Cloudflare

aus Wikipedia, der freien Enzyklopädie
Cloudflare

Cloudflare logo.svg
Rechtsform Corporation
ISIN US18915M1071
Gründung Juli 2009
Sitz San Francisco, Kalifornien,
Vereinigte Staaten Vereinigte Staaten
Leitung Matthew Prince (CEO)
Branche Internet, Content Delivery Network
Website www.cloudflare.com

Cloudflare, Inc. ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Der Hauptsitz von Cloudflare befindet sich in San Francisco, Kalifornien, und es gibt weitere Niederlassungen in London, Singapur, Champaign, Austin, Boston und Washington, D.C.[1][2]

Geschichte

Cloudflare wurde 2009 von Michelle Zatlyn, Lee Holloway und dem aktuellen CEO Matthew Prince entwickelt. Der offizielle Start wurde im September 2010 auf der TechCrunch Disrupt Conference verkündet.[3] Im Jahr 2010 wurden rund 150 Millionen Interaktionen einzelner Benutzer bei 5 Milliarden Seitenabrufen pro Monat gezählt.[4] Der Dienst sicherte Anfang 2012 etwa 250.000 Websites beispielsweise gegen Nachfragespitzen ab.[5] Im März 2013 wurde mehr als das Dreifache, rund 780.000 Seiten, als aktueller Stand genannt.[6]

Die 2011 aktive Hackergruppe LulzSec nutzte Cloudflare für den Betrieb ihrer Website, da frühere Provider zu wenig Kapazität bereitstellten. Nach öffentlichkeitswirksamen Aktionen, dem Hack der Website Sonys und dem Diebstahl einer Million Zugangsdaten oder dem Distributed-Denial-of-Service der CIA-Homepage, führten Leitmedien eine kontroverse Debatte, ob Cloudflare ohne richterlichen Beschluss den Auftritt LulzSecs allein auf Bitten der CIA offline nehmen sollte.[7][8] Cloudflare berief sich in einem Blogpost auf Informationsfreiheit und lehnte mit dem Hinweis auf Zensur ab.[9]

Im Juni 2012 ging Cloudflare Partnerschaften mit verschiedenen Webhosts ein, um seine Railgun-Technologie zu implementieren.[10] Railgun zielt darauf ab, sich oft verändernde Seiten wie Nachrichten zu beschleunigen, indem nur die oft geringen Änderungen vom Herausgeber heruntergeladen werden, während der Rest von Cloudflares Zwischenspeichern kommt.

Ebenfalls im Juni 2012 gelang es der Hackergruppe UGNazi, durch Lücken in Googles Nutzerauthentifizierung die Website 4chan zu verunstalten, die durch den Dienst eigentlich geschützt sein sollte.[11]

Neben dem Auftritt der Band Metallica und staatlichen Institutionen gehört auch Wikileaks zu den Kunden Cloudflares, was nach anhaltenden Attacken auf Wikileaks breite mediale Aufmerksamkeit fand.[12][13]

Im Februar 2013 veröffentlichte das Zero Science Lab einen vergleichenden Report, wie angreifbar die Web Application Firewall von Cloudflare via Penetrationtesting wäre. Gegenüber den beiden Wettbewerbern erwies sich Cloudflare als am wenigsten resistent.[14]

Cloudflare schloss sich 2013 dem von Mozilla initiierten Aufruf für mehr Transparenz beim Abfragen von Nutzerdaten durch die US-Regierung („The Internet Sector calls for Greater Transparency in Requests for User Data“) an, der in StopWatching.Us, einem offenen Brief an den Kongress der Vereinigten Staaten, aufging.[15]

Im August 2013 kam Cloudflare in die Kritik, weil sie auch die Webseite des Kavkaz Center absichert, die über Tschetschenien berichtet und auf der einige Inhalte von Sicherheitsexperten als extremistisch eingeordnet wurden.[16] Die Unternehmensleitung wies die Vorwürfe mit Verweis auf die Tradition der Meinungsfreiheit in den Vereinigten Staaten zurück: „A website is speech. It is not a bomb.“[17]

Im Februar 2014 schwächte Cloudflare den bis dahin größten je aufgezeichneten DDoS-Angriff von 400 GBit/s ab. Im November 2014 meldete Cloudflare einen weiteren massiven DDoS-Angriff, dessen Ziel unabhängige Medienwebsites mit 500 GBit/s waren.[18]

Seit dem 29. September 2014 bietet Cloudflare Universal SSL als kostenfreie SSL-Verschlüsselung an, welche mittels Server Name Indication realisiert wird.[19]

Nach einem Artikel vom 22. Juli 2015 von netzpolitik.org werden alle DNS-Anfragen für die Domain des Deutschen Bundestages „bundestag.de“ und deren Subdomains von Cloudflare beantwortet. Das Pressereferat des Deutschen Bundestags bestätigte dies teilweise in einer zurückhaltenden Stellungnahme gegenüber dem Blog.[20]

Am 24. Februar 2017 wurde bekannt, dass es durch eine Sicherheitslücke über Monate möglich war, an übertragene Daten – auch aus verschlüsselten Verbindungen – zu gelangen, u. a. Positionsdaten der Benutzer des Dienstes Uber, private Chatnachrichten der Dating-Seite OkCupid und Video-Frames aus Erotik-Portalen.[21]

In Diskussionen um die rechtsradikale amerikanische Seite The Daily Stormer kündigte Cloudflare deren Vertrag im August 2017. Die Seite war danach aufgrund von DDoS-Attacken nicht erreichbar. Cloudflare-CEO Matthew Prince stufte sein Verhalten als kritisch ein. Seiner eigenen Aussage nach verfügte er über zu viel Macht, da nicht eine Einzelperson über den Bestand einer Internetseite entscheiden sollte.[22]

Seit Mitte 2018 hostet Cloudflare die Server für Mozilla zur Bereitstellung des Services DNS over HTTPS (DoH). Hierbei wurden strikte Datenschutz-Vereinbarungen getroffen.[23]

Nach dem Anschlag in El Paso am 3. August 2019 kündigte Cloudflare wenige Tage darauf den Vertrag mit dem Imageboard 8chan. Der Täter hatte seine Tat zuvor auf der Website angekündigt.[24]

Finanzierungsrunden

  • November 2009: 2,1 Millionen Dollar in einer Serie A-Runde von Pelion Venture Partners and Venrock.
  • Juli 2011: 20 Millionen Dollar in einer Serie B-Runde von New Enterprise Associates, Pelion Venture Partners, Venrock.
  • Dezember 2012: 50 Millionen Dollar in einer Serie C-Runde von New Enterprise Associates, Pelion Venture Partners, Venrock, Union Square Ventures und Greenspring Associates.
  • Dezember 2014: 110 Millionen Dollar in einer Serie D-Runde unter der Leitung von Fidelity Investments und mit Teilnahme von Google Capital, Microsoft, Qualcomm und Baidu.[25]
  • Seit dem 13. September 2019 wird Cloudflare unter dem Kürzel NET an der Börse NYSE gehandelt, und erzielte beim Verkauf der Anteile 525 Millionen Dollar.[26]

Übernahmen

  • Februar 2014: StopTheHacker zwecks Malware-Erkennung, automatischer Malware-Entfernung Schutz der IT-Reputation, Überwachung von Negativlisten.[27]
  • Juni 2014: CryptoSeal, von Ryan Lackey gegründet.[28]
  • Dezember 2016: Eager, um Installationen von Drittanbieter-Apps auf Cloudflare-fähigen Websites per Drag-and-Drop zu ermöglichen.[29]
  • November 2017: Neumob[30]
  • Januar 2020: S2 Systems[31][32]
  • Dezember 2020: Linc[33]
  • Dezember 2021: Zaraz[34]

Dienste

DDoS-Schutz

Cloudflare bietet allen Kunden die Einstellung „I’m Under Attack Mode“ (Ich-werde-angegriffen-Modus). Laut Cloudflare kann dies erweiterte Angriffe der Ebene 7 abschwächen, indem eine JavaScript-Rechenaufgabe angezeigt wird, die gelöst werden muss, bevor ein Benutzer auf eine Website zugreifen kann. Dieser Schutz filtert unwichtige Datenpakete, die zum Server gesendet werden, und leitet sie zu einem großen Server um.

Web Application Firewall

Cloudflare ermöglicht Kunden mit kostenpflichtigen Tarifen standardmäßig die Nutzung eines Web-Application-Firewall-Dienstes. Die Firewall verfügt zusätzlich zum eigenen Regelsatz von Cloudflare und den Regelsätzen für beliebte Webanwendungen über den OWASP ModSecurity-Kernregelsatz.[35]

Domain Name Server

Cloudflare bietet einen kostenlosen Domain Name Server (DNS) für alle Clients, die von einem Anycast-Netzwerk unterstützt werden. Laut W3Cook betreibt der DNS-Dienst von Cloudflare derzeit über 35 % der gehosteten DNS-Domänen. SolveDNS teilte mit, dass Cloudflare mit einer im April 2016 gemeldeten Suchgeschwindigkeit von 8,66 ms durchgängig eine der schnellsten DNS-Suchgeschwindigkeiten weltweit hat.[36]

Reverse Proxy

Eine Schlüsselfunktion von Cloudflare ist der Reverse Proxy für Webdatenverkehr. Cloudflare unterstützt mehrere Webprotokolle, darunter SPDY und HTTP/2 sowie HTTP/2 Server Push. Cloudflare unterstützt zudem Proxy-Vorgänge für Websockets.[37]

Content Delivery Network

Das Netzwerk von Cloudflare weist die höchste Anzahl von Verbindungen mit Internetknoten aller Netzwerke weltweit auf. Cloudflare speichert Inhalt an Randorten, um so als Content Delivery Network (CDN) zu fungieren. Alle Anforderungen werden dann über Cloudflare als Reverse Proxy gesendet und der zwischengespeicherte Inhalt wird direkt von Cloudflare bereitgestellt.[38]

Werte

Cloudflare-CEO Matthew Prince betont seine Unterstützung für Redefreiheit:[39]

“One of the greatest strengths of the United States is a belief that speech, particularly political speech, is sacred. A website, of course, is nothing but speech. […] A website is speech. It is not a bomb. There is no imminent danger it creates and no provider has an affirmative obligation to monitor and make determinations about the theoretically harmful nature of speech a site may contain.”

„Eine der größten Stärken der USA liegt im Glauben daran, dass Reden, und insbesondere politische Reden, heilig sind. Eine Website ist natürlich nichts anderes als eine Rede […] Eine Website ist eine Rede. Es ist keine Bombe. Von ihr geht keine unmittelbare Gefahr aus und kein Anbieter ist ausdrücklich zur Überwachung verpflichtet und muss die theoretisch gefährliche Natur der Sprache bestimmen, die eine Website enthalten kann.“

Cloudflare veröffentlicht halbjährlich einen Transparenzbericht, um zu zeigen, wie oft Vollzugsbehörden Daten zu seinen Kunden anfordern.[40]

Kunden

Cloudflare bietet DNS-Dienste für 6 Millionen Websites, zu denen einige bekannte wie Uber, OkCupid und Fitbit gehören.[41] Laut W3Techs wird Cloudflare von 11,6 % der Top 10 Millionen Websites verwendet und ist damit der populärste Reverse-Proxy-Dienst.[42]

Auszeichnungen und Anerkennungen

  • Im Februar 2015 von TechCrunch bei den 8th Annual Crunchies Awards als „Best Enterprise Startup“ ausgezeichnet.[43]
  • Vom Wall Street Journal zwei Jahre in Folge als „Most Innovative Network & Internet Technology Company“ (Innovativstes Unternehmen für Netzwerk- und Internettechnologie) bezeichnet.[44]
  • Im Jahr 2012 wurde Cloudflare vom Weltwirtschaftsforum als technologischer Vorreiter anerkannt.[45]
  • Zählte 2012, laut Fast Company, zu den 10 innovativsten Internet-Unternehmen der Welt.[46]
  • Im Jahr 2016 befand sich Cloudflare auf Rang 11 der „Forbes Cloud 100“-Liste.[47]

Kritik

In einem Bericht der Europäischen Kommission[48] wird dem Unternehmen vorgeworfen, nicht genug gegen Urheberrechtsverletzungen auf dessen Plattform zu unternehmen. Demnach schätzt der Bericht, dass Cloudflare von ca. 40 % aller Websites genutzt wird, die illegal urheberrechtlich geschütztes Material anbieten. Von den 500 urheberrechtsverletzenden Domains mit den meisten Besuchern, nach Alexa Rank, sind es 62 %. Die Reaktion seitens Cloudflare, auf Anfragen bezüglich der Urheberrechtsverletzungen, wird weiter als unzureichend eingestuft.

Das Landgericht Köln urteilte (6 U 32/20) in einer einstweiligen Verfügung von Universal Music gegen Musikpiraterie in Deutschland, dass Cloudflare als Störer im Sinne der Störerhaftung angesehen wird, was erstmals einen Präzedenzfall für die Branche schuf.[49] Cloudflare kam der Aufforderung nicht nach und wurde im Berufungsverfahren vor dem Oberlandesgericht Köln aufgrund von Unterlassung verurteilt.[50]

Im August 2022 kam es auf sozialen Medien zu einer Kampagne, in der Cloudflare aufgefordert wurde, die Geschäftsbeziehungen mit dem Internetforum Kiwi Farms einzustellen. Die Streamerin Clara Sorrenti, online bekannt unter dem Namen Keffals, war zuvor Opfer von Doxing und Swatting durch Mitglieder des Forums geworden. Die US-amerikanische Organisation Anti-Defamation League bezeichnete das Forum als „ein extremistenfreundliches Forum, das den Nährboden für unzählige Hetzkampagnen bildet“. In einem am 31. August 2022 veröffentlichten Statement deutete Cloudflare an, nicht auf die Forderungen eingehen zu wollen und berief sich dabei auf die Meinungsfreiheit.[51][52] Am 4. September 2022 sperrte Cloudflare den Zugang zu Kiwi Farms. Als Begründung gab das Unternehmen an, dass es innerhalb von 48 Stunden zu derartigen Drohungen innerhalb des Forums gekommen sei, dass nun eine akute Gefahr für Menschenleben bestehe. Trotz proaktiver Zusammenarbeit mit Strafverfolgungsbehörden habe man nicht mehr auf deren Handeln warten können.[53]

Weblinks

Einzelnachweise

  1. CloudFlare Reveals $50 Million “Secret” Funding — From One Year Ago. AllThingsD.
  2. Cloudflare beefs up app platform plans with startup acquisition. Bizjournals.com, abgerufen am 28. Februar 2017.
  3. Our story. Cloudflare, abgerufen am 15. August 2011.
  4. Nicole Henderson: CloudFlare Gets an Unusual Endorsement from Hacker Group LulzSec. In: Webhost Industry Review. 17. Juni 2011, archiviert vom Original am 10. Januar 2012; abgerufen am 15. August 2011.
  5. Wie sich Lulzsec vor Hacks schützte, golem.de. Abgerufen am 14. Juli 2013.
  6. Router-Update fegt 785.000 Websites aus dem Netz, golem.de. Abgerufen am 24. Juli 2013.
  7. An inside view of Lulzsec's hacking rampage, cnn.com. Abgerufen am 14. Juli 2013.
  8. How we got caught in lulzsec CIA crossfire, zdnet.com. Abgerufen am 14. Juli 2013.
  9. On LulzSec, Censorship & CloudFlare (Memento vom 27. Juli 2013 im Internet Archive), blog.cloudflare.com. Abgerufen am 14. Juli 2013.
  10. Cloudflare Partners With World’s Leading Web Hosts To Implement Its Railgun Protocol, Speeds Up Load Times By Up To 143%. In: TechCrunch. Abgerufen am 6. Januar 2019 (amerikanisches Englisch).
  11. 4chan durch Einbruch in CloudFlare Server gehackt. golem.de. Abgerufen am 14. Juli 2013.
  12. CloudFlare Was Down Due To Edge Routers Crashing, Taking Down 785,000 Websites Including 4chan, Wikileaks, Metallica.com, techcrunch.com. Abgerufen am 24. Juli 2013.
  13. CloudFlare Helps Save Wikileaks' Bacon, techcrunch.com. Abgerufen am 24. Juli 2013.
  14. CloudFlare vs Incapsula vs ModSecurity – A Comparative Penetration Testing Analysis Report. Zero Science Lab, abgerufen am 2. November 2018.
  15. The Internet Sector Calls for a Greater Transparency, blog.mozilla.org. Abgerufen am 24. Juli 2013.
  16. Greg Simons (Swedish National Defence College): Mass Media and Modern Warfare. Ashgate 2010, ISBN 978-0-7546-7472-6, S. 184–185.
  17. CloudFlare on censorship: ‚A website is speech. It is not a bomb.‘ theguardian.com vom 12. August 2013.
  18. The Largest Cyber Attack In History Has Been Hitting Hong Kong Sites. Forbes.
  19. Introducing Universal SSL. 29. September 2014, abgerufen am 16. Dezember 2014.
  20. CloudFlare: Deutscher Bundestag bezieht schon wieder Internet von US-Anbietern, diesmal für die eigenen Webseiten. netzpolitik.org vom 22. Juli 2015.
  21. Kate Conger: Major Cloudflare bug leaked sensitive data from customers’ websites. In: Techcrunch. 24. Februar 2017, abgerufen am 24. Februar 2017 (englisch).
  22. heise online: „Ich kann das, weil ich CEO bin“: Cloudflare-Chef verstößt Neonazi-Seite – die geht offline. Abgerufen am 18. August 2017.
  23. Cloudflare Resolver for Firefox. Cloudflare, archiviert vom Original am 22. Juli 2018; abgerufen am 26. Juli 2018.
  24. Nach Massaker in El Paso: Wer steckt hinter 8chan? In: FAZ.NET. ISSN 0174-4909 (faz.net [abgerufen am 31. August 2022]).
  25. CloudFlare Hints IPO Could Be Coming, But Not This Year. techcrunch.com.
  26. Cloudflare jumps in trading debut after raising 525 Million bloomberg.com
  27. Matthew Prince: Cloudflare Acquires StopTheHacker. In: blog.cloudflare.com . 24. Februar 2021. Archiviert vom Original am 21. März 2021. Abgerufen am 9. März 2021.
  28. Matthew Prince: Cloudflare Acquires CryptoSeal. In: blog.cloudflare.com . 18. Juni 2014. Archiviert vom Original am 21. März 2021. Abgerufen am 9. März 2021.
  29. Cloudflare acquires app platform Eager, will sunset service in Q1 2017. VentureBeat.
  30. Ron Miller: Neumob acquisition gives Cloudflare missing mobile component – TechCrunch. In: TechCrunch. 14. November 2017. Abgerufen am 18. September 2020.
  31. Ron Miller: Cloudflare acquires stealthy startup S2 Systems, announces Cloudflare for Teams – TechCrunch. In: TechCrunch. 7. Januar 2020. Abgerufen am 17. September 2020.
  32. Cloudflare Acquires S2 Systems Corporation for Next-Gen Browser Isolation. In: businesswire.com. 7. Januar 2020. Abgerufen am 17. September 2020.
  33. Kyle Wiggers: Cloudflare acquires Linc to automate web app deployment. In: VentureBeat. 22. Dezember 2020. Abgerufen am 22. Dezember 2020.
  34. Cloudflare Acquires Zaraz to Boost Website Speed and Security Without Sacrificing Privacy. In: yahoo.com . 8. Dezember 2021.
  35. Cloudflare Web Application Firewall Review (Memento vom 8. April 2017 im Internet Archive). Fanatic Entrepreneur
  36. April 2016 DNS Speed Comparison Report. solvedns.com
  37. CloudFlare figured out how to make the Web one second faster. ZDNet
  38. Internet Exchange Report. Hurricane Electric.
  39. blog.cloudflare.com
  40. Cloudflare Transparency Report cloudflare.com
  41. Cloudbleed: Big web brands leaked crypto keys, personal secrets thanks to Cloudflare bug. The Register
  42. Usage Statistics and Market Share of Reverse Proxy Services for Websites, January 2020. In: w3techs.com. Abgerufen am 28. Januar 2020 (englisch).
  43. Winners. Abgerufen am 16. Dezember 2018 (amerikanisches Englisch).
  44. Technology Innovation Awards – Network And Internet Technologies. In: WSJ.com. Wall Street Journal, 16. Oktober 2012, abgerufen am 16. Dezember 2018 (englisch).
  45. CloudFlare. In: Digital Transformation. Abgerufen am 16. Dezember 2018 (amerikanisches Englisch).
  46. The 2012 Top 10 Most Innovative Companies by Sector: Internet. Abgerufen am 16. Dezember 2018 (amerikanisches Englisch).
  47. Forbes Cloud 100. Forbes.
  48. Europäische Kommission: Counterfeit and Piracy Watch List. (PDF) 7. Dezember 2018, S. 21, abgerufen am 12. Dezember 2018 (englisch).
  49. Witold Pryjda: Cloudflare ist für Gericht "Störer", muss Zugang zu Warez unterbinden. In: winfuture.de. 19. Februar 2020, abgerufen am 10. März 2021.
  50. Mark Steier: Cloudflare haftet für seine Kunden. In: wortfilter.de. 12. Januar 2021, abgerufen am 10. März 2021 (deutsch).
  51. Cloudflare Urged to Cut Ties to Site That Promotes Harassment. In: Bloomberg.com. 30. August 2022 (bloomberg.com [abgerufen am 31. August 2022]).
  52. Cloudflare Hints It Won’t Cut Ties to Site Linked to Harassment. In: Bloomberg.com. 31. August 2022 (bloomberg.com [abgerufen am 31. August 2022]).
  53. Cloudflare reverses decision and drops trans trolling website Kiwi Farms. 4. September 2022, abgerufen am 4. September 2022 (englisch).