Für genau eine Stunde und 23 Minuten ist der Netzverkehr zu Google gekapert und über Server in Russland und China umgeleitet worden. Davon betroffen waren unter anderem auch Spotify und Snapchat.

Was haben der Musikstreamingdienst Spotify und das soziale Netzwerk Snapchat mit Google zu tun? Ganz einfach: Beide Plattformen nutzen Dienste von Google, wie etwa den Cloud-Dienst des Konzerns. Und genau dieser Datenverkehr zu Google ist gestern gekapert worden.

Betroffen waren überwiegend Nutzer in den USA, aber eben nicht nur dort. Bemerkbar gemacht hat sich das dadurch, dass Google-Seiten und Cloud-Dienste nicht mehr erreichbar waren. Auch das Einloggen in Google Mail oder Drive hat nicht mehr funktioniert.

"Man muss davon ausgehen, dass der komplette Netztraffic zu und von Google, der nicht über https verschlüsselt war, bei jemand anderem gelandet ist."
Michael Gessat, Deutschlandfunk Nova

Statt bei den Google-Diensten sind die Anfragen, die nicht über das verschlüsselte Internetprotokoll https verschickt wurden, auf Servern in Russland und China geleitet. Der Grund: Der Datenverkehr wurde manipuliert und dorthin umgeleitet - also tatsächlich gekidnapped.

Im Internet werden die Datenpakete nicht über eine festgelegte Strecke oder Leitung transportiert. Sie suchen sich jedesmal den besten und schnellsten Weg - abhängig von der Auslastung der Strecke oder aufgrund von aktuellen Störungen. Auf dieser Strecke machen sie bei verschiedenen Zwischenstationen, den Routern, Halt, um nach dem Weg zu fragen.

"Im Grunde fragt jeder Router die benachbarten regelmäßig: Sag mal, hast du gerade die aktuelle Adresse und den besten Weg zu der und der Website?"
Michael Gessat, Deutschlandfunk Nova Netzreporter

Die Folgen der Datenumleitung

Durch die Manipulation haben die Router aber nicht mit dem schnellsten Weg zum Ziel geantwortet, sondern alle Anfragen ohne verschlüsseltes Protokoll auf Server in Russland oder China umgeleitet. 

"Das ist so, als wenn jemand irgendwo an einer Landstraße alle Wegweiser umdreht."
Michael Gessat, Deutschlandfunk Nova

In der Regel passieren solche Routingfehler aus Versehen. Zum Beispiel, wenn ein Mitarbeiter von einem Internetprovider etwas falsch eingibt. Das fällt aber meistens innerhalb von Sekunden auf. Aber das kann natürlich auch jemand absichtlich machen - und dann fällt das eben nicht so schnell auf.

Je größer und zentraler ein Provider ist, wie zum Beispiel bei einem Staatsbetrieb oder einem Monopolist, desto eher gelingt es, die manipulierte Routing-Information erfolgreich an möglichst viele Router zu übermitteln - und wenn dann viele Wegweiser alle auf das falsche Ziel zeigen, wird der Datenverkehr tatsächlich über die falsche Strecke geschickt.

Passwörter, Bitcoins, Wallets ausspioniert

Dass es sich bei der Umleitung gestern um eine Panne handelt, ist laut Experten unwahrscheinlich. Thousand Eyes, eine Firma, die den globalen Netz- und Cloudverkehr beobachtet, geht von einer gezielten Manipulation aus

Bei der Datenentführung könnten auch Passwörter ausspioniert worden sein. Auch Informationen über Bitcoin-Transaktionen oder komplette Wallets, also digitale Geldbörsen, könnten plötzlich jemand anderem gehören. Der Angriff war übrigens nicht der erste dieser Art. Bereits vor knapp einem Jahr, am 12. Dezember 2017, gab es ein groß angelegtes BGP-Hijacking auf den Datenverkehr von Facebook, Google, Apple und Microsoft.

Mehr zum Thema bei Deutschlandfunk Nova: