Content Delivery Network
Geografisch verteiltes Netz von Edge-Servern (PoPs), das Inhalte näher am Nutzer ausliefert. In der Cybersecurity dient ein CDN zugleich als vorgelagerte Schutzschicht für DDoS-Mitigation, WAF-Filterung, TLS-Terminierung und das Verbergen der Origin-IP.
Ein Content Delivery Network (CDN) ist ein geografisch verteiltes Netz von Edge-Servern, die Inhalte zwischenspeichern (cachen) und sie aus dem jeweils nächstgelegenen Standort an den anfragenden Nutzer ausliefern. Statt jede Anfrage bis zum zentralen Ursprungsserver (Origin) durchzureichen, beantwortet ein sogenannter Point of Presence (PoP) in der Nähe des Nutzers die Anfrage direkt aus dem Cache. Das reduziert die Latenz spürbar und entlastet die Origin-Infrastruktur. Anbieter wie cloudflare.com, akamai.com oder fastly.com betreiben weltweit Hunderte solcher PoPs. In einem Cybersecurity-Glossar ist das CDN aber vor allem deshalb relevant, weil dieselbe vorgelagerte Position, die Performance bringt, es zur zentralen Schutzschicht für eine Webanwendung macht.
Funktionsweise: Edge-Caching und Anycast
Damit Anfragen automatisch beim nächstgelegenen PoP landen, kombinieren CDNs in der Regel DNS-basiertes Routing mit Anycast. Dabei wird dieselbe IP-Adresse von vielen Standorten gleichzeitig beworben; das Routing leitet den Verkehr zur topologisch nächsten Instanz. Der PoP prüft für jede Anfrage, ob das angeforderte Objekt — etwa ein Bild, eine CSS-Datei oder eine cachebare API-Antwort — bereits im Cache liegt. Bei einem Cache-Hit antwortet der Edge direkt; nur bei einem Cache-Miss oder bei dynamischen, nicht cachebaren Inhalten wird die Anfrage an den Origin weitergereicht. Architektonisch wirkt ein CDN dabei wie ein global verteilter Reverse Proxy, der dem Origin vorgelagert ist und Verbindungen terminiert, bevor sie das eigene Rechenzentrum erreichen.
Sicherheitsfunktionen am Edge
Weil sämtlicher eingehender Verkehr zuerst den Edge passiert, lassen sich dort Schutzmechanismen bündeln, die ohne CDN auf der eigenen Infrastruktur lasten würden.
| Funktion | Sicherheitsnutzen |
|---|---|
| DDoS-Mitigation | Volumetrische DDoS-Angriffe werden über viele PoPs verteilt absorbiert, statt eine einzelne Anbindung zu sättigen |
| WAF-Integration | Filterung von SQL-Injection, XSS und Bot-Traffic auf Layer 7, bevor Anfragen den Origin erreichen |
| TLS-Terminierung | Verschlüsselte Verbindungen enden am Edge; zentrale Zertifikatsverwaltung und moderne Protokolle ohne Origin-Umbau |
| Origin Shielding | Die echte Origin-IP bleibt verborgen, der Origin akzeptiert nur Verbindungen vom CDN |
Der DDoS-Schutz greift, weil ein CDN-Verbund eine um Größenordnungen höhere Bandbreite und Verbindungskapazität vorhält als ein einzelnes KMU-Rechenzentrum. Volumetrische Angriffe verteilen sich über die globale Anycast-Topologie und werden am Edge gefiltert. Die WAF prüft HTTP-Anfragen direkt am PoP, sodass schädliche Payloads gar nicht erst den Origin erreichen. Das Origin Shielding ist dabei der oft unterschätzte Baustein: Erst wenn der Origin ausschließlich Verbindungen aus den CDN-Netzbereichen akzeptiert und die echte IP nirgends durchsickert, lässt sich der Schutz nicht durch einen direkten Angriff auf die Origin-IP umgehen.
TLS-Terminierung am Edge: Komfort und Konsequenz
Die TLS-Terminierung am Edge bringt Komfort — zentrale Zertifikatsverwaltung, automatische Erneuerung, sofort verfügbare moderne Cipher-Suites — hat aber eine sicherheits- und datenschutzrelevante Konsequenz: Zwischen Nutzer und Edge ist der Verkehr verschlüsselt, am PoP liegt er jedoch entschlüsselt vor, bevor er zum Origin weitergereicht wird. Der CDN-Betreiber sieht damit potenziell Klartext-Inhalte. Für Unternehmen mit hohen Vertraulichkeits- oder DSGVO-Anforderungen ist deshalb relevant, in welcher Region die PoPs stehen und ob die Strecke vom Edge zum Origin erneut TLS-verschlüsselt wird (Ende-zu-Ende statt nur Edge-zu-Nutzer).
Ehrliche Einordnung: Das CDN als Single Point of Failure
So sehr ein CDN die Resilienz erhöht, so sehr zentralisiert es auch Abhängigkeiten. Fällt ein großer Anbieter aus — etwa durch eine fehlerhafte Konfiguration oder einen Software-Fehler — sind regelmäßig zehntausende Websites gleichzeitig betroffen, obwohl deren Origins funktionieren. Das CDN wird damit selbst zum Single Point of Failure. Hinzu kommt eine Konzentration auf wenige große Betreiber, was sowohl ein betriebliches als auch ein regulatorisches Risiko darstellt. In der Praxis sehen wir zudem regelmäßig den Fehler, dass nach Einführung eines CDN die alte Origin-IP weiterhin per DNS, in alten Zertifikatstransparenz-Logs oder über Subdomains auffindbar bleibt — womit der gesamte Schutz umgangen werden kann. Ein CDN ersetzt außerdem keine Lastverteilung über mehrere Origins; dafür ist ein dedizierter Load Balancer zuständig.
Relevanz für KMUs
Für mittelständische Unternehmen ist ein CDN eine der zugänglichsten Maßnahmen, um Performance und Sicherheit gleichzeitig zu verbessern. Cloud-CDNs lassen sich oft binnen Stunden vor eine bestehende Website schalten und liefern DDoS-Grundschutz, WAF und TLS-Verwaltung im Paket — ohne eigene Hardware. Entscheidend für die Schutzwirkung ist jedoch die saubere Konfiguration: Die Origin-IP muss konsequent verborgen werden, der Origin sollte nur Verbindungen aus den CDN-Netzbereichen annehmen, und die Strecke Edge-zu-Origin gehört verschlüsselt. Vor der Auswahl eines Anbieters lohnt zudem ein Blick auf Standort der PoPs und Vertragsgestaltung, da die TLS-Terminierung am Edge datenschutzrechtlich bewertet werden muss. Ein CDN ist damit kein reiner Performance-Hebel, sondern ein integraler Bestandteil einer mehrschichtigen Netzwerksicherheit.