CloudflareWillkürmacht wider Willen

Das Unternehmen Cloudflare ist im Internet längst schier unentbehrlich – und überaus mächtig. Seiner Verantwortung wird es allerdings nur unzureichend gerecht, auch weil klare rechtliche Regelungen fehlen.

Ein wütender, schreiender Mann vor blauem Himmel und orangenen Wolken
Cloudflare steckt in einem Dilemma der Macht CC0 Illustration: DALL-E-2 (the face of a yelling angry man hidden behind an orange cloud), Montage: netzpolitik.org

Der Bürgerrechtler John Gilmore hat einmal sinngemäß gesagt, dass das Internet Zensur nur als eine Störung behandle und diese kurzerhand umgehe. Das war 1993. Das World Wide Web war offen und dezentral konzipiert. Seitdem aber hat sich das Netz erheblich gewandelt und es folgt gänzlich anderen Regeln als damals. In den vergangenen Wochen wurde das besonders deutlich.

Ende August waren zahlreiche Internetseiten aus Österreich schlagartig nicht erreichbar. Der Grund: Eine Urheberrechtsorganisation hatte eine Sperre des Musikportals CannaPower erwirkt, dabei jedoch IP-Adressen des Internetdienstleisters Cloudflare blockieren lassen. Damit war nicht nur CannaPower nicht mehr erreichbar, sondern auch zahlreiche unbeteiligte Seiten.

Nur wenige Tage später sorgte ein weiterer Fall für Aufsehen: Das Forum Kiwi Farms verschwand aus dem offenen Internet. Auch hier war Cloudflare involviert: Das Unternehmen hatte dem Hassforum die Geschäftsbeziehungen aufgekündigt, worauf sich dieses zunächst ins Darknet zurückzog.

Die Vorfälle veranschaulichen zweierlei. Zum einen ist die Blockade von Online-Inhalten längst keine kurze, punktuelle Störung mehr. Vielmehr resultiert sie unweigerlich aus der zunehmend zentralisierten Infrastruktur des Internets. Zum anderen erhalten dadurch Unternehmen wie Cloudflare enorm viel Macht. Dessen CEO Matthew Prince ist darüber jedoch alles andere als glücklich. Um die Gründe dafür zu verstehen, lohnt der Blick auf das Angebot und die Geschichte des Unternehmens sowie auf das Wirken seines Mitbegründers.

Der Akteur im Hintergrund

Cloudflare bietet unter anderem drei zentrale Dienste an: Erstens betreibt das Unternehmen nach eigenen Angaben den „weltweit schnellsten und zuverlässigsten“ öffentlichen DNS-Resolverdienst. Dieser übersetzt, vereinfacht gesagt, Domain-Namen in IP-Adressen und macht damit Websites und Internetanwendungen für Menschen auffindbar. Zweitens bietet das Unternehmen ein Content Delivery Network (CDN) an und verteilt darin Inhalte auf seine mehr als 275 Server-Standorte. Dadurch sollen sie weltweit zuverlässiger und schneller abrufbar sein. Drittens bietet Cloudflare Schutzmaßnahmen vor DDoS-Attacken, mit denen Angreifer:innen Server mit einem Sturm von Anfragen gezielt überlasten.

Ein Fünftel der 10.000 weltweit meistbesuchten Webseiten verwendet Cloudflares Dienste. Zu den Kunden zählen nicht nur große Tech-Konzerne, sondern auch zahlreiche kleinere und mittlere Unternehmen sowie NGOs und Privatpersonen. Insgesamt nutzen so mehr als 12 Millionen Websites Cloudflares Angebote, nach eigenen Angaben verarbeitet das Unternehmen 25 Millionen HTTP-Anfragen pro Sekunde. Obendrein ist Cloudflare auch der weltweit drittgrößte Anbieter bei Webserversystemen und liegt damit noch vor Google.

Wie massiv die Auswirkungen sind, wenn Cloudflares Dienste versagen, zeigte sich vor gut zwei Jahren. Am 27. Juli 2020 kam es für etwa eine halbe Stunde zeitgleich zu Ausfällen bei Zoom, Spotify, Reddit, Twitter und YouTube. Grund dafür war die falsche Konfiguration eines einzelnen Routers in Cloudflares Datenzentren. Und nur wenige Wochen zuvor hatte ein Ingenieur in einem anderen Datenzentrum versehentlich eine Kabelverbindung unterbrochen, was ebenfalls erhebliche Störungen verursachte.

Matthew Prince: Jura-Professor und Unternehmensgründer

Angesichts des großen Einflusses von Cloudflares Infrastruktur überraschen dessen betriebswirtschaftliche Zahlen im Vergleich zu anderen Tech-Riesen. Das Unternehmen hat derzeit knapp 2.000 Mitarbeitende an 16 Standorten weltweit. Sein Jahresumsatz lag im vergangenen Jahr bei rund 656 Millionen US-Dollar. Googles Mutterkonzern Alphabet hingegen beschäftigt etwa 160.000 Mitarbeitende und setzte im vergangenen Jahr knapp 260 Milliarden US-Dollar um.

Gegründet wurde Cloudflare im Jahr 2009 von Matthew Prince, Michelle Zatlyn und Lee Holloway. Breitere mediale Aufmerksamkeit erhielt das Unternehmen im Juni 2011, nachdem es die Website der Hacker-Gruppe LulzSec gegen Angriffe geschützt hatte; im Jahr darauf wurde auch Wikileaks Kunde von Cloudflare.

Zwei der drei Gründer:innen – Michelle Zatlyn und Matthew Prince – geben bis heute den Ton in dem Unternehmen an. Der Dritte, der Programmierer Lee Holloway, galt lange als das „Genie“ des Unternehmens. Er erkrankte jedoch vor einigen Jahren an Frontotemporaler Demenz, einer seltenen und unheilbaren neurologischen Krankheit, und hat sich weitgehend aus dem Unternehmen zurückgezogen.

Michelle Zatlyn sitzt als Präsidentin und COO im Cloudflare-Vorstand. Nach außen repräsentiert vor allem Matthew Prince das Unternehmen. Prince ist 1974 in San Francisco geboren und hat eine beachtliche akademische Laufbahn zurückgelegt: Ende der 1990er Jahre studierte er Englische Literatur und Computerwissenschaften am Trinity College in Hartford in Connecticut/USA. Anschließend erwarb er an der University of Chicago einen Doktortitel in Jura. Von 2003 bis 2012 lehrte Prince dann als außerordentlicher Professor für Recht an der John Marshall Law School in Georgia. Parallel dazu machte er an der Harvard Business School in Cambridge noch einen Abschluss zum Master of Business Administration.

Wir überwachen die Überwacher.

WE FIGHT FOR YOUR DIGITAL RIGHTS

Spenden

Hassforum Kiwi Farms

Seine juristischen Fachkenntnisse kommen Prince bei seinen Entscheidungen als CEO vermutlich gelegen. Vor welch schwerwiegenden Abwägungen er mitunter steht, veranschaulicht die jüngste Debatte um Kiwi Farms. Cloudflare hatte das Hass-Forum am 4. September blockiert. Ohne die Dienste von Cloudflare war die Seite möglichen DDoS-Angriffen schutzlos ausgeliefert. Die Entscheidung hatte Signalwirkung: Nach Cloudflare zogen andere Internetdienste wie etwa hCaptcha und das Internet Archive nach.

Kiwi Farms ist ein weitgehend unmoderiertes Forum, auf dem menschenverachtender Hass sowie Aufrufe zu Stalking und digitaler Gewalt insbesondere gegen trans Personen verbreitet werden. Es wurde 2013 vom ehemaligen 8chan-Administrator Joshua Moon als Diskussionsforum für das CWCki gegründet. Das Wiki hatten 4chan- und 8chan-Nutzer:innen erstellt, um Christine Weston Chandler (CWC) zu doxxen, eine Webcomic-Künstlerin, die unter dem Namen Chris-Chan bekannt ist. Als die Community begann, auch weitere „Internet-Persönlichkeiten“ ins Visier zu nehmen, änderte sie den ursprünglichen Namen CWCki Forums in Kiwi Farms.

Im August forderte die Twitch-Streamerin Clara Sorrenti Cloudflare öffentlichkeitswirksam dazu auf, Kiwi Farms zu kündigen. Sorrenti hatte zuvor die transfeindliche Gesetzgebung in den USA kritisiert und war damit ins Visier der Forennutzer:innen bei Kiwi Farms geraten. Unter Angabe falscher Tatsachen hetzten diese ihr die Polizei auf den Hals; nicht einmal durch eine Flucht nach Europa konnte sich die Kanadierin den Angriffen entziehen.

Welche Verantwortung trägt Cloudflare?

Anfangs weigerte sich Cloudflare, Kiwi Farms von seiner Kundenliste zu streichen. In einem Statement vom 31. August – und damit fünf Tage vor der finalen Entscheidung – gab das Unternehmen an, nicht auf die Forderungen eingehen zu wollen. Prince berief sich dabei auf die Meinungsfreiheit: Nach eingehenden Beratungen sei man intern zu dem Schluss gekommen, dass man seinen Kunden nicht den Zugang zu Diensten verwehren könne, die sie vor Angriffen im Netz schützen.

Doch der Druck wurde offenkundig zu groß. Nicht einmal eine Woche später verkündete Prince, Kiwi Farms zu blockieren: Da die Drohungen in den Forum zunähmen, schrieb Prince, bestehe „eine unmittelbare Gefahr“, auf welche die Strafverfolgungsbehörden nicht schnell genug reagieren könnten, „um damit Schritt zu halten“.

Nach Cloudflares Kehrtwende hatte Joshua Moon offenbar Mühe, einen anderen Anbieter zu finden, der Kiwi Farms Schutz bietet. Das russische Unternehmen DDoS-Guard stellte seine Dienste für das Forum bereits nach einem Tag wieder ein, woraufhin dieses bei VanwaTech unterkam, einem beliebten Dienstanbieter unter Verschwörungsgläubigen und weißen Nationalist:innen. Derzeit ist kiwifarms.net wieder online. Am 19. September wurde bekannt, dass das Forum gehackt worden war und die Angreifer:innen dabei sowohl Passwörter als auch Privatnachrichten entwendet hatten.

Kiwi Farms war nicht der erste Fall, in dem Cloudflare einem seiner Kunden kündigte. Im August 2017 entzog das Unternehmen der amerikanischen Nazi-Seite “The Daily Stormer” den Schutz; die Seite war danach aufgrund von DDoS-Attacken nicht mehr erreichbar. Zwei Jahre später erfuhr im August 2019 die Plattform 8chan ein ähnliches Schicksal. Zuvor hatte der Attentäter von El Paso seine Tat in einer Erklärung auf 8chan angekündigt. Auch die Attentäter von Christchurch und Halle hatten sich mutmaßlich auf dem Forum radikalisiert. Im Anschluss fanden sowohl Daily Stormer als auch 8chan – heute heißt die Plattform 8kun – ebenfalls bei VanwaTech Unterschlupf.

„Absolutist der freien Meinungsäußerung“

Dass Prince sich mit diesen Entscheidungen derart schwertat, hat vor allem zwei Gründe. Zum einen versteht er sich als Verfechter eines offenen Internets und als „Absolutist der freien Meinungsäußerung“. Wiederholt hat er erklärt, dass Cloudflare nicht darüber urteilen dürfe, was moralisch oder unmoralisch sei. Das Unternehmen sei nur ein Kommunikationsdienstleister, dessen Aufgabe es nicht sei, einzelne Gruppen auszuschließen.

Zur Begründung zieht Prince unter anderem Vergleiche zu Telefonunternehmen. Diese würden einem auch nicht den Anschluss sperren, wenn man „schreckliche, rassistische und bigotte Dinge sagt“. Eine weitere Parallele zieht er zur Arbeit der Feuerwehr: „Einige argumentieren, dass wir diese Dienste für Inhalte, die wir für verwerflich halten, einstellen sollten, damit andere Angriffe starten können, um diese zu unterbinden. […] Das entspricht dem Argument in der physischen Welt, wonach die Feuerwehr keine Brände in den Häusern von Menschen löschen soll, die einen unzureichenden moralischen Charakter aufweisen.”

Beide Vergleiche hinken jedoch. Telefone sind keine Veröffentlichungsplattformen und Cloudflare löscht keine Brände. Das Unternehmen baut vielmehr Schutzwälle, hinter denen auch Hass und digitale Gewalt gedeihen und Angreifer:innen ihre Opfer ins Visier nehmen können.

Für Prince waren es beim Daily Stormer daher auch persönliche Gründen, die ihn dazu veranlassten, die Reißleine zu ziehen: „Meine Gründe für diese Entscheidung waren einfach“, sagt Prince, „die Leute hinter dem Daily Stormer sind Arschlöcher und ich hatte genug davon.“ Den Ausschlag habe zuvor ein öffentliches Posting des Daily Stormer gegeben, in dem dieser behauptete, dass Cloudflare aus der gleichen Überzeugung wie sie handele. Prince sei daraufhin morgens „mit schlechter Laune aufgewacht“ und habe beschlossen, die neonazistische Website „aus dem Internet zu werfen“.

Zugleich betonte Prince, dass dies „eine willkürliche Entscheidung“ gewesen sei und es falsch sei, dass er über so viel Macht verfüge: „Es war eine Entscheidung, die ich treffen konnte, weil ich der CEO eines großen Internet-Infrastrukturunternehmens bin.“

Wir machen's nicht für Klicks

WE FIGHT FOR YOUR DIGITAL RIGHTS

Spenden

Daumen hoch, Daumen runter

Das aber bringt uns zurück zu der eingangs erwähnten These John Gilmores, wonach das Internet Zensur nurmehr als Störung betrachte und diese quasi von selbst umgehe. Denn dass Cloudflare mit diesen Entscheidungen derart hadert, hat neben politischen auch technische Gründe, die auch die übergroße Macht des Unternehmens verdeutlichen.

Angreifer:innen können ungeschützte Websites heute mit nur wenigen Mausklicks und für wenige Dollar offline schalten. Faktisch üben sie damit ebenfalls eine Form der inhaltlichen Kontrolle darüber aus, was aus ihrer Sicht online sein darf und was nicht.

Gleichzeitig funktioniert der Schutzschirm, den Cloudflare über Websites aufspannt, entweder ganz oder gar nicht: Er schützt nur ganze Seiten und der Schirm kann somit auch nicht einzelnen Beiträgen, Autor:innen oder Themen entzogen werden.

Die Folge: Senkt Prince den Daumen, drohen damit ganze Webseiten und deren Inhalte nicht mehr zugänglich zu sein. Bleibt der Daumen oben, kann dies mitunter drastische Folgen haben: Drei Selbstmorde der vergangenen Jahre stehen mutmaßlich in Zusammenhang mit Mobbing- und Hass-Kampagnen auf Kiwi Farms.

Der Staat muss handeln

Das Dilemma, in dem Cloudflare steckt, hat seine Ursachen nicht zuletzt in der Tatenlosigkeit der Politik sowie der Justiz- und Strafverfolgungsbehörden. Es wäre bereits zu begrüßen – das zeigte in Europa zuletzt der Tod der österreichischen Ärztin Lisa-Maria Kellermayr –, wenn alle, von der örtlichen Polizei bis zu den nationalen Gesetzgebern, Online-Belästigung ernster nähmen und koordiniert gegen Doxxing, Swatting und andere Formen des Online-Missbrauchs vorgehen würden. In der Praxis tun sie das jedoch oft nur halbherzig oder gar nicht. Und so sieht sich Cloudflare dem Druck ausgesetzt, selbst aktiv zu werden und eigenmächtig zu handeln.

Zu Hassrede und digitaler Gewalt kommt so auch das Problem der willkürlichen Inhaltekontrolle durch große Unternehmen hinzu. Diese Entwicklung besorgt selbst Matthew Prince: „Solange es keinen klaren Rahmen als Leitfaden für die Regulierung von Inhalten gibt, wird eine kleine Anzahl von Unternehmen weitgehend darüber bestimmen, was online sein darf und was nicht.“ Und diese Macht der Konzerne weckt Begehrlichkeiten: Seit seiner Entscheidung, Daily Stormer „aus dem Internet zu werfen“, hätten sich die Forderungen autoritärer Regime an Cloudflare gehäuft, Menschenrechtsorganisationen ebenfalls die Verträge aufzukündigen. Die Begründungen hätten dabei ähnlich geklungen wie seine eigenen, so Prince.

Als John Gilmore vor knapp 30 Jahren die Selbstabwehrkräfte des Internets beschwor, war das World Wide Web gerade einmal vier Jahre alt und nur ein winziger Bruchteil der Menschheit surfte darin herum. Inzwischen aber tummeln sich knapp 5,5 Milliarden Menschen im Internet – mit gänzlich unterschiedlichen und zum Teil auch feindlichen Absichten. Selbst ein „Absolutist der freien Meinungsäußerung“ wie Matthew Prince kommt da nicht umhin anzuerkennen, dass die damit aufgekommenen Probleme mit willkürlichen Entscheidungen nicht zu lösen sind.

5 Ergänzungen

  1. Cloudflare hostet aber auch Linke Webseiten oder hilft z.B. Oppositionsangebote für Iran, Russland usw vor DDoS zu schützen. Man sollte die Firma also keinesfalls verteufeln. Auch viele Piraten und P2P Seiten wären ohne Cloudflare wohl kaum anonym zu betreiben. Zudem unterstützt Cloudflare auch Anonymisierungsnetze wie TOR…..

    Negativ ist eigentlich nur das bei Cloudflare als Intermediär die SSL Verbindung aufgebrochen wird und durch ein Cloudflare Zertifikat ersetzt wird. Dadurch könnten natürlich Geheimdienste Zugriff auf alle Inhalte nehmen welche über Cloudflare abgewickelt werden. Ich vermute mal das auch genau deshalb extremistische Inhalte dort toleriert werden weil so Cloudflare auch Zugriff auf all deren Datentransfers bekommt und zwar im unverschlüsselten Klartext. Eine Goldgrube für jeden Geheimdienst.

  2. “ Zudem unterstützt Cloudflare auch Anonymisierungsnetze wie TOR…..“

    Über die letzten Monate betrachtet, habe ich immer häufiger Probleme, mit dem Tor-Browser auf Clearnet Webseiten zuzugreifen, weil Cloudfare die „Verbindung überprüft“ (zwischen Webseite und Exitknoten) – und nichts passiert.
    Woran könnte das liegen? Haben da individuell die Seiteninhaber (und Cloudfare-Kunden) eine Einstellung gewählt, dass Tor-Traffic nicht durchgeleitet werden soll, oder liegt es vielleicht daran, dass ich -bewusst- Scripte nicht zulasse?

    Wie auch immer. Aber es zeigt doch, dass Cloudfare als zentrale Institution problemlos zB den Tor-Traffic zu allen Webseiten, die über deren Server laufen, auf einmal blocken könnte.

    1. Nun, Cloudflare bietet z.B. DNS über TOR an um providerseitige DNS Sperren zu umgehen und DNS Anfragen zu verschlüsseln und zu anonymisieren:

      https://developers.cloudflare.com/1.1.1.1/other-ways-to-use-1.1.1.1/dns-over-tor/

      Cloudflare bietet es Kunden auch an die eigenen Domains direkt im TOR Netz verfügbar zu machen. TOR Exit Node IPs sind halt oft wegen Spam gesperrt, aber wenn die Webseite direkt im TOR Netz läuft sollte das kein Problem sein:

      https://support.cloudflare.com/hc/en-us/articles/203306930-Understanding-Cloudflare-Tor-support-and-Onion-Routing

  3. Bei allen Vorteilen sollte man immer an den Machtinstrumentcharakter denken.
    – Welche Daten (HTTPS aufbrechen, Analysen, AGB) ?
    – Verbreitung (weit)?

    Einerseits ermöglicht Marktmacht zu geringem Maße, sich auch mal gegen Regierende durchzusetzen, das gilt in der Realität allerdings fast immer nur 1. kurz, 2. Regierende von Ländern, in denen man nicht einen solchen Umsatz hat.

    Andereseits: „Demokratisierung“ in der Hand eines anderen Fürsten… da geht wohl noch ein Lernprozess vor sich.

    Ich will das Potential gar nicht kleinreden, nicht das von Facebook, nicht dass von Cloudflare…

  4. nicht cloudflare hat die östereichischen Seiten gesperrt, sondern die östereichischen Telekommunikationsanbieter hatten cloudflare gesperrt.
    Da kann cloudflare jetzt mal echt nichts dafür.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.