Cloudflare – The bad, the worse and the ugly?

Cloudflare, der Betreiber des wohl bekanntesten Content Delivery Networks, ist nicht nur bei den Schwarzkopierern hoch im Kurs. Auch Kreditkartenbetrüger, Betreiber von Phishing-Seiten, Erpresser und Terroristen nehmen die Dienstleistungen des kalifornischen Unternehmens gerne in Anspruch. Volker Rieck schaut einmal genauer hin.

In den USA kündigt sich der Börsengang eines großen Technologieunternehmens an. Cloudflare aus San Francisco will im ersten Halbjahr mit der Unterstützung der Investmentbank Goldman Sachs an der Börse fast 3,5 Mrd. Dollar einsammeln. Es liegen allerdings schwere Schatten über Cloudflare. Die Bandbreite seiner Kunden reicht nämlich von Kreditkartenbetrügern und Spammern über Seiten, die Urheberrechtsverletzungen als Geschäftsmodell betreiben, bis hin zu Terrorseiten. Sogar US-Embargos werden unterlaufen.


Was ist Cloudflare?

Die Dienstleistung von Cloudflare ist die Bereitstellung eines Content Delivery Networks (CDN) – auch Content Distribution Network genannt. Das ist vereinfacht gesagt eine Art Turbo für Webseiten, damit diese weltweit schnell und sicher ausgeliefert werden. Cloudflare hängt sich dabei zwischen die Webseite bzw. die Server seiner Kunden und den Besucher der Seite bzw. Nutzer eines Service und sorgt durch gezielte Steuerung und Verteilung des Traffics für eine entsprechend hohe Geschwindigkeit. Auf diese Weise kann Cloudflare auch Schutz vor Überlastungsattacken (DDoS) im Netz anbieten.

Allerdings bietet es dabei ein verstecktes Feature, das es in sich hat: das Unternehmen anonymisiert seine Kunden.

boerse.toDurch die Art und Weise wie Cloudflare quasi einen Schirm über die Originalwebseite bzw. deren Server legt, wird der Betreiber dieser Seite nahezu unauffindbar. Will man beispielsweise wissen, wo eine bestimmte Webseite gehostet wird, erhält man lediglich Cloudflare-Daten, kann aber weder das Originalrechenzentrum identifizieren noch die IP-Adresse, die unter anderem bei der Verfolgung von Rechtsverletzungen notwendig wäre.

Zivilrechtliche Anfragen laufen ins Leere, weil Cloudflare lediglich die Nennung irgendeines Rechenzentrums liefert, welche aber ohne die jeweilige IP-Adresse wertlos ist. Dies wäre in etwa vergleichbar mit der Auskunft einer Anschrift in einem Hochhaus mit tausenden Bewohnern, bei dem es keine Klingelschilder gibt.

Das Urheberechtsproblem „Cloudflare“ ist bekannt

Diese verstecke Dienstleistung von Cloudflare zieht reihenweise dubiose Kunden an. Unter anderem taucht das Unternehmen immer wieder im Zusammenhang mit Urheberrechtsverletzungen auf, aber nicht nur dort.

Die EU-Kommission führt Cloudflare seit Dezember 2018 in einer Watchlist für Fälschungen und Piraterie. Zuletzt erhielt der Service den zweifelhaften Preis als schlimmster Feind der Kreativen vom US-Blog The Trichordist.

Die Auflistung rechtsverletzender Marktteilnehmer hat eine lange Tradition in den USA. Der Musikverband RIAA reicht auf jährlicher Basis die Liste der schlimmsten Fälle beim US-Handelsministerium ein. Im Jahr 2017 konnten 9 von 20 Störern von der RIAA nicht identifiziert werden, weil Cloudflare diese effektiv camouflierte.

Auch der US-Filmverband MPA kennt die Probleme mit der Verschleierung durch Cloudflare und benennt diese in seiner jährlichen Störerliste. Im relativ jungen Piraterie-Segment IPTV, also dem Streamen von nicht-lizenzierten TV- Signalen, ist das Unternehmen ebenfalls unterwegs. Eine Studie aus dem Herbst 2018 belegt die Rolle von Cloudflare sowohl bei der Tarnung der Seiten, die IPTV Abonnements verkaufen, als auch beim Kaschieren der Herkunft der Streams. Bei einer Untersuchung der Rechenzentren von File- und Streaminghostern in 2016 nutzten 40 % der Top 10 und 47 % der Top 30 Cloudflare.

Der ECO, ein deutscher Verband, dem offenbar alles egal ist

Das Unternehmen ist Mitglied im deutschen Branchenverband ECO. Der Sinn dieser Mitgliedschaft dürfte darin bestehen, einen Rabatt für Traffic am Internetknoten Frankfurt (DE-CIX) zu bekommen, den der ECO über eine Tochterfirma betreibt.
Den ECO schert seit jeher nicht, dass neben Cloudflare noch weitere Anbieter, die extrem stark in Piraterie verwickelt sind, Verbandsmitglieder sind. Auf entsprechende Berichte wurde jedenfalls nicht reagiert, obwohl ECO-Mitglieder neben Cloudflare zum Beispiel 2014 für über 50% des Piraterie-Traffics im Filmbereich verantwortlich sind; davon entfallen 45,2 % auf Cloudflare und rund 6 % auf weitere fünf Mitglieder.

Screenshot: Auszug aus der Mitgliederliste des Branchenverbands ECO, Stand Februar 2019.

 

Cloudflare vor Gericht

Die Liste der Meldungen über Gerichtsverfahren gegen Cloudflare ist lang. Die Klagen betreffen nicht nur virtuelle Güter. Zwei Hersteller von Brautmoden klagten wegen Marken- und Urheberrechtsverletzungen von Plagiatsshops, die durch Cloudflare anonymisiert wurden.

Aufsehen erregte insbesondere das Verfahren des Adult-Entertainment-Anbieters ALS-Scan gegen das Unternehmen, das in einem Vergleich endete, als es für den Dienstleister eng wurde. Der Richter hatte nämlich entschieden, dass Cloudflare Urheberrechtsverletzungen erheblich unterstützen kann, indem es zwischengespeicherte Kopien von Dateien hostet.
Die Entscheidung, ob Cloudflare dies auch tat und dafür haften muss, hat Cloudflare durch den Vergleich abgewendet.

Unterstützung Illegaler Angebote – System oder Ausrutscher?

Weiteres Aufsehen erregten Nachrichten im Herbst 2018, als Cloudflare die Geschäftsbeziehung zu dem Szene-Hoster Rapidvideo einstellte.  Schließlich gab es bis dahin nur den bekanntgewordenen Fall Daily Stormer, einer US-Naziseite, dem Cloudflare die Geschäftsbeziehung in 2017 von sich aus gekündigt hatte.


Video zur Causa Daily Stormer: Cloudflare CEO Matthew Prince bei Fox News.

 

Big Data bringt es an den Tag

Der aktuelle Google Transparency-Report ermöglicht es, den tatsächlichen Umfang der Beteiligung von Cloudflare am Piraterieaufkommen zu demonstrieren. In dem Report listet Google alle Anfragen von Rechteinhabern zu Löschungen aus dem Google Suchindex auf, die Rechtsverletzungen betreffen. Mittlerweile sind das mehr als 2,9 Milliarden Meldungen. Die Top 5.000 der noch existierenden Domains machen davon bereits 79 % aller gemeldeten URLs aus.

Betrachtet man diese 5.000 Domains näher, insbesondere im Hinblick darauf, ob sie Cloudflare als Maskierung benutzen, spricht das Ergebnis für sich: 37 % der Rechtsverletzungen kommen von ihren Kunden, die 34 % der 5.000 Seiten betreiben.

Wenn man diesen Anteil auf die gesamte Zahl von Domains hochrechnen würde, die im Google Report wegen Urheberrechtsverletzungen aufgeführt sind, käme man auf fast 750.000 durch Cloudflare geschützte Domains. Und das bei insgesamt 2,2 Millionen Domains, zu denen es Löschanforderungen gab.

Zu den „Piraterie Kunden“ des Unternehmens Cloudflare zählen u. a.: Torrentz.eu, Gosong.net, Share-online.biz, Catshare.net, Bitnoop.com, Deepwarez.org, Turbobit.net, Myfreemp3.eu oder auch Nitroflare.com. Jede dieser Webseiten erhielt mindestens drei Millionen Löschanfragen aus dem Google Suchindex.

Auch Kreditkartenbetrüger, Phisher, Erpresser & Terroristen lieben Cloudflare

Die Watchwebsite Crimeflare ist eine wahre Fundgrube für Informationen rund um Cloudflare. Sie listet alleine 650 Kreditkartenbetrugsseiten auf, denen Cloudflare Unterschlupf bieten soll.

Aber auch in Sachen SSL Zertifikaten mischt das Unternehmen munter mit. Ganz besonders Phishingseiten brauchen solche eigentlich vertrauensbildenden Zertifikate, um erfolgreich zu sein und dem Konsumenten Sicherheit vorzugaukeln. Offenbar wurden laut dem deutschen Magazin Heise Hunderte solcher Zertifikate für Betrüger durch Cloudflare ausgestellt.

Auch die Verbreitung von Malware findet über Cloudflare statt, wie Spamhaus berichtet.

some stress tests ddosBei Erpressern liegt das Unternehmen ebenfalls hoch im Kurs. Das deutsche Nachrichten-Magazin „Der Spiegel“ berichtet von einem Zwillingsgeschäft. Einerseits sorgt dieser CDN-Dienst dafür, dass Erpressern, die z. B. damit drohen, eine Webseite per DDoS zum Erliegen zu bringen, nicht mehr verfolgbar sind. Den von den DDoS-Attacken betroffenen Seiten verkauft man dann seinen DDoS-Schutz. Eine besondere Form der Kundengewinnung.

Ganz speziell wird es beim Thema Terror, denn auch dort sind gute Geschäfte zu machen. Bereits 2012 konfrontierte die Nachrichtenagentur Reuters Cloudflare damit, dass man Webseiten von Hamas und Al-Quds betreuen würde; beide werden von den Vereinigten Staaten als terroristische Gruppen bezeichnet. 2015 gab es in den USA sogar eine Petition gegen Cloudflare, weil der Dienst etwa 50 Webseiten Unterschlupf bot, die der ISIS zugerechnet werden. Aber auch 2018 wurden noch Terrororganisationen unterstützt. Der niederländische Sicherheitsforscher Bert Hubert identifizierte Ende 2018 mindestens 7 verschiedene Webseiten von Terrororganisationen, die Cloudflare benutzen.

Die Huffingtonpost ließ diese Erkenntnisse von Benjamin Wittes, Senior Fellow der Brookings Institution, bewerten:
This is not a content-based issue. [Cloudflare] can be as pure-free-speech people as they want — they have an arguable position that it’s not their job to decide what speech is worthy and what speech is not — but there is a law, a criminal statute, that says that you are not allowed to give services to designated foreign terrorist organizations. Full stop.

Als Sahnehäubchen hat das Unternehmen sogar Kunden, die auf der offiziellen Embargoliste der USA stehen (SDN Liste). So nutzt beispielsweise die CENTRAL REPUBLIC BANK aus der Donezk-Region (Ukraine) den Dienst von Cloudflare.

sdn-liste

Collage aus Informationen des US Treasury’s Office of Foreign Assets Control.

Hier der WhoIs-Eintrag der Webseite crb.dnr.ru vom 18.02.2019:

crb-drn.ru cloudflare whois

 

Wissen die Anleger eigentlich, in was sie da investieren?

Vor dem Hintergrund dieser ganzen Fakten verwundern zwei Dinge:

1. Wie konnte das Unternehmen in der Vergangenheit bereits Finanzierungsrunden diverser Investmentgesellschaften, unter anderem auch der Google Mutter Alphabet erhalten?

2. Weiß man bei Goldman Sachs eigentlich etwas über das Ausmaß der Beteiligung an Rechtsverletzungen und der Unterstützung von sehr zweifelhaften „Unternehmungen“ – bis hin zum Unterlaufen von US-Embargos?

Risikomanagement ist einer der zentralen Parameter von Investmentbanken bei der Bewertung von Investments. Risiken müssen vorab bekannt und einschätzbar sein. Eine derartig große Beteiligung an dubiosen Geschäften ist bei einem Börsengang allerdings selten und ein gewaltiges Risiko. Erst recht, wenn, wie im Verfahren ALS-Scan, eine eigene Haftung des Unternehmens im Raume steht oder mit dem Service für Terrororganisationen gegen Strafrecht verstoßen wird.

Entweder Goldman Sachs und die aktuellen Investoren interessieren keine moralischen Standards, sind blauäugig oder sie schätzen das Risiko des Scheiterns als sehr gering ein. Das zeigt, wie dringend es hier staatlicher Regulierung von Intermediären im Internet bedarf.

Autoren: Volker Rieck, Jörg Weinrich.

 

Beitragsbild von John Noonan, thx! (Unsplash Lizenz)

Volker Rieck ist Geschäftsführer des Content Protection Dienstleisters FDS File Defense Service, der für zahlreiche Rechteinhaber tätig ist. Das Unternehmen erstellt zudem Studien zum Thema Piraterie und unterstützt Strafverfolgungsbehörden mittels seiner erhobenen Daten. Volker Rieck bloggt regelmäßig auf Webschauder und unregelmäßig auf dem US-Blog The Trichordist zu verschiedenen Aspekten der unregulierten Inhalte-Distribution. Seine Artikel erscheinen auch in unregelmäßigen Abständen hier bei Tarnkappe.info.

Vielleicht gefällt dir auch