Das Routing-System des Internets wird endlich abgesichert – zwei Jahrzehnte nach den ersten großen Hijacks

Am 24. Februar 2008 brachte Pakistan Telecom YouTube für die gesamte Welt offline. Nicht durch einen DDoS-Angriff, nicht durch eine gerichtliche Anordnung – sondern durch das versehentliche Ausstrahlen einer spezifischeren Route für YouTubes IP-Adressraum. Innerhalb von Minuten floss der für YouTube.com bestimmte Traffic in das Netzwerk von Pakistan Telecom und verschwand im Nichts. Der Ausfall dauerte zwei Stunden.

Dieser Vorfall war kein Einzelfall. Er war eine Lehrbuchdemonstration dafür, warum das Border Gateway Protocol – das Routing-System, das das gesamte Internet trägt – grundlegend unsicher ist. Fünfzehn Jahre später tun Ingenieure endlich etwas Ernsthaftes dagegen.

Das Problem mit BGP

BGP ist das Protokoll, mit dem autonome Systeme (AS) – von ISPs, Cloud-Anbietern, Universitäten und Unternehmen betriebene Netzwerke – ihre Erreichbarkeit ankündigen. Wenn Ihr Traffic von einem Teil des Internets zu einem anderen reist, springt er zwischen diesen autonomen Systemen gemäß den BGP-Routingtabellen hin und her. Das Problem: BGP wurde 1989 mit einer einfachen Annahme entworfen – dass alle Teilnehmer ehrlich sind.

Jedes Netzwerk kann ankündigen, dass es einen IP-Adressraum besitzt, den es gar nicht besitzt. Andere Router haben ohne externe Validierungsinfrastruktur keine Möglichkeit, dies zu überprüfen. Die Folge sind Route Hijacks – entweder versehentlich (Fehlkonfigurationen, Tippfehler) oder absichtlich (Traffic-Abfangen, Überwachung, Denial of Service).

Die Vorfälle häufen sich Jahr für Jahr. 2010 kündigte China Telecom kurzzeitig Routen für 15 % des Internet-Adressraums an und leitete den Traffic 18 Minuten lang über chinesische Netzwerke um. 2018 wurde der Traffic für Google-Dienste über Nigeria entführt. 2020 entführte Rostelecom über 8.800 Prefixes von Amazon, Google, Cloudflare und Akamai – was rund 200 Organisationen betraf.

RPKI: kryptografische Anker für das Routing

Resource Public Key Infrastructure (RPKI) ist die ausgereifteste Lösung der Branche für die BGP-Route-Origin-Validierung. Das Konzept ist einfach: IP-Adressinhaber erstellen digital signierte Datensätze – sogenannte Route Origin Authorizations (ROAs) – die kryptografisch bestätigen, welche Autonomous System Number (ASN) berechtigt ist, ein bestimmtes IP-Präfix anzukündigen.

Wenn ein Router ein BGP-Update erhält, kann er es mit dem RPKI-Repository abgleichen. Wenn ein Netzwerk ein Präfix ankündigt, für das es nicht autorisiert ist, wird die Route als „RPKI Invalid“ markiert und kann verworfen werden. Die kryptografische Kette führt zurück zu den Regional Internet Registries (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) – den autoritativen Datenbanken der IP-Adressvergabe.

Die Technologie selbst ist seit 2012 durch eine Reihe von IETF-RFCs standardisiert. Was sich in letzter Zeit geändert hat, ist die großflächige Einführung. Anfang 2026 verfügen über 50 % der globalen Routing-Tabelle über eine gültige ROA-Abdeckung – ein Schwellenwert, der vor nur drei Jahren noch als wünschenswert galt. Große IXPs wie AMS-IX, DE-CIX und LINX setzen jetzt RPKI-Filterung durch. Cloudflare, AWS, Azure, Google und die großen Tier-1-Carrier haben alle die Origin-Validierung eingeführt.

MANRS: die soziale Ebene der Routing-Sicherheit

RPKI löst das technische Problem, nachzuweisen, wem was gehört. MANRS – Mutually Agreed Norms for Routing Security – geht das Koordinationsproblem an, Netzwerke dazu zu bringen, es tatsächlich zu implementieren.

MANRS wurde 2014 von der Internet Society ins Leben gerufen und ist ein Rahmenwerk mit vier Maßnahmen: Filtering (nur legitime Routen akzeptieren), Anti-Spoofing (gefälschte Quell-IP-Adressen verhindern), Koordination (genaue Kontaktinformationen für die Incident Response pflegen) und Global Validation (Implementierung von RPKI). Anfang 2026 sind über 1.000 Netzwerke MANRS beigetreten, darunter die größten Cloud-Anbieter und ISPs.

Der kommerzielle Anreiz gleicht sich allmählich an. Große Cloud-Anbieter und Unternehmen fordern zunehmend die MANRS-Teilnahme ihrer ISPs als Beschaffungskriterium. Auch das regulatorische Interesse wächst – die BGP-Sicherheitsuntersuchung der FCC von 2024 hat ISPs darauf hingewiesen, dass die freiwillige Einführung nicht auf Dauer freiwillig bleiben könnte.

Was RPKI nicht löst

RPKI validiert Route Origins – dass AS64496 berechtigt ist, 192.0.2.0/24 anzukündigen. Was es nicht validieren kann, ist der Pfad, den der Traffic dorthin nimmt. BGPsec, eine ambitioniertere Erweiterung, die den gesamten AS-Pfad kryptografisch signiert, ist zwar standardisiert, steht aber vor einem Henne-Ei-Problem: Es funktioniert nur, wenn der Großteil des Pfads es unterstützt, sodass frühe Anwender keinen Nutzen sehen. Eine schrittweise Einführung ist nahezu unmöglich.

Route Hijacks, die das legitime Ursprungs-AS betreffen (aber den Downstream-Pfad manipulieren), bleiben für RPKI unsichtbar. Und selbst mit RPKI bietet ein Router, der so konfiguriert ist, dass er „RPKI Invalid“-Routen akzeptiert – vielleicht aus Gründen der Legacy-Kompatibilität – keinerlei Schutz. Die Technologie ist nur so stark wie die konsequente Durchsetzung.

Was das für Unternehmen bedeutet

Organisationen mit eigenem IP-Adressraum – in der Regel Unternehmen, die groß genug für eine eigene ASN sind – sollten für jedes ihrer Prefixe ROAs erstellen. Der Vorgang dauert Stunden, nicht Wochen, und erfolgt über das Portal Ihrer Regional Internet Registry. Unterlässt man dies, kann eine Fehlkonfiguration eines vorgelagerten ISPs Ihren IP-Raum versehentlich wie eine spezifischere Route aussehen lassen und Ihren Traffic ohne kryptografische Grundlage für einen Einspruch entführen.

Für Unternehmen ohne eigene ASN stellt sich die Frage, ob Ihr ISP in Ihrem Namen RPKI-Filterung implementiert hat. Die meisten Tier-1-Anbieter tun dies; Transit-ISPs variieren. Der Cloudflare RPKI Validator und der RIPE RPKI Monitor bieten öffentliche Dashboards, um zu überprüfen, ob Ihre Prefixe ordnungsgemäß abgedeckt sind.

Das Internet-Routing-System wird durch RPKI allein nicht vollständig gesichert sein – BGPsec und Pfadvalidierung bleiben offene Probleme. Aber nach zwei Jahrzehnten von Route-Hijacking-Vorfällen und freiwilliger Untätigkeit wird endlich das kryptografische Fundament gelegt. Der Vorfall mit Pakistan Telecom von 2008 wäre heute deutlich schwieriger durchzuführen. Der Fortschritt ist real, auch wenn die Arbeit noch nicht abgeschlossen ist.