CloudFlareDeutscher Bundestag bezieht schon wieder Internet von US-Anbietern, diesmal für die eigenen Webseiten

Der Deutsche Bundestag schickt alle Besucher seiner Webseiten zu Servern von US-Anbietern, auch E-Mails könnten von diesen überwacht werden. Das passiert seit mindestens drei Monaten, wahrscheinlich sogar einem halben Jahr. Was das vor dem Hintergrund der NSA-Spionageaffäre bedeutet, konnte uns der Bundestag nicht sagen – dort verstand man die Frage nicht.

Im Juni 2014 berichteten wir, dass der Deutsche Bundestag einen Internet-Anschluss vom US-Anbieter Verizon bezog, was diesem die Möglichkeit gab, „transparent und ohne Wissen des Bundestags den gesamten Traffic zu spiegeln und an Dritte auszuleiten“. Diese Enthüllung führte zu Kritik aus allen Fraktionen und letztlich zur Kündigung des Vertrags, was auch Innenminister de Maizière vor dem Geheimdienst-Untersuchungsausschuss als Konsequenz aus den Snowden-Enthüllungen benannte.

Vor diesem Hintergrund waren wir etwas erstaunt, als wir beim Besuch der Webseite des Bundestages kürzlich die klassischen Captchas von CloudFlare angezeigt bekamen. Die US-Firma betreibt ein Content Delivery Network, um Webseiten zahlender Kunden über die eigene Server- und Netz-Infrastruktur auszuliefern. Das ist beliebt beispielsweise zur Abwehr von DDoS-Angriffen, bedeutet aber eben, sämtliche Besucher der eigenen Webseite nicht mehr zum eigenen Server, sondern zu den Servern von CloudFlare zu schicken.

US-Anbieter: Verizon, CloudFlare, Equinix

Und genau das tut der Bundestag. Die Domains „bundestag.de“ und Subdomains wie „www.bundestag.de“ und „suche.bundestag.de“ zeigen alle auf Server von CloudFlare. Das bedeutet, dass sämtlicher IP-Verkehr mit diesen Domains an Server der US-Firma geht, die es dann an den eigentlichen Bundestags-Server weiterleiten:

OrgName:        CloudFlare, Inc.
OrgId:          CLOUD14
Address:        665 Third Street #207
City:           San Francisco
StateProv:      CA
PostalCode:     94107
Country:        US

Eine Whois-Anfrage von „bundestag.de“ ergibt, dass CloudFlare sogar für das Domain Name System (DNS) des Bundestages zuständig ist:

Domain: bundestag.de
Nserver: buck.ns.cloudflare.com
Nserver: ines.ns.cloudflare.com
Changed: 2015-03-09T18:05:27+01:00

Company-in-the-Middle

Das bedeutet, dass sämtliche DNS-Anfragen für die Domain „bundestag.de“ und alle Subdomains von CloudFlare beantwortet werden. Damit ist es dem US-Anbieter möglich, sämtliche Anfragen an den Bundestag nach Belieben umzuleiten. Zum Beispiel könnte CloudFlare einige oder alle E-Mails an @bundestag.de – dessen Server immerhin vom Referat IT-Sicherheit des Bundestages betrieben werden – umleiten.

Das Gleiche könnte CloudFlare für das „Dokumentations- und Informationssystem für Parlamentarische Vorgänge“ (DIP) tun, dessen aktuelle Version unter dip21.bundestag.de und Archiv unter dip.bundestag.de läuft. Bei genauer Betrachtung ist das aber gar nicht so relevant, weil dessen Netz ohnehin schon von einem anderen US-Anbieter zur Verfügung gestellt wird, und zwar Equinix, Inc.

Seit wann das so ist, können wir nicht mit Sicherheit sagen. CloudFlare ist jedoch mindestens seit dem 9. März für das DNS zuständig, also über ein Vierteljahr. Da man CloudFlare vor allem gegen DDoS-Angriffe einsetzt und der letzte uns bekannte DDoS auf bundestag.de am 7. Januar war, halten wir es für möglich, dass CloudFlare seit fast einem halben Jahr eingesetzt wird.

Bundestag: „Ich verstehe die Frage in dem Kontext nicht.“

Wir haben dem Pressereferat des Bundestages vor zwei Wochen eine Reihe an Fragen geschickt. Jetzt haben wir auch eine Antwort, die wir hier in Volltext veröffentlichen:

netzpolitik.org: Warum wurde eine externe Firma beauftragt? Gibt es keine internen Ressourcen?

Bundestag: Das Internetangebot des Bundestages wird seit mehreren Jahren von einem Dienstleister extern betrieben.

netzpolitik.org: Warum wurde eine US-Firma beauftragt? Wurden auch deutsche oder europäische Firmen erwogen?

Bundestag: Der Vertragspartner des Deutschen Bundestages hat mehrere Lösungen zur Vermeidung der Folgen von DDoS-Attacken, teilweise mit unterschiedlichen Partnern, u.a. Cloudflare, vorgelegt.

netzpolitik.org: Wurden datenschutzrechtliche Fragen berücksichtigt?

Bundestag: Ja.

netzpolitik.org: Was bedeutet es, alle Besucher des deutschen Parlaments zu einer US-Firma zu schicken?

Bundestag: Nur ein Teil des Bundestagsangebotes ist temporär bei Cloudflare gehostet.

netzpolitik.org: Wie sah diese Erwägung auch vor dem Hintergrund der NSA-Spionageaffäre aus?

Bundestag: Ich verstehe die Frage in dem Kontext nicht.

netzpolitik.org: Wie lange soll bundestag.de noch von Cloudflare ausgeliefert werden?

Bundestag: Dazu können wir aus Gründen der IT-Sicherheit keine Auskunft geben.

Wer mir die letzten beiden Antworten plausibel erklären kann, bekommt auf 11NP ein Bier.

Da wir die Antworten – gelinde gesagt – etwas verwunderlich fanden, haben wir am Donnerstag nochmal bei einigen Abgeordneten der „Kommission für den Einsatz neuer Informations- und Kommunikationstechniken und -medien“ (IuK-Kommission) beim Ältestenrat des Bundestages angefragt. Steffi Lemke, Halina Wawzyniak und Konstantin von Notz hatten leider bisher keine Zeit für eine Antwort, Petra Pau hat uns bisher noch gar nicht geantwortet.

Wir versuchen es jetzt mit einem Link zu diesem Posting einfach nochmal und werden die Antworten nachtragen, sobald/sofern sie eintreffen.

50 Ergänzungen

  1. Die Annahme mit der E-Mail überwachung ist schlichtweg falsch!
    Die MX-Records zeigen auf mail1.dbtg.de bis mail4.dbtg.de welche auf die IPs
    93.17.243.1, 193.17.232.1, 193.17.232.2 5 und193.17.243.2 auflösen. Diese IPs gehören dem Deutschen Bundestag.

    CloudFlare bietet auch gar keine EMail weiterleitungen an. Lediglich HTTP(S)-Traffic kann dort gecached werden. Der DNS-Liegt allerdings bei CF, wodurch es theoretisch(!) möglich wäre, dass CF die IPs umbiegt und somit die Mails abfangen und weiter leiten kann, das wird auch von der TTL von 5 Minuten erleichert. Allerdings bezweifle ich das stark!

    1. @Xendo
      also ohne DNSSec gesicherte MX Hosts würde ich persönlich niemals meine DNS Verwaltung einer US-Firma übergeben. Die IT Abteilung des Bundestages müsste nur DNSsec und TLSA ausrollen und schon könnte CF noch nicht mal „theoretisch“ was machen.
      Wobei das dann auch gleich die Möglichkeiten von DNS-spoofing eliminieren würde. Ohne diese zusätzlichen Sicherheitsmassnahmen bräuchte die NSA gar keine Kooperation von CF, etwas DNS-spoofing via man-in-the-middle und sie hätten denselben Effekt wie wenn sie die DNS Zone bei CF manipulieren würden.

      1. Ja, natürlich ist DNSSec wesentlich besserer und sicherer, allerdings könnte die NSA auch DNS-spoofing betreiben, wenn der Bundestag einen eigenen Nameserver betreiben würde auf dem kein DNSSec laüft.
        Was ich nur von netzpolitik nicht okay finde, ist, dass direkt am Anfang des Artikels eine falsche Behauptung (der Part von wegen E-Mails schnorcheln) aufgestellt wird, die auch nicht näher begründet wird.
        Denn das ist defacto KEIN Problem, was mit der Tatsache zu tun hat, dass der DNS (und HTTP(S) caches) bei CloudFlare gehostet werden.

    2. Was ist an diesem Absatz falsch?

      Das bedeutet, dass sämtliche DNS-Anfragen für die Domain „bundestag.de“ und alle Subdomains von CloudFlare beantwortet werden. Damit ist es dem US-Anbieter möglich, sämtliche Anfragen an den Bundestag nach Belieben umzuleiten. Zum Beispiel könnte CloudFlare einige oder alle E-Mails an @bundestag.de – dessen Server immerhin vom Referat IT-Sicherheit des Bundestages betrieben werden – umleiten.

      Du sagst doch selbst:

      Der DNS-Liegt allerdings bei CF, wodurch es theoretisch(!) möglich wäre, dass CF die IPs umbiegt und somit die Mails abfangen und weiter leiten kann, das wird auch von der TTL von 5 Minuten erleichert.

      1. @Xendo
        die Formulierung ist vielleicht etwas unglücklich, aber eben nicht falsch: wer den DNS kontrolliert, kontrolliert wohin Daten gehen. Das gilt auch für Mail (MX Records). Vielleicht bietet CF keine Mailweiterleitungen an, brauchen sie in dem Fall ja auch nicht, weil sie die MX Records (theoretisch) ohne weiteres auf inbound.nsa.gov stellen könnten ;-)

  2. Auf die letzte Frage würde ich das „von“ streichen, dann versteht man sie vielleicht besser.

  3. Passend dazu erklärt doch die US-Justiz, dass die Inhalte von Servern, die unter dem Einfluss von US-Unternehmen stehen, unabhängig von ihrer Belegenheit der NSA ggfls. mitzuteilen sind? Oder irre ich mich? Habe da so’n Urteil gelesen …

  4. Cloudflare war auf jeden Fall schon aktiv, als vor einiger Zeit bundeskanzlerin.de (oder so?) und bundestag.de wegen DDOS down waren, da kamen die Zertifikate teilweise auch von Cloudflare unterschrieben zurück!

    Hatte mich damals schon gewundert dass das niemand komisch findet, dass die dazwischen hängen :)

      1. Ich hatte das gesehen und bemerkt. Aber mal für ein paar Tage ist das nochmal etwas anderes als für ein halbes Jahr.

  5. Man muss aber auch sehen das es keine Deutschen anbieter gibt, in Deutschland wurde das Internet verschlafen nun ist man vollkommen von ausländischer Technik abhängig. Die Verantwortung dafür trägt freilich die inkompetente Deutsche Politik die kaum in der Lage ist Netzpolitisch sinvolle Rahmenbedingungen für die Entwicklung entsprechender Technologien in Deutschland zu setzen.

    1. Natürlich gibt es deutsche Anbieter, welche Loadbalancer, Router und Firewalls installieren, betreiben und warten können. Also warum muss das nochmal ein US-Unternehmen sein? Weil „Cloud“ im Namen grade angesagt ist?

      1. Loadbalancer, Router und Firewalls installieren ist total einfach. Schwer ist es, so zu skalieren, dass es hunderte Gigabit DDoS aushält. Alleine die Leitungskosten belaufen sich sonst auf fünf-, eher sechsstellige Summen. Pro Monat.

    2. Es gibt mittlerweile schon vernünftige Anbieter aus Deutschland, die eine vernünftige DDOS/DNS Protection leisten können. Allerdings haben diese dann auch Infrastruktur im Ausland stehen…

  6. Wie sehr ich CloudFlare verabscheue.
    Das browsen unter Nutzung von Tor wird ohne JavaScript einfach verunmöglicht. Genau so möchte ich mich aber gerne bewegen.

    Letzendlich wird die Google-Sperre, die schon seit langem für Tor gilt und Suchanfragen dort meist durch „Captcha“ verkompliziert, wenn nicht effektiv verhindert, auf jede andere beliebige Website ausgeweitet.

    Dass der Deutsche Bundestag Zugang zu seiner Website derart reglementiert, kann und darf aus meiner Sicht nicht sein.

    1. Bei der Inbetriebnahme kann man einstellen wie stark die Security Funktion sein soll. Der Webseiten Betreiber könnte die von dir beschriebene Funktion auch ausschalten.

      CloudFlare hat ja nix dafür dass diese Funktion alle nutzen.

      1. Doch.

        Die „free tier“, also das Gratis Lockangebot von cloudflare, erlaubt diese Einstellung offenbar nicht.

        Cloudflare schert sich einen Scheissdreck um anonyme Beusucher oder den Schaden, den sie mit ihrer mutwilligen (*) Websabotage anrichten.

        Welcher Kunde stellt schon ohne triftigen Grund den Sicherheitslevel runter? Die wissen oft gar nicht, was das für Tor-user bewirkt. (*) Es ist bekannt, dass man bei Cloudflare sehr wohl bescheidweiss.

      2. Inziwschen gibt es auch schon ein Skript, mit dem Cloudflare-Kunden (also nicht die armen Free-Tier-Schlucker, sondern richtige zahlende) 200 Torexit-IPs von Captchas befreien können und somit 95% des Problems für die Besucher beseitigen.

        Tips für Betreiber werden auch gesammelt unter
        https://pad.okfn.org/p/cloudflare-tor

      3. @Mugung: Dashboard unter „Firewall -> Web Application Firewall“ kann man „Browser Integrity Check“ deaktivieren. Laut Beschreibung wird folgendes deaktiviert:

        Evaluate HTTP headers from your visitors browser for threats. If a threat is found a challenge page will be delivered.

        Das „Security Level“ selbst lässt sich jedoch nur auf „Essentially Off“ stellen – die oben genannte Funktion sollte jedoch Wirkung zeigen. Hab bei meinen Sites noch nie einen Captcha gesehen.

      4. @Markus Ritzmann: klingt gut. Die unter deinem Namen verlinkte Website konnte ich im Schnelltest von 3 von 5 Exitnodes ansteuern, nur 2 Versuche schlugen mit unlesbaren Captchas fehl :-)

        Wow, ich wüsste gern, was für Headerkombinationen Cloudflare als „Threat“ einstuft (solche, die von bekannter Malware gesendet werden?)

  7. Dieses Thema zeigt meiner Meinung nach ganz gut auf, dass es bei der IT-Sicherheit letzendlich auf Vertrauen ankommt und wie stark dieses durch den NSA-Skandal gelitten hat.

    Letzendlich wird hier ja nur die Funktionsweise eines CDN beschrieben. Ob das für den Bundestag sinnvoll ist, dass muss dieser eigentlich selber diskutieren. Angesichts des Dramas um den Bundestagshack ist solch eine Lösung von der Stange vielleicht gar nicht so schlecht. Meiner Einschätzung gehört Cloudflare zu den „guten“ Firmen, was netzpolitische Themen wie Überwachung, IT-Sicherheit und Zensur betrifft.

    Jedem sollte mittlerweile klar sein, dass Unternehmen von Regierungen gezwungen werden, Daten herauszugeben. Die eigentlich interessantere Frage ist folgende: Können Regierungen Unternehmen zwingen, ihre Produkte zu ändern um Spionage/Strafverfolgung zu ermöglichen? Vulgo: Kann ein CDN dazu missbraucht werden, Daten in Transit zu verändern?

    1. Das mag für US-Firmen gelten, nicht für deutsche Firmen. Es gibt auch andere Möglichkeiten, als Cloudflare gegen DDOS.

      Fakt ist: Cloudflare unterliegt US-Recht, viele Cloudflare-Mitbewerber nicht. Das führt dazu, dass Cloudflare ein wesentliches Alleinstellungsmerkmal im deutschen Markt NICHT hat und dazu, dass Netzpolitik zu Recht fragt, warum es ein US-Unternehmen nach den hinreichend bekannten Ereignissen in die Supply-Liste der Regierung schafft,

      Wenn ich paranoid wäre, würde ich mir mal die Eigentümerstruktur von Cloudflare ansehen, aber da gibt es ja noch interessantere Firmenmäntel…

  8. … da stellt man wieder fest: wer die infrastruktur beherrscht, beherrscht das netz …

    1. achja, vielleicht ists auch nur die einzige möglichkeit dem bnd zu entgehen … ;-)

  9. Hmm, dass bei der Benutzung eines CDNs der DNS-Eintrag der Domain umgebogen werden muss, ergibt sich doch von alleine, oder? Sonst bezahlt man ein CDN ja für gar nichts.
    Und Cloudfare ist nicht für das DNS des Bundestages „zuständig“, sondern die im DNS eingetragenen IPs von „bundestag.de“ gehören nun mal Cloudfare …

    Deshalb bin ich auch der Meinung, dass TLS via CDN gesetzlich verboten gehört, da das CDN dann ja zusätzlich sogar noch über den privaten Schlüssel der Domain verfügen muss – MITM by Design …

    Ach ja, die Mailserver (mail?.dbtg.de) scheinen allerdings nicht betroffen. Deren IPs gehören dem Bundestag selber (193.17.*.*).

    1. [quote]Und Cloudfare ist nicht für das DNS des Bundestages „zuständig“, sondern die im DNS eingetragenen IPs von „bundestag.de“ gehören nun mal Cloudfare …[/quote]

      Das stimmt leider nicht. Tech- und Zone-C ist zwar einen Babiel-GmbH aus Düsseldorf, als Nameserver sind aber im Whois buck.ns.cloudflare.com und ines.ns.cloudflare.com benannt.

      1. Anders macht es auch gar keinen Sinn ;)
        Wie soll eine DDOS Protection sauber funktionieren, wenn der DNS Dienst nicht geschützt wird?

  10. Man sollte auch sehen das CloudFlare nicht ganz unbeliebt ist. In der Grauzone ist es sogar sehr beliebt da es den eigentlichen Server dahinter verschleiert und zusätzlich von DDoS schützt. Und das sogar noch Gratis. Und ein SSL Zertifikat ist auch dabei.

    Bis jetzt ist – so viel ich weiss – kein Fall bekannt bei dem CloudFlare den Behörden geholfen hat. Aber das weiss man ja nie so genau. Ist schlussendlich eine Vertrauensfrage.

      1. Hab den Artikel bereits vor längerer Zeit gelesen. Kann das Problem aber nicht nachvollziehen. Ein SSL Zertifikat bzw. https hat zwei Grund Funktionen.

        – Verbindung verschlüsseln
        – Echtheit der Domain ausweisen

        Und eine Phishing Domain ist nun mal auch echt. Und verschlüsseln darf sie auch. Ein Zertifikat ist nunmal nicht den Banken vorenthalten. Für solche Anwendungsfälle gibt es EV-Zertifikate! Diese werden auf jedenfall immer von Hand geprüft.

        Ein Phisher kann auch bei einem Normalen CA ein Zertifikat bestellen. Viele Anbieter prüfen nicht von Hand sondern stellen nahezu in echtzeit aus. – Ausser eben solche EV Zertifikate.

        Siehe auch einen Kommentar bei heise.de

        Das Zertifikat ist auf *.de-pay.cards ausgestellt, und das passt auch
        zum Namen der URL. Es taucht in der Domäne nicht mal „paypal“ auf.

        Steht irgendwo in Zertifikat unter „Organisation“ was von Paypal?
        Vermutlich nicht, sonst hätte das der Autor sicher erwähnt. Was also
        hat denn die Zertifizierungsstelle falsch gemacht?

    1. Genau. Ist eine Vertrauensfrage. Und Cloudflare, eine US-Firma, die den NSL genannten KGB-Methoden ausgesetzt ist, macht den SSL-Endpoint. Im Klartext, von denen ist nicht nur das Zertifikat, sondern sie machen, systembedingt, jede einzelne Verbindung auf.

      Das sehe ich auch durchaus kritisch, in Anbedacht der schieren Größe des Cloudflare-Netzes. Zuviel Macht hat auch Google nicht gutgetan … Und eben die US-Problematik.

  11. @Markus Ritzmann
    ich weiss auch nicht ob CF konkret bereits den Behörden geholfen hat. Das eigene Statement auf deren Webseite klingt aber danach
    <>
    https://blog.cloudflare.com/cloudflare-prism-secure-ciphers/

    Und das wären nur die Fälle wo sie überhaupt darüber reden dürfen als US-Firma. Kommen die Anfragen basierend auf FISC „Urteilen“ dann ist es den Firmen unter Androhung schwerer Strafen verboten darüber zu reden. Die NSA muss nur zu so einem Gericht, etwas von nationalen Sicherheitsinteressen schwafeln und JEDE Firma in den USA wird spuren. Es gibt nicht viele, die nicht kooperiert haben und davon gibt es die meisten heute nicht mehr.

    1. Einerseits hat Cloudflare einen ziemlich rosigen Transparenzreport
      https://canarywatch.org/cloudflare/
      https://www.cloudflare.com/transparency

      Andererseits gilt selbstverständlich das amerikanisch-neoliberale „we own your data“, das mit Datenschutz im engeren Sinn etwa im gleichen Verhältnis steht wie Zinntagebau im Urwald mit Umweltschutz:
      https://www.cloudflare.com/security-policy

      Ich übertreibe nicht — hier ein bezeichnendes Zitat aus der Policy (der Rest ist auch lesens- und analysierenswert, ich will da gar nicht noch mehr herausgreifen):

      „CloudFlare is the owner of the information collected […] through any CloudFlare service“.

      Noch Fragen?

  12. Die Seite crimeflare.com hat einiges zu cloudflare zusammengetragen.
    unter anderem zu der Frage: Is CloudFlare a honey pot?

    „A quotation from CEO Matthew Prince
    ( from the University of Chicago law school journal )

    „Back in 2003, Lee Holloway and I started Project Honey Pot as an open-source project to track online fraud and abuse. The Project allowed anyone with a website to install a piece of code and track hackers and spammers. We ran it as a hobby and didn’t think much about it until, in 2008, the Department of Homeland Security called and said, ‚Do you have any idea how valuable the data you have is?‘ That started us thinking about how we could effectively deploy the data from Project Honey Pot, as well as other sources, in order to protect websites online. That turned into the initial impetus for CloudFlare.“ “

    Nun darf man natürlich nicht alles glauben was so im Netz steht, nachdenklich macht es einen dann aber doch.

  13. „NSA-Spionageaffäre bedeutet, konnte uns der Bundestag nicht sagen – dort verstand man die Frage nicht.“

    Viele glauben eben immer noch, dass dort die Interessen der Mehrheit verhandelt werden.
    In Wirklichkeit können wir froh sein, dass die URL des Bundestages nicht
    http://whitehouse.gov lautet.

    1. Wenn sie so lautete, wäre das dann nicht zumindest ehrlich? Vielleicht sollte .de oder auch andere Länder versuchen, sich als 52. Bundesstaat anzubieten ( oder geschickter, .de als 16 neue Bundesstaaten ;-) ), um als Betroffene zumindest irgendein Mitspracherecht in den US-Policies zu haben.

  14. Ich finde es arg bedenklich, wenn bei einem Anbieter derart viele Fäden zusammenlaufen und das auch noch ohne dass es wirklich auffällt (läuft ja alles im Hintergrund). Monopolisierung ist immer ein Problem (siehe google, Facebook, WhatsApp, ….) und wenn man seinen Teil dazu beitragen kann, sollte jeder für Diversifizierung sorgen.

    Dem deutsche Bundestag als Repräsentant Deutschlands sollte es doch möglich sein aus eigener Kraft eine Homepage zu betreiben. Und wenn es halt 10.000€ kostet eine wirksame DDOS-Wall zu kaufen, egal. Was verbreitet es für ein Bild, wenn selbst solch ein im Blickpunkt stehende Institution nicht schafft sich selber zu schützen…..

    Mir wäre es ganz ehrlich lieber wenn die Homepage für einige Stunden unerreichbar zu lassen als die Datenhoheit jemand anderem zu übertragen, der auch noch in Amerika sitzt.

  15. Cloudflare ist, nach meiner Meinung, eine reine NSA Firma. Wenn man Beispielsweise bei Neopresse.com einen kritischen fundierten Kommentar bei bestimmten Artikeln schreibt, sperrt Cloudflare den Kommentar so das dieser bei der Webseite nicht ankommt. Der Schreiber bekommt eine Fehlermeldung wird es also zumeist nichts bemerken, es auf die Technik schieben. Auf den Bundestag bezogen bedeutet das, das jeglicher Datenverkehr und Emails kontrolliert wird von im Grunde der NSA. Die Abgeordneten sind also gläsern, sollte dennoch mal ein kritischer Abgeordneter sich im Parlament verirrt haben, die meisten werden Karrieregefördert, Atlantikbrücke, Goldmann Sachs usw., kann dieser abgehört und seine Arbeit behindert werden indem Emails nicht ankommen. Ja sogar verändert werden weil eine Weiterleitung besteht. Ebenfalls sind amerikanische Firmen sowohl beim BKA als auch bei der Arbeitsagentur eingesetzt worden wie die Firma CSC, die in NSA verdacht steht, abgesehen mal von Level 3 die im Grunde das Backbone in Deutschland betreiben. Damit kann jeder Deutsche von den USA abgehört, erpresst oder unter Druck gesetzt werden. Das bedeutet konkret Deutschland hat ein Scheinparlament und ist ein scheinsouveräner Staat bis hin auf europäischer Ebene. Siehe ESM, CETA, TTIP, Fräcking, Gentechnik, allgemeine Enddemokratisierung. Europäische Zentralbank wird von Blackrock beraten der größte Investment Akteur weltweit der auch zunehmend den Wohnungsmarkt in Deutschland und die deutsche Bank beherrscht. Ein Engländer ist deutsche Bank Chef geworden und ein hoher Siemens Manager hat sich das Leben genommen so viele Zufälle. Um die Auswirkungen verstehen zu können muss man alles im Zusammenwirken sehen und das weißt auf eine schlimme Diktatur und Fremdkontrolle hin.

    1. Also „… das jeglicher Datenverkehr und Emails kontrolliert wird“ kann nicht sein. Denn dazu müssten die Daten ja erst zu CF. Das ist im Fall des Bundestages ja nicht so, weil die MX Records eben NICHT auf CF zeigen.
      Ich möchte nicht behaupten, dass NSA & Co Kg nicht in der Leitung hängen würden, das hat dann aber nichts mit CF zu tun. Zudem könnte die NSA ja einfach den BND darum bitten die Daten zu beschaffen, was dieser nach geltendem Recht ja tun müsste/sollte: http://www.buzer.de/s1.htm?g=G%2B10&a=7a oder auch durch das Zusatzabkommen zum NATO-Truppenstatut (https://de.wikipedia.org/wiki/Zusatzabkommen_zum_NATO-Truppenstatut#Kritik)

      1. Ich habe das gesehen, das es auf Yahoo geändert wurde aber was ändert das? Die Bundestag.de Seite wird weiterhin von Cloudflare einer USA Firma gehostet von denen man im Grunde weis das die alle mit der NSA kooperieren. Außerdem fungiert Cloudflare als man in the middle was letztendlich schon einen unzulässigen Angriff, gemäß unseres Grundgesetztes, auf die Privatsphäre darstellt weil Cloudflare als Firma alles mitlesen kann. Die Yahoo Serviceeintragungen könnten auch Weiterleitungen sein so da sich an der eigentlichen Struktur nichts geändert hat nur nach außen wird das nicht ersichtlich. Das Netz gehört den USA und wird von denen betrieben daher können die alles machen was noch nichtmal eine Kunst ist denn wenn mir der Briefkasten gehört und ich den nur zur Verfügung stelle kann ich natürlich die Post von jedem Sichten. Alle denen nicht das Netz gehört haben in die innere Struktur keine allumfassenden Einblicke und können das niemals überprüfen ob der Yahoo eintrag nun aktuell sicher ist oder nicht oder ob sich überhaupt was geändert hat dazu müstte man einblicke in die komplette Konfiguration der Hardware von Cloudflare und Yahoo haben. Ich sage um das Netz sicher zu bekommen muss das Netz in eine staatliche Infrastruktur geändert werden wie damals das Fernmeldeamt und von demokratisch mehrfachüberprüften Technikabteilungen gewartet und überprüft werden. Aber gemäß unseres Grundgesetzes dürften überhauptkeine personenbezogenen Daten gespeichert werden.

    2. Na dann setz mal schnell deinen Aluhut auf damit die NSA nicht auch noch deine Gedanken ausspäht, vielleicht wird das auch von Cloudflare initiiert – man weiß ja nicht …

  16. OK: CloudFlare böse, verstanden. Aber mal Hand aufs Herz: wenn wir jetzt zugrunde legen, was alles theoretisch gemacht werden könnte, brauchen wir dann nicht genau die strengen Gesetze und die totale Überwachung, die wir alle so verabscheuen?

  17. Die wollen doch nur ihren Serverstandort verschleiern. Genau wie die Leute von kinox.to, die verstecken sich nämlich auch hinter CloudFlare.

  18. Ich will es jetzt nicht beschwören, aber ich bin mir zu 99,99% sicher dass CloudFlare am 7. Januar dort auch schon eingesetzt wurde. Denn zum Jahreswechsel gab es auf einen meiner Server einen DDoS -Angriff den ich auf Anraten meines Providers mit CloudFlare „abgefedert“ habe. Kurze Zeit später gab es die Meldung bez. des Angriffs auf die Bundestags- und Bundeskanzler-Websites. Das musste ich mir dann ja auch direkt mal anschauen :) Und siehe da: dort wurde ich dann mit dem bekannten Captcha-Screen begrüßt …. Hmm, damals hatte ich mich zwar schon darüber gewundert, aber leider irgendwie auch nicht weiter drüber nachgedacht …

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.