Letzte Woche war es wieder soweit. Ein weiterer Fall von sensiblen Daten, die im Internet zugänglich waren, wurde bekannt. Die Firma Cloudflare verteilte ungewollt, durch einen Fehler in der Programmierung, sensible Daten von unzähligen Nutzern im Internet. Das Interessante an diesem Fall ist zum einen, dass es sich nicht um einen Angriff von Hackern handelte und zum anderem die Erkenntnis, wie viel Internet Traffic weltweit über Cloudflare abgewickelt wird. Da viele Leser vermutlich den Namen dieser Firma noch nie gehört haben, möchte ich in diesem Artikel auch eine Antwort auf die Frage geben, was das Geschäftsmodell der Firma Cloudflare ist und wessen Daten da öffentlich im Netz standen und teilweise noch stehen.
Die Firma Cloudflare
Cloudflare betreibt ein Netz regional verteilter und über das Internet verbundener Server, mit denen Inhalte ausgeliefert werden. So eine Dienstleistung nennt sich Content Delivery oder Content Distribution Network, kurz CDN. Bei dieser Art der Auslieferung von Inhalten geht es um eine Verbesserung der Geschwindigkeit beim Aufbau der Website und oft auch um eine Reduzierung der Bandbreite.
Wenn deine Website beispielsweise für Besucher aus China gedacht ist, dein Server aber hier in der Schweiz steht, so lässt sich durch den Einsatz eines CDN tatsächlich die Zugriffsgeschwindigkeit für chinesische Benutzer erheblich steigern.
Aus diesem Grund bieten auch wir von NOVATREND die einfache Integration des Cloudflare Services in unserem Administrationsbereich cPanel an.

Cloudflare legt, vereinfacht gesagt, Kopien deiner Website an und kopiert sie auf eigene Server, die in der ganzen Welt verteilt stehen. Wenn nun ein Besucher auf die Website zugreift, stellt ein System zur Lastverteilung sicher, dass immer die Server angesprochen werden, die deine Website am schnellsten ausliefern werden. Die Cloudflare Server sind quasi ein großer, weltweit erreichbarer Seitencache.
Cloudflare ist ein Startup und hat bisher 182,000,000 US$ Kapital erhalten. Es wurde im Jahr 2009 gegründet und bietet außer der schnellen Verbreitung von Website Inhalten auch einen DDoS-Schutz und weitere Sicherheitsservices wie eine Web-Firewall an. Im Laufe der Jahre wurden die Algorithmen von Cloudflare immer leistungsfähiger. Große mediale Aufmerksamkeit erhielt der Dienst im Jahr 2013 als Wikileaks ihn zum Schutz der eigenen Website erfolgreich nutzte.
Cloudflare entwickelte sich sehr positiv in den letzten Jahren und lieferte immer mehr Inhalte von immer mehr Kunden aus. Um ein Gefühl für die Bedeutung der Firma für das gesamte Internet zu bekommen, hier ein paar Zahlen: 7.7 % aller Websites weltweit nutzen CDNs. Davon nutzen 5,5 % Cloudflare. Das entspricht einem Marktanteil von 71.8 %. Der nächste Mitbewerber Akamai kommt auf einen Anteil von 12.7 %.

Gerade der DDoS Schutz Service von Cloudflare wurde für viele Firmen, wie beispielsweise online Shop Betreiber eine Art Lebensversicherung. Wenn durch einen DDoS Angriff nichts über den online Shop verkauft werden kann, verdient man kein Geld. Da immer mehr Services ihre Geschäfte ausschließlich über das Internet erledigen, wird das Wachstum von Cloudflare verständlicher.
Mit der zunehmenden Verbreitung von HTTPS verschlüsselten Seiten ergab sich die Notwendigkeit, auch diese auf Cloudflare Servern zwischen zu speichern.
An diesem Punkt wird es kompliziert, weil die Datenpakete ja aus gutem Grund verschlüsselt sind und eine verteilte Speicherung problematisch ist. Daher bietet Cloudflare vier Möglichkeiten die Inhalte zu cachen.
- Off: Keinerlei Inhalte werden über HTTPS vermittelt
- Flexible: HTTPS wird innerhalb der Cloudflare Infrastruktur verwendet aber die Verbindung zwischen der Original Site und Cloudflare ist unverschlüsselt



Die Grafiken stammen von Cloudflare selbst (Introducing Strict SSL: Protecting Against a Man-in-the-Middle Attack on Origin Traffic).
Alle Varianten sind … „hmmm“ … schlecht … denn die ursprüngliche Idee von HTTPS ist ja eine verschlüsselte Kommunikation vom Browser des Besuchers bis zum Original Server (Siehe auch CloudFlare, SSL and unhealthy security absolutism).
Sie sind auch deshalb schlecht, weil in den Varianten Flexible und Full die Nutzersessions gehackt werden kann, wie damals 2010 als HTTPS noch ein Fremdwort für viele war.

Die Variante strict ist ebenfalls nicht perfekt, weil in diesem Fall der gesamte verschlüsselte Traffic über Cloudflare läuft und Cloudflare selbst der Man in the middle ist!
Wessen Daten waren betroffen?
Völlig unabhängig vom erfolgreichen Geschäftsmodell wurde letzte Woche besagter Programmierfehler bekannt.
Die Cloudflare-Server scheinen seit dem 22. September verschlüsselte Inhalte unverschlüsselt im Netz verteilt zu haben, somit wären über 5 Millionen Webseiten von Cloudflare-Kunden für knapp fünf Monate betroffen. Besonders schlimm soll das Leck zwischen dem 13. und 18. Februar gewesen sein.
Die Cloudflare Kunden sind große Firmen wie beispielsweise Uber und Zendesk , aber auch kleinere wie die Seiten des deutschen Bundestages.
Die Daten dieser Kunden sind deine und meine Daten!
Dezentrale vs. zentrale Strukturen
Strukturen können zentral oder dezentral geordnet werden. Beide Konzepte haben Vor- und Nachteile. Zentrale Systeme funktionieren meist schnell und effektiv, beispielsweise eine Armee oder die Strukturen von Amazon, Apple, Google, Facebook und viele andere mehr. Zentrale Systeme bieten immer eine einfache Möglichkeit der Kontrolle. In der Natur könnte man sie vereinfacht mit einer Monokultur vergleichen.
Dezentrale Systeme dagegen sind langsamer, komplexer, und schwerer zu kontrollieren. Sie sind dafür erheblich unempfindlicher gegenüber Schädlingen und vergleichbar mit einer Mischkultur in einem tropischen Regenwald der sich über Jahrmillionen selbst erhält.
In einer Monokultur kann ein einziger Schädling das gesamte System zum Stillstand bringen, in einer Mischkultur ist das praktisch unmöglich.
Das Internet ist eine dezentrale Struktur, ein Verbund autonomer Rechnersysteme mit definierten Protokollen zur Kommunikation. Es ist so ziemlich das Gegenteil von Cloudflare, da es selber diese dezentrale Struktur aushebelt.
Die vernünftige und leider auch teure Lösung des Problems wäre, die eigenen Server „anständig“ zu konfigurieren.
Update (siehe Kommentar von Carsten)
… und im Bedarfsfall auch dort zu platzieren, wo der anvisierte Markt sich befindet …
Dadurch würde man dem dezentralen Ansatz des Internets Genüge tun. Vorfälle wie jetzt bei Cloudflare würden nur einen sehr kleinen Teil des Netzes betreffen. Leider sind die Sites dann nicht ganz so schnell erreichbar wie mit der Cloudflare Technik 🙁
Dieses Dilemma zwischen dezentraler Architektur wie dem Internet und zentralen Ansätzen wie Cloudfare ist schwer auflösbar und vermutlich ein langer Prozess.
Sprich mal mit einem Biobauern über zentral organisierte Landwirtschaft 🙂
Links
- Cloudflare verteilt private Daten übers Internet (Golem, 24.2.2017)
- Datenleaks durch Cloudflare-Fehler: 1Password gibt Entwarnung (Heise, 24.2.2017)
- Cloudflare Crunchbase
tl;dr: Sensible Daten werden von allen an der Verarbeitung dieser Daten Beteiligten gelesen und meist auch gespeichert.
Schreibe einen Kommentar