ressourcen, um RPKI zu implementieren, oder besitzen Legacy-Geräte, die es nicht unterstützen. Manche haben kommerzielle Gründe, Routenfilterung zu vermeiden (Filterung kann Peering-Einnahmen beeinträchtigen). Das Problem konzentriert sich auf Entwicklungsregionen, wo die Modernisierung der ISPs am langsamsten vorankommt.
Jenseits von RPKI: BGPsec und Pfadvalidierung
RPKI löst die Origin-Validierung – die Bestätigung, dass das AS, das ein Präfix ankündigt, dazu berechtigt ist. Es löst nicht die Pfadvalidierung – die Bestätigung, dass der AS-Pfad in einer BGP-Ankündigung genau den tatsächlichen Pfad widerspiegelt, den der Datenverkehr nehmen wird. Ein raffinierterer Angriff (oder eine Fehlkonfiguration) kann selbst mit RPKI noch falsche AS-Pfadinformationen einschleusen.
BGPsec ist die vorgeschlagene Lösung: eine vollständige kryptografische Signatur des gesamten AS-Pfads für jede Routenankündigung. Es würde wesentlich stärkere Sicherheitsgarantien bieten. Es würde aber auch erfordern, dass jeder Router auf dem Pfad BGPsec-Validierung unterstützt und durchführt, einen deutlich höheren Rechenaufwand verursacht und eine koordinierte globale Aufrüstung der Routing-Infrastruktur nötig machen. Der Konsens unter Netzwerkingenieuren ist, dass BGPsec kurzfristig zu teuer ist, um es im Internet-Maßstab einzusetzen.
Der praktische Fahrplan ist: die RPKI-Einführung für die Origin-Validierung abschließen (die nächsten 5 Jahre), dann die Pfadsicherheit schrittweise mit einer Mischung aus Routenfilterungsrichtlinien, RPKI und Überwachungsinfrastruktur bewerten. Organisationen wie RIPE NCC und ARIN veröffentlichen Echtzeit-BGP-Überwachungs-Dashboards, die es Betreibern ermöglichen, Entführungen innerhalb von Minuten zu erkennen, statt der Stunden, die es früher dauerte.
Was das für die Zuverlässigkeit bedeutet
BGPs Fragilität ist strukturell, nicht zufällig. Das Protokoll wurde für ein anderes Internet entworfen – eines mit einer kleinen Anzahl vertrauenswürdiger Teilnehmer, die Universitäten und Forschungseinrichtungen verbanden. Die Entscheidung, es auf eine globale kommerzielle Infrastruktur mit Hunderttausenden von Teilnehmern, viele mit gegensätzlichen Anreizen, auszudehnen, war nie eine bewusste Designentscheidung. Es geschah aus Bequemlichkeit, weil es keine Alternative gab, als das Internet skaliert werden musste.
Das Internet lebt seit 35 Jahren mit diesem Kompromiss. Die langsame Einführung von RPKI ist der erste systematische Versuch, einem Protokoll, das nie dafür ausgelegt war, Sicherheitseigenschaften hinzuzufügen. Es wirkt – BGP-Entführungsvorfälle, die heute Schlagzeilen machen, sind seltener und kürzer als 2015 oder 2019, weil mehr Netzwerke jetzt ungültige Routenankündigungen automatisch ablehnen. Aber „weniger häufig" und „selten" ist nicht dasselbe wie „gelöst", und für eine Infrastruktur, die den weltweiten Handel, Gesundheitsdaten und Kommunikation trägt, ist die Lücke zwischen diesen beiden Zuständen noch immer bedeutsam.