Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Border Gateway Protocol (BGP): Ein Security-First-Leitfaden
Cybersecurity 101/Cybersecurity/Border Gateway Protocol

Border Gateway Protocol (BGP): Ein Security-First-Leitfaden

Border Gateway Protocol steuert, welche Netzwerke Ihr Datenverkehr durchläuft, bevor er Sicherheitskontrollen erreicht. Erfahren Sie Best Practices zur BGP-Sicherheit und zur Implementierung von RPKI.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist das Border Gateway Protocol?
Wie das Border Gateway Protocol mit Cybersicherheit zusammenhängt
Internes vs. externes BGP (iBGP vs. eBGP)
Kernkomponenten des Border Gateway Protocol
Wie das Border Gateway Protocol funktioniert
Gängige Angriffstechniken, die BGP ausnutzen
Zentrale Vorteile des Border Gateway Protocol
Herausforderungen und Einschränkungen des Border Gateway Protocol
Häufige Fehler beim Border Gateway Protocol
Best Practices für das Border Gateway Protocol
Praxisbeispiele für BGP-Vorfälle
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist Session Fixation? Wie Angreifer Benutzersitzungen kapern
  • Ethical Hacker: Methoden, Tools & Karrierepfad-Leitfaden
  • Was sind adversariale Angriffe? Bedrohungen & Abwehrmaßnahmen
  • Cybersecurity im öffentlichen Sektor: Risiken, Best Practices & Frameworks
Autor: SentinelOne
Aktualisiert: January 21, 2026

Was ist das Border Gateway Protocol?

BGP steuert, welche Netzwerke Ihr Datenverkehr durchquert, bevor er Ihre Sicherheitskontrollen erreicht, und Angreifer nutzen diese Routing-Ebene aus, um Ihre Daten abzufangen, bevor Ihre Firewall-Sicherheit oder Endpunkterkennung sie überhaupt sieht. NIST SP 800-189 definiert BGP als das Routing-Protokoll, das es verschiedenen autonomen Systemen ermöglicht, Routing-Informationen auszutauschen und optimale Pfade für den Internetverkehr zu bestimmen. Ein Angreifer stahl am 17. August 2022 etwa 235.000 US-Dollar in Kryptowährung, indem er einen gezielten BGP-Hijack gegen Celer Bridge durchführte und den Datenverkehr für etwa drei Stunden auf von Angreifern kontrollierte Server umleitete.

CISA bezeichnet BGP als „den wichtigsten Teil des Internets, von dem Sie wahrscheinlich noch nie gehört haben“. Ihre Firewall schützt den Perimeter. Ihre Endpunkterkennung stoppt Malware. Aber BGP steuert, welche Netzwerke Ihr Datenverkehr durchquert, bevor er diese Sicherheitskontrollen erreicht – eine grundlegende Schicht, die unterhalb der meisten Unternehmenssicherheitsmaßnahmen liegt.

Sie arbeiten mit einem Protokoll, das auf einem grundsätzlich unsicheren, vertrauensbasierten Modell beruht. RFC 4272 stellt fest, dass BGP im Wesentlichen ein ungesichertes Protokoll ist. Dem Protokoll fehlen kryptografische Mechanismen, um zu validieren, ob das ankündigende autonome System IP-Präfixe besitzt, ob Routing-Pfade authentisch sind und ob Ankündigungen während der Übertragung verändert wurden.

Border Gateway Protocol - Featured Image | SentinelOne

Wie das Border Gateway Protocol mit Cybersicherheit zusammenhängt

BGP-Hijacking ermöglicht es Angreifern, Ihren Datenverkehr abzufangen, bevor Ihre Firewall ihn inspiziert, und sich zwischen Ihre Benutzer und Ihre Perimeter-Verteidigung zu positionieren. Sie überwachen Authentifizierungsfehler und suchen nach lateralen Bewegungen, aber BGP-Hijacking findet auf der Routing-Ebene statt, bevor Ihre SIEM-Plattformen den Datenverkehr sehen. Wenn Sie BGP-Überwachung in Plattformen wie Singularity Data Lake integrieren, werden Routing-Anomalien automatisch mit Authentifizierungsfehlern und Indikatoren für Datenexfiltration korreliert.

BGP-Sicherheit ist wichtig, weil eine Kompromittierung der Routing-Ebene Ihre unternehmensweiten Perimeter-Sicherheitskontrollen umgeht und Man-in-the-Middle-Angriffe im Internetmaßstab ermöglicht. CISA warnt, dass BGP-Hijacking Ihre Geschäftsinformationen offenlegt, indem der Datenverkehr über von Angreifern kontrollierte Netzwerke umgeleitet wird, und staatliche Spionage erleichtert. Um zu verstehen, wie Angreifer BGP ausnutzen, muss man die grundlegenden architektonischen Komponenten des Protokolls betrachten.

Internes vs. externes BGP (iBGP vs. eBGP)

BGP arbeitet in zwei unterschiedlichen Modi mit verschiedenen Vertrauensmodellen und Sicherheitsimplikationen. Externes BGP (eBGP) steuert das Routing zwischen autonomen Systemen, während internes BGP (iBGP) die Routenverteilung innerhalb eines einzelnen AS verwaltet. Ihre Sicherheitsstrategie muss Schwachstellen in beiden berücksichtigen.

eBGP-Sitzungen verbinden Router in verschiedenen autonomen Systemen über Vertrauensgrenzen hinweg. Diese Sitzungen laufen typischerweise zwischen Routern an den Netzwerkrändern, wo Ihre Organisation mit ISPs, Cloud-Anbietern oder anderen Netzwerken peert. eBGP verwendet standardmäßig eine TTL von 1, was bedeutet, dass Peer-Router direkt verbunden sein müssen. Angreifer zielen auf eBGP-Sitzungen ab, da die Kompromittierung dieser Verbindungen eine Datenverkehrsabfangung im Internetmaßstab ermöglicht.

iBGP verteilt Routing-Informationen, die von eBGP-Peers gelernt wurden, im internen Netzwerk. iBGP erfordert eine vollständige Mesh-Konnektivität zwischen allen BGP-Speakern innerhalb eines AS oder den Einsatz von Route Reflectors und Konföderationen zur Skalierung. iBGP-Sitzungen ändern das AS-Pfad-Attribut nicht, was bedeutet, dass über iBGP gelernte Routen ihren ursprünglichen AS-Pfad zur Schleifenvermeidung behalten.

Die Sicherheitsimplikationen unterscheiden sich zwischen diesen Modi:

  • eBGP-Sitzungen überschreiten administrative Grenzen und erfordern strikte Filterrichtlinien
  • iBGP geht von einer vertrauenswürdigen internen Umgebung aus, was ein Risiko darstellt, wenn Angreifer Zugriff auf das interne Netzwerk erhalten
  • Fehlkonfigurationen von Route Reflectors können fehlerhafte Routen im gesamten AS verbreiten
  • iBGP-Sitzungshijacking ermöglicht es Angreifern mit internem Zugriff, Routing-Entscheidungen zu manipulieren

Ihre Netzwerksicherheitsstrategie sollte MD5-Authentifizierung für alle BGP-Sitzungen unabhängig vom Typ implementieren. Das MANRS Enterprise Primer empfiehlt striktes Präfixfiltering an jedem eBGP-Peering-Punkt. Für iBGP sollten Route Reflector-Cluster segmentiert und auf nicht autorisierte BGP-Speaker innerhalb Ihres AS überwacht werden.

Kernkomponenten des Border Gateway Protocol

Drei architektonische Elemente schaffen die Schwachstellen, die Angreifer im vertrauensbasierten Design von BGP ausnutzen: fehlende Authentifizierungsmechanismen, implizites Vertrauen zwischen Peers und das Fehlen von Routenvalidierungsfunktionen.

  • Autonome Systeme (AS) repräsentieren unabhängige Netzwerke unter administrativer Kontrolle. Ihr Unternehmensnetzwerk, Ihr ISP, Ihr Cloud-Anbieter: Jeder agiert als autonomes System mit einer eindeutigen AS-Nummer.
  • BGP-Peering-Sitzungen stellen authentifizierte Verbindungen zwischen Routern in verschiedenen autonomen Systemen her, die Routing-Informationen austauschen. Diese Verbindungen organisieren sich in Provider-Kunde-, Peer-to-Peer- und Kunde-Provider-Beziehungen, jeweils mit unterschiedlichen Sicherheitsimplikationen.
  • Routenankündigungen bewerben IP-Adresspräfixe an Peer-Netzwerke. Wenn Ihr AS ankündigt „Ich habe die beste Route zu 203.0.113.0/24“, aktualisieren benachbarte Netzwerke entsprechend ihre Routing-Tabellen. RFC 4272 bestätigt, dass das Protokoll davon ausgeht, dass Peers vertrauenswürdig sind, ohne Mechanismen zur Validierung von Routing-Informationen. Wenn Sie oder Ihre Peers syntaktisch gültige Routenankündigungen senden, propagiert BGP diese im gesamten Internet, unabhängig davon, ob diese Ankündigungen legitim oder böswillig sind.

Das Verständnis dieser architektonischen Schwachstellen erklärt, wie Angreifer den Ausnutzungsprozess von BGPs Routenauswahl nutzen, um Ihren Datenverkehr zu hijacken.

Wie das Border Gateway Protocol funktioniert

Wenn Angreifer Ihr Präfix 203.0.113.0/24 spezifischer ankündigen als Ihre legitime 203.0.113.0/20-Ankündigung, bevorzugen Router weltweit die Route des Angreifers. Dies geschieht, weil die BGP-Routenauswahl einem Algorithmus folgt, der Spezifität vor Autorisierung priorisiert – eine Technik, die als Longest-Prefix-Match-Hijacking bezeichnet wird.

Routenautorisierungsschutz funktioniert nur, wenn nachgelagerte Netzwerke Routen validieren. Wenn Ihr Upstream-Provider keine Route Origin Validation implementiert, können Angreifer Ihren Datenverkehr weiterhin hijacken, selbst wenn Sie gültige ROAs veröffentlicht haben.

BGP bewertet Routen anhand von Kriterien wie Local Preference, AS-Pfad-Länge, Origin-Typ und Multi-Exit Discriminator. Angreifer können diese Parameter manipulieren, um Datenverkehr zu hijacken. NIST SP 800-189 Rev. 1 bestätigt, dass BGP ohne integrierte kryptografische Authentifizierungsmechanismen entwickelt wurde.

Gängige Angriffstechniken, die BGP ausnutzen

Angreifer nutzen die vertrauensbasierte Architektur von BGP durch mehrere etablierte Techniken aus, die Ihr Sicherheitsteam erkennen und abwehren muss. Der Root-DNS-Server-Hijack im Juni 2025, der acht Server gleichzeitig betraf, zeigt, dass diese Methoden selbst gegen kritische Infrastrukturen weiterhin wirksam sind.

  • Präfix-Hijacking tritt auf, wenn ein Angreifer IP-Präfixe ankündigt, die einer anderen Organisation gehören. Das AS des Angreifers originiert Routen für Adressbereiche, die es nicht besitzt, und Netzwerke, die keine Routenvalidierung durchführen, akzeptieren diese Ankündigungen. Der für den legitimen Eigentümer bestimmte Datenverkehr fließt stattdessen zum Angreifer. Diese Technik ermöglicht den Diebstahl von Zugangsdaten, Datenabfang und Kryptowährungsdiebstahl.
  • Sub-Präfix-Hijacking stellt eine gezieltere Variante dar. Angreifer kündigen spezifischere Präfixe an als der legitime Eigentümer. Wenn Ihre Organisation 192.0.2.0/23 ankündigt, gewinnt ein Angreifer mit der Ankündigung von 192.0.2.0/24 die Routenauswahl, da BGP längere Präfixübereinstimmungen bevorzugt. Der Root Server Operators Report bestätigt, dass Angreifer dieses Longest-Prefix-Match-Verhalten konsequent ausnutzen.
  • AS-Pfad-Manipulation ermöglicht es Angreifern, die Routenauswahl zu beeinflussen, indem sie das AS-Pfad-Attribut künstlich verkürzen oder verändern. BGP bevorzugt kürzere Pfade, sodass Angreifer weniger ASNs voranstellen können, um ihre bösartigen Routen attraktiver zu machen. Einige Angreifer fügen legitime ASNs in gefälschte Pfade ein, um die Erkennung zu umgehen.
  • BGP-Sitzungshijacking zielt auf die den BGP-Peering-Beziehungen zugrunde liegenden TCP-Sitzungen ab. Angreifer, die Pakete in die Sitzung einschleusen können, können Verbindungen zurücksetzen, falsche Routen injizieren oder Routing-Instabilität verursachen. TCP-Sequence-Number-Vorhersage und Man-in-the-Middle-Positionierung ermöglichen diese Angriffe.
  • Route Leaks resultieren aus Fehlkonfigurationen und nicht aus böswilliger Absicht, verursachen aber ähnliche Sicherheitsauswirkungen. Ein Netzwerk propagiert Routen, die von einem Peer gelernt wurden, fälschlicherweise an andere Peers weiter und verletzt damit die erwarteten Routing-Richtlinien. MANRS Incident Analysis dokumentiert, wie diese Fehlkonfigurationen Time Warner Cable, Rogers und Charter betroffen haben.

Die Verteidigung gegen diese Techniken erfordert gestaffelte Kontrollen wie RPKI-Einsatz, striktes Präfixfiltering, BGP-Sitzungs-Authentifizierung und kontinuierliche Überwachung auf Routing-Anomalien.

Zentrale Vorteile des Border Gateway Protocol

BGP ermöglicht Routing im Internetmaßstab durch Koordination mit unabhängigen Netzwerken. RFC 4271 erklärt, wie autonome Systeme Routing-Informationen austauschen und die besten Pfade für den Internetverkehr basierend auf den Beziehungen zwischen Netzwerken bestimmen.

Pfad-Redundanz entsteht durch mehrere Ankündigungsquellen und verteilte Routenauswahl. Wenn Ihre primäre ISP-Verbindung ausfällt, konvergiert BGP auf Backup-Pfade über sekundäre Anbieter basierend auf Routenmetriken und lokalen Richtlinien.

Granulares Traffic Engineering durch richtlinienbasiertes Routing gibt Ihnen Kontrolle über beide Verkehrsrichtungen. Passen Sie AS-Pfad-Präfixe an, um eingehenden Verkehr zu beeinflussen, konfigurieren Sie Local-Preference-Einstellungen für ausgehenden Verkehr und implementieren Sie Filterrichtlinien, um zu verhindern, dass Datenverkehr über potenziell feindliche Netzwerke geleitet wird. Diese Routing-Fähigkeiten gehen mit erheblichen Sicherheitskompromissen einher, die sorgfältig verwaltet werden müssen.

Herausforderungen und Einschränkungen des Border Gateway Protocol

Die grundlegende Authentifizierungslücke von BGP verhindert die kryptografische Überprüfung, dass das AS, das Routen zu Ihrem IP-Bereich ankündigt, diese Adressen tatsächlich besitzt. Diese Lücke ermöglicht jeden Hijack-Angriff, gegen den Sie sich verteidigen. NIST SP 800-189r1 zeigt das Problem: BGP-Router akzeptieren Routing-Ankündigungen ohne kryptografische Überprüfung der Ursprungs-Authentifizierung, Pfadvalidierung oder Ankündigungsintegrität.

Die Häufigkeit von Vorfällen nimmt trotz gestiegener Aufmerksamkeit weiter zu. Internet2 Routing Security Analysis dokumentierte allein im Jahr 2024 drei bedeutende Routing-Sicherheitsvorfälle, die Forschungs- und Bildungsnetzwerke betrafen, und zeigt, dass BGP-Schwachstellen weiterhin kritische Infrastrukturen stören.

Das systemische Risiko schafft Abhängigkeiten, die über die Kontrolle einer einzelnen Organisation hinausgehen. Die Internet Society Policy Analysis warnt, dass die dezentrale und miteinander verbundene Natur von BGP Schwachstellen einführt, die von böswilligen Akteuren ausgenutzt werden können. Die Routing-Sicherheit hängt weltweit von Tausenden anderer Netzwerke ab und schafft eine Supply-Chain-ähnliche Abhängigkeit, bei der einzelne BGP-Fehlkonfigurationen international Kaskadeneffekte auslösen. Diese systemischen Schwachstellen äußern sich in spezifischen betrieblichen Fehlern, die Sicherheitsteams erkennen und verhindern müssen.

Häufige Fehler beim Border Gateway Protocol

Viele Organisationen implementieren RPKI-Validierungsinfrastruktur, gehen aber nie über das Monitoring hinaus zur Durchsetzung. Das Monitoring-Dashboard zeigt ein Präfix, das von einem nicht autorisierten AS angekündigt wird. Der RPKI-Validator markiert es als ungültig. Aber der vor Monaten konfigurierte Monitoring-Only-Modus wurde nie auf Durchsetzung umgestellt. Der Datenverkehr wird gehijackt, während das Dashboard das Problem anzeigt. NRO RPKI Best Practices fordert, ROAs zu erstellen, die exakt dem entsprechen, was Sie in BGP ankündigen – und nicht mehr.

Unvollständige RPKI-Implementierung führt auf verschiedene Weise zu Fehlern:

  • Erstellung von ROAs für geplante, aber nicht angekündigte Präfixe
  • Zu großzügige Werte für die maximale Länge
  • Vergessen, ROAs zu aktualisieren, wenn sich BGP-Ankündigungen ändern

Diese ROA-Fehlkonfigurationen lassen Präfixe verwundbar, selbst wenn eine Validierungsinfrastruktur existiert. NDSS Symposium-Forschung identifiziert systematische Herausforderungen, die Betreiber daran hindern, von passiver Validierung zu aktiver Durchsetzung überzugehen.

Unzureichende Filterrichtlinien ermöglichen die Ausbreitung von Angriffen. CAIDAs MANRS Ecosystem Analysis stellte fest, dass RPKI-ungültige und ungültige Präfixlängen-BGP-Ankündigungen trotz dokumentierter Sicherheitszusagen durch Netzwerke propagiert werden. Häufige Lücken sind das Akzeptieren von Präfixen länger als /24 für IPv4, Bogon-Filter, die nicht mit aktuellen RIR-Zuweisungen synchronisiert sind, und fehlende AS-Pfad-Sanity-Checks. Diese Filterlücken schaffen kaskadierende Schwachstellen in der Routing-Infrastruktur.

Unzureichendes Monitoring lässt Vorfälle unentdeckt, bis der Schaden bereits entstanden ist. Ohne Alarmierung bei Änderungen des Präfix-Ursprungs-AS, neuen spezifischeren Ankündigungen, die sich mit Adressbereichen überschneiden, und RPKI-Validierungsstatus-Übergängen bleiben Routing-Änderungen unsichtbar. Korrekte Incident-Response-Prozesse, die BGP-Telemetrie in Ihre Sicherheitsplattform integrieren, sind unerlässlich. Die Vermeidung dieser Fehler erfordert die Umsetzung dokumentierter Best Practices für BGP-Sicherheit.

Best Practices für das Border Gateway Protocol

Die Implementierung der Resource Public Key Infrastructure sollte gemäß NIST SP 800-189 Revision 1 erfolgen. Erstellen Sie Route Origin Authorizations für jedes IP-Präfix, das Ihre Organisation in BGP originiert, und setzen Sie mindestens zwei RPKI-Validatoren für Redundanz ein.

Route Origin Validation funktioniert am besten, wenn sie in Phasen gemäß NRO Best Practices implementiert wird:

  • Monitoring-Modus (30–60 Tage): Beobachten Sie RPKI-Validierungsergebnisse, ohne das Routing zu beeinflussen
  • Präferenzanpassung (60–90 Tage): Senken Sie die Local Preference für RPKI-ungültige Routen
  • Vollständige Durchsetzung (90+ Tage): Ungültige Ankündigungen vollständig verwerfen

Striktes Präfixfiltering an allen Peering-Punkten verhindert gängige Angriffsvektoren. Maximale Präfixlängenbegrenzungen stoppen spezifischere Route-Hijacking-Angriffe, synchronisierte Bogon-Filter blockieren ungültige Adressbereiche und AS-Pfad-Filter verhindern unrealistische Pfadlängen oder das Austreten privater ASNs.

Route-Map-Policies sollten Beziehungstypen klar kodieren. Taggen Sie alle BGP-Routen mit Communities, die Provider-, Peer- oder Kundenherkunft anzeigen.

BGP-Monitoring-Integration mit Ihrer Sicherheitsplattform ermöglicht Threat-Hunting-Workflows für Routing-Anomalien. Konfigurieren Sie Alarme für Peer-Sitzungsstatusänderungen, Präfix-Ursprungs-AS-Modifikationen und RPKI-Validierungsstatus-Übergänge.

Die ROA-Konfigurationsvalidierung sollte kontinuierlich mit von den Regional Internet Registries empfohlenen Tools erfolgen. Change-Control-Prozesse stellen sicher, dass ROA-Updates BGP-Ankündigungsänderungen möglichst vorausgehen. Dokumentieren und testen Sie Reaktionsverfahren für die Erkennung ungültiger Routen und etablieren Sie Incident-Response-Pläne für BGP-Hijacking-Szenarien. Diese Best Practices bereiten Ihre Organisation darauf vor, Routing-Sicherheit in einheitliche Sicherheitsoperationen zu integrieren.

Praxisbeispiele für BGP-Vorfälle

BGP-Sicherheitsfehler haben in kritischer Infrastruktur, Finanzdienstleistungen und Regierungsbetrieben erhebliche reale Schäden verursacht. Diese Vorfälle zeigen, warum Routing-Sicherheit die gleiche Aufmerksamkeit wie Endpunkt- und Netzwerkschutz erfordert.

  • Der Root-DNS-Server-Hijack im Juni 2025 stellt den schwerwiegendsten aktuellen Vorfall dar. Laut dem Root Server Operators Incident Report erlebten acht Root-DNS-Server (a, b, c, f, g, h, j und m.root-servers.net) zwischen 19:40 und 21:10 UTC gleichzeitig BGP-Hijacking. Drei gehijackte Präfixe hatten gültige ROAs in RPKI veröffentlicht, dennoch war der Angriff erfolgreich, weil nachgelagerte Netzwerke keine Route Origin Validation implementierten.
  • Der Rostelecom-Massenhijack im April 2020 betraf weltweit über 8.000 Routen. MANRS Incident Analysis bestätigt, dass AS12389 spezifischere Routen ankündigte, die mehr als 200 CDN- und Cloud-Anbieter, darunter Cloudflare und Akamai, betrafen. Die Analyse führte dies auf eine Fehlkonfiguration eines BGP-Optimierers und nicht auf böswillige Absicht zurück.
  • Der Telstra-Vorfall im September 2020 sah, wie AS1221 fast 500 Präfixe in einem Massenhijacking-Ereignis ankündigte. MANRS-Dokumentation zeigt, dass der Vorfall 266 autonome Systeme in 50 Ländern betraf und demonstriert, wie einzelne Fehlkonfigurationen weltweit Kaskadeneffekte auslösen.
  • Der Celer-Bridge-Angriff im August 2022 zielte auf Kryptowährungsnutzer ab. Angreifer stahlen 235.000 US-Dollar in Kryptowährung, indem sie den Datenverkehr für etwa drei Stunden über von Angreifern kontrollierte Server umleiteten.

Diese Vorfälle weisen gemeinsame Merkmale auf: Sie nutzten das Vertrauensmodell von BGP aus, betrafen Organisationen, die einige Sicherheitsmaßnahmen implementiert hatten, und verursachten Schäden, bevor Verteidiger reagieren konnten. Das Muster unterstreicht, warum proaktive Bedrohungserkennung und kontinuierliches BGP-Monitoring wesentliche Bestandteile der Unternehmenssicherheit sind.

KI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage mit Echtzeit-Erkennung, maschineller Reaktion und vollständiger Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

Sie verteidigen sich gegen Angriffe auf der Routing-Ebene mit einer Infrastruktur, die Sie nicht vollständig kontrollieren. Ihre BGP-Sicherheit hängt davon ab, dass Tausende von Netzwerken Validierungskontrollen implementieren. Beginnen Sie mit dem, was Sie kontrollieren können: Setzen Sie RPKI/ROV im Durchsetzungsmodus ein, filtern Sie Präfixe strikt an jedem Peering-Punkt und integrieren Sie BGP-Monitoring in Ihre SOC-Workflows. Die Lücke zwischen individueller Implementierung und kollektiver Durchsetzung ist der Bereich, in dem Angreifer agieren.

Border Gateway Protocol (BGP) FAQs

BGP-Hijacking tritt auf, wenn ein Angreifer IP-Adresspräfixe ankündigt, die ihm nicht gehören, wodurch der Internetverkehr über sein Netzwerk statt zum legitimen Ziel geleitet wird. 

Laut CISA können diese Angriffe Unternehmensinformationen offenlegen, Diebstahl und Erpressung ermöglichen sowie staatliche Spionage erleichtern. Diese Technik ermöglicht die Abfangung von Datenverkehr, den Diebstahl von Zugangsdaten, Datenexfiltration und Denial-of-Service-Angriffe im Internetmaßstab.

BGP steuert die Verkehrsweiterleitung, bevor Pakete Ihre Firewalls, Endpoint Detection oder andere Sicherheitskontrollen erreichen. Wenn Angreifer BGP-Routen kapern, positionieren sie sich zwischen Ihren Nutzern und Ihren Abwehrmechanismen und ermöglichen so Man-in-the-Middle-Angriffe, die die Perimetersicherheit vollständig umgehen. 

Routing-Sicherheit stellt eine grundlegende Ebene dar, die von den meisten Unternehmens-Sicherheitsstacks nicht überwacht wird.

Organisationen erkennen BGP-Manipulation durch kontinuierliche Überwachung von Routenankündigungen, Änderungen des RPKI-Validierungsstatus und Modifikationen des Prefix-Ursprungs. 

Setzen Sie RPKI-Validatoren ein, um die Legitimität von Routen zu prüfen, abonnieren Sie öffentliche Route-Collector-Feeds von RIPE RIS oder RouteViews und integrieren Sie BGP-Telemetrie in Ihre Sicherheitsplattform. Lösen Sie Alarme bei unerwarteten AS-Origin-Änderungen und spezifischeren Prefix-Ankündigungen aus, die Ihren Adressraum überlappen.

BGP-Hijacking ermöglicht das Abgreifen von Zugangsdaten durch umgeleitete Authentifizierungsprozesse, Datenexfiltration durch das Abfangen sensibler Kommunikation, Diebstahl von Kryptowährungen über DNS-Hijacking-Ketten, Überwachung gezielter Organisationen oder Einzelpersonen sowie Dienstunterbrechungen durch Traffic-Blackholing. 

Die Internet Society warnt, dass die dezentrale Struktur von BGP dazu führt, dass kompromittierte Routen jede Organisation betreffen können, deren Datenverkehr den manipulierten Pfad durchläuft.

RPKI erstellt kryptografische Zertifikate, die IP-Präfixe mit autorisierten Ursprung-Autonomous-Systems verknüpfen. Wenn Sie Route Origin Validation implementieren, lehnen Ihre Router BGP-Ankündigungen ab, bei denen das Ursprung-AS nicht mit dem kryptografisch signierten ROA übereinstimmt. 

Ein Angreifer, der Ihre Präfixe von einem nicht autorisierten AS ankündigt, wird verworfen. Der Schutz erfordert jedoch sowohl die Erstellung von ROAs durch die Präfixinhaber als auch die Durchsetzung von ROV durch Transitnetzwerke. Gültige ROAs allein reichen nicht aus, wenn Peernetzwerke nicht validieren.

BGP-Hijacking beinhaltet das absichtliche Ankündigen nicht autorisierter IP-Präfixe, um den Datenverkehr abzufangen. Route-Leaks stellen eine eigenständige Bedrohung dar, bei der Netzwerke Routen, die sie von einem Peer gelernt haben, fälschlicherweise an andere Peers weitergeben. 

Obwohl Route-Leaks typischerweise auf Fehlkonfigurationen und nicht auf böswillige Absicht zurückzuführen sind, ist ihre sicherheitstechnische Auswirkung funktional gleichwertig, da der Datenverkehr dennoch durch unbeabsichtigte und potenziell feindliche Netzwerke umgeleitet wird.

Ja, jedoch mit Abhängigkeiten von Upstream-Providern. Wenn Sie von Ihrem Provider zugewiesene Adressbereiche nutzen, koordinieren Sie sich mit Ihrem ISP, um ROAs unter dessen RIR-Konto zu erstellen. 

Dokumentieren Sie die Verantwortlichkeiten für das ROA-Management schriftlich, insbesondere, dass das Entfernen eines ROA die Autorisierung weltweit innerhalb von Minuten sofort ungültig macht. Konzentrieren Sie sich auf Überwachungs-, Filter- und Validierungskontrollen innerhalb Ihres operativen Verantwortungsbereichs.

Die Implementierung von RPKI besteht aus zwei Teilen: dem Veröffentlichen von Route Origin Authorizations (ROAs) für Ihre Präfixe und der Durchsetzung von Route Origin Validation (ROV) für eingehende Routen. Viele Organisationen führen den ersten Schritt durch, aber nicht den zweiten. 

Selbst wenn Sie gültige ROAs veröffentlichen, bleibt Ihr Datenverkehr verwundbar, wenn Transitnetzwerke zwischen Ihnen und Ihrem Ziel keine Validierung durchsetzen. Dieses Problem kollektiven Handelns bedeutet, dass BGP-Sicherheit eine koordinierte Umsetzung im gesamten Routing-Ökosystem erfordert.

Implementieren Sie einen gestuften Ansatz für das BGP-Sicherheitsmonitoring basierend auf NIST SP 800-189 Rev. 1-Empfehlungen. Beginnen Sie mit der Implementierung der Route Origin Validation im reinen Monitoring-Modus, um eine Basis-Sichtbarkeit zu erhalten. 

Behandeln Sie BGP-Hijacking und unerwartete Prefix-Origin-Änderungen als hochpriorisierte Alarme, die eine sofortige Untersuchung erfordern, da diese Angriffe Man-in-the-Middle-Abfangmöglichkeiten auf der Routing-Ebene ermöglichen.

Organisationen können BGP-Monitoring durch RPKI-Validatoren, Route-Collector und Sicherheitsplattformen, die Netzwerk-Telemetrie aufnehmen, implementieren. Öffentliche Ressourcen wie RIPE RIS und RouteViews bieten globale Routing-Transparenz. 

Für Unternehmensumgebungen ermöglicht die Integration von BGP-Monitoring-Daten in Ihre Sicherheitsplattform die Korrelation mit Endpunkt- und Identitätsereignissen.

Erfahren Sie mehr über Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?

Insecure Direct Object Reference (IDOR) ist eine Zugriffskontrollschwäche, bei der fehlende Eigentumsprüfungen es Angreifern ermöglichen, durch Änderung eines URL-Parameters auf die Daten beliebiger Benutzer zuzugreifen. Erfahren Sie, wie Sie sie erkennen und verhindern können.

Mehr lesen
IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best PracticesCybersecurity

IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices

IT- und OT-Sicherheit betreffen zwei Bereiche mit unterschiedlichen Risikoprofilen, Compliance-Anforderungen und betrieblichen Prioritäten. Erfahren Sie zentrale Unterschiede und Best Practices.

Mehr lesen
Was sind Air Gapped Backups? Beispiele & Best PracticesCybersecurity

Was sind Air Gapped Backups? Beispiele & Best Practices

Air Gapped Backups halten mindestens eine Wiederherstellungskopie außerhalb der Reichweite von Angreifern. Erfahren Sie, wie sie funktionieren, welche Typen es gibt, Beispiele und Best Practices für die Ransomware-Wiederherstellung.

Mehr lesen
Was ist OT-Sicherheit? Definition, Herausforderungen & Best PracticesCybersecurity

Was ist OT-Sicherheit? Definition, Herausforderungen & Best Practices

OT-Sicherheit schützt industrielle Systeme, die physische Prozesse in kritischen Infrastrukturen steuern. Behandelt Purdue-Modell-Segmentierung, IT/OT-Konvergenz und NIST-Richtlinien.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch