Heute ist der 5. Jahrestag von Cloudflares Project Galileo. Durch dieses Projekt schützt Cloudflare – kostenlos – im Internet fast 600 Organisationen auf der ganzen Welt, die sich mit einigen der wichtigsten politischen und künstlerischen Aufgaben befassen. Aufgrund ihrer Arbeit werden diese Organisationen häufig angegriffen, oft mit einigen der heftigsten Cyber-Angriffe, die wir je erlebt haben.
Seit dem Start im Jahr 2014haben wir nach außen nicht viel über Galileo gesprochen, weil wir befürchten, dass die stärkere Aufmerksamkeit diese Organisationen einem erhöhten Risiko aussetzen könnte. Intern ist es jedoch eine Quelle des Stolzes für unser gesamtes Team und etwas, wofür wir erhebliche Ressourcen einsetzen. Und für mich persönlich sind viele der Momente, die meine bedeutsamsten Leistungen markieren, aus unserer Arbeit zum Schutz der Zielgruppe von Project Galileo entstanden.
Das Versprechen von Project Galileo ist einfach: Cloudflare stellt allen politisch oder künstlerisch wichtigen Organisationen kostenlos unsere umfassenden Sicherheitsdienste zur Verfügung, sofern es sich um gemeinnützige oder kleine kommerzielle Einrichtungen handelt. Ich bin immer noch auf der Verteilerliste, die eine E-Mail erhält, wenn sich jemand um die Teilnehme an Project Galileo bewirbt. Diese E-Mails sind stets die ersten, die ich jeden Morgen öffne.
Die Vorgeschichte von Project Galileo
Project Galileo entstand vor fünf Jahren aus einem Fehler, den wir gemacht haben. Damals enthielt der kostenlose Dienst von Cloudflare keine DDoS-Abwehr. Wenn ein Kunde mit Gratis-Tarif angegriffen wurde, hörte unser für den Betrieb zuständiges Team in der Regel mit dem Proxying seines Datenverkehrs auf. Wir haben das getan, um unser eigenes Netzwerk zu schützen, das damals viel kleiner war als heute.
Normalerweise war das kein Problem. Die meisten Webseiten, die damals angegriffen wurden, waren Gesellschaften oder Unternehmen, die für unsere Dienstleistungen bezahlen konnten.
Jeden Morgen erhielt ich einen Bericht über die Seiten, für die Cloudflare in der Nacht aus seinem Dienst genommen hatte. An einem Morgen Ende Februar 2014 las ich diesen Bericht, als ich zur Arbeit ging. Eine der als verworfen gelisteten Seiten kam mir bekannt vor, aber ich konnte sie nicht zuordnen.
Ich versuchte, die Website auf meinem Handy aufzurufen, aber sie war offline, vermutlich, weil wir sie nicht länger vor Angriffen schützten. Immer noch neugierig führte ich eine schnelle Suche durch und fand eine Wikipedia-Seite, die die Website beschrieb. Es handelte sich um eine unabhängige Zeitung in der Ukraine, die über die anhaltende russische Invasion auf der Krim berichtet hatte.
Mir wurde übel.
Wenn Nationalstaaten angreifen
Später erfuhren wir, dass diese Publikation schweren Angriffen ausgesetzt gewesen war, höchstwahrscheinlich direkt von der russischen Regierung. Die Zeitung hatte sich an Cloudflare gewandt, um Schutz zu erhalten. Ihr IT-Leiter hatte tatsächlich versucht, für unsere höhere Servicestufe zu bezahlen, aber die Systeme der Bank, von der der Verlag seine Kreditkarte hatte, wurden ebenfalls durch einen Cyberangriff gestört und die Zahlung scheiterte. Also hatten sie sich für die kostenlose Version von Cloudflare angemeldet und eine Weile hatten wir den Angriff abgewehrt.
Der Angriff war so groß, dass er einen Alarm in unserem Network Operations Center (NOC) auslöste. Ein Mitglied unseres Systems-Reliability-Engineering-Teams (SRE), das Dienst hatte, untersuchte den Vorfall und stieß auf einen Kunden mit Gratis-Tarif, der einem Großangriff ausgesetzt war. Er folgte unserem Betriebshandbuch und löste ein FINT aus – was für „Interner Fehler“ steht –, wodurch der Datenverkehr für die Website direkt zu ihrem Ursprungsserver geleitet wurde anstatt durch die Schutz-Edge von Cloudflare. Die Seite wurde sofort von dem Angriff überwältigt und verschwand im Grunde aus dem Internet.
Fehlerhafter Prozess
Ich sollte mich klar ausdrücken: Der SRE-Mitarbeiter hat nichts falsch gemacht. Er folgte genau der Vorgehensweise, die wir damals festgelegt hatten. Er war ein großartiger Informatiker, aber kein Politikwissenschaftler, weshalb er die Seite nicht erkannte, ihre Bedeutung aufgrund der damaligen Situation auf der Krim nicht verstand und auch nicht, warum eine Zeitung, die darüber berichtete, angegriffen werden könnte. Aber ich verstand es, als ich am nächsten Morgen auf meinem Weg zur Arbeit den Bericht las.
Die Mission von Cloudflare besteht darin, das Internet besser zu machen. An diesem Tag haben wir diese Mission nicht erfüllt. Ich wusste, dass wir etwas tun mussten.
Politisch oder künstlerisch wichtig?
Es war für uns relativ einfach zu entscheiden, die Sicherheitsdienste von Cloudflare kostenlos für politisch oder künstlerisch wichtige gemeinnützige und kleine kommerzielle Einrichtungen zur Verfügung zu stellen. Wir waren zuversichtlich, dass wir auch den größten Angriffen standhalten könnten. Weniger überzeugt waren wir von unserer Fähigkeit, zu bestimmen, wer oder was „politisch oder künstlerisch wichtig“ ist.
Obwohl Cloudflare Infrastruktur auf der ganzen Welt betreibt, ist unser Team hauptsächlich in San Francisco, Austin, London und Singapur ansässig. Das gibt uns sicherlich einen Standpunkt, aber es ist kein besonders global repräsentativer Standpunkt. Außerdem sind wir eine sehr technisch ausgerichtete Organisation. Wenn wir unser Team befragen würden, um zu entscheiden, welche Organisationen Schutz verdienen, würden wir zweifellos eine Reihe würdiger Organisationen identifizieren, die eher lokal sind und unseren Interessen nahestehen, aber viele andere würden fehlen.
Wir hatten auch die Befürchtung, dass es gefährlich wäre, wenn ein Infrastrukturanbieter wie Cloudflare anfinge, Entscheidungen darüber zu treffen, welche Inhalte „gut“ sind. Das würde auch implizieren, dass wir in der Lage sind, Entscheidungen darüber zu treffen, welche Inhalte „schlecht“ sind. Während die Moderation von Inhalten und die Pflege von Communities für einige sichtbarere Plattformen angebracht ist, werden diese Entscheidungen von Natur aus immer weniger transparent, nachvollziehbar und konsistent, je tiefer man in die Infrastruktur des Internets vordringt.
Hilfe von den Experten
Anstatt also selbst zu bestimmen, wer politisch oder künstlerisch wichtig ist, wandten wir uns an zivilgesellschaftliche Organisationen, die genau dafür Experten sind. Zunächst arbeiteten wir mit 15 Organisationen zusammen, darunter:
Access Now
American Civil Liberties Union (ACLU)
Center for Democracy and Technology (CDT)
Centre for Policy Alternatives
Committee to Protect Journalists (CPJ)
Electronic Frontier Foundation (EFF)
Engine Advocacy
Freedom of the Press Foundation
Meedan
Mozilla
Open Tech Fund
Open Technology Institute
Wir beschlossen, dass wir, wenn ein Partner eine gemeinnützige oder kleine kommerzielle Einrichtung, die Schutz beantragt hat, als „politisch oder künstlerisch wichtig“ einstuft, unsere Sicherheitsdienste erweitern und diese Einrichtung schützen würden, egal was passiert.
Damit war Project Galileo geboren. Derzeit werden fast 600 Organisationen im Rahmen von Project Galileo geschützt. Trotz gelegentlichen politischen Drucks und häufiger extrem großer Angriffe haben wir noch nie eine Organisation aus dem Schutz genommen.
Organisationen können sich direkt bei Cloudflare um den Schutz durch Project Galileo bewerben oder von einem Partner vorgeschlagen werden. Bis heute haben wir die Liste der Partner auf 28 erweitert. Hinzugekommen sind:
Anti-Defamation League
Amnesty International
Business & Human Rights Resource Centre
Council of Europe
Derechos Digitales
Fourth Estate
Frontline Defenders
Institute for War & Peace Reporting (IWPR)
LION Publishers
National Democratic Institute (NDI)
Reporters Sans Frontières
Social Media Exchange (SMEX)
Sontusdatos.org
Tech Against Terrorism
World Wide Web Foundation
X-Lab
Cloudflares Mission: Das Internet besser machen
Einige Unternehmen beginnen mit einer Mission. Cloudflare war keines dieser Unternehmen. Als Michelle, Lee und ich mit dem Aufbau von Cloudflare begannen, taten wir das, weil wir dachten, wir hätten eine bedeutende Geschäftsmöglichkeit identifiziert. Um die Wahrheit zu sagen: Ich hielt die Idee, „missionsgetrieben“ zu sein, für einen ziemlichen Unfug.
Ich erinnere mich noch gut an den Tag, an dem sich das für mich änderte. Der Direktor eines der Partner von Project Galileo rief mich an, um mir mitzuteilen, dass drei Journalisten, die im Rahmen von Project Galileo Schutz erhalten hatten, zu Besuch in San Francisco seien, und er fragte, ob es in Ordnung wäre, sie für eine Stippvisite in unsere Büros zu bringen. Ich sagte sicher und knapste ein wenig Zeit ab, um sie zu treffen.
Alle drei Journalisten berichteten über mutmaßliche Regierungskorruption ihren Heimatländern. Einer kam aus Angola, einer aus Äthiopien, und man wollte mir weder den Namen noch das Heimatland des dritten nennen, weil er „derzeit von Todesschwadronen gejagt wird“. Alle drei umarmten mich. Einer von ihnen hatte Tränen in den Augen. Und dann erzählten sie mir, dass sie ihre Arbeit als Journalisten ohne den Schutz von Cloudflare nicht verrichten könnten.
Es gibt auf der ganzen Welt unglaublich mutige Menschen, die wichtige Arbeit leisten und ihr Leben riskieren. Einige von ihnen nutzen das Internet, um ihr Publikum zu erreichen. Egal, ob afrikanische Journalisten, die über mutmaßliche Regierungskorruption berichten, LGBTQ-Gemeinschaften im Nahen Osten, die Hilfe leisten, oder Menschenrechtsaktivisten unter repressiven Regimen – sie alle sind dem Risiko ausgesetzt, dass die mächtigen Kräfte, die sich ihnen entgegenstellen, sie mit Cyber-Angriffe zum Schweigen bringen wollen.
Ich bin stolz auf die Arbeit, die wir in den letzten fünf Jahren im Rahmen von Project Galileo geleistet haben, indem wir das ganze Gewicht von Cloudflare in die Waagschale gelegt haben, um diese politisch und künstlerisch wichtigen Organisationen zu schützen. Dadurch wurde unsere Mission definiert, das Internet besser zu machen.
Während wir respektieren, dass die Organisationen, die wir im Rahmen des Projekts unterstützen, auf Vertraulichkeit bauen, bin ich dankbar, dass einige von ihnen es uns erlaubt haben, ihre Geschichten zu erzählen. Ich möchte Sie ermutigen, mehr über die neuesten Teilnehmer an Project Galileo zu lesen:
Falls Sie eine Organisation kennen, die den Schutz von Project Galileo benötigt, lassen Sie sie bitte wissen, dass wir hier sind und gerne helfen.