Bots plündern OpenStreetMap

Das freie Kartenprojekt kämpft gegen eine beispiellose Welle automatisierter Zugriffe, die Server überlasten und Kosten in die Höhe treiben, während die Verursacher im Verborgenen bleiben.

Von Einzelfällen zur Massenattacke

Grant Slater kennt sein System. Der für die technische Infrastruktur von OpenStreetMap zuständige Entwickler beobachtete über Jahre hinweg gelegentlich auffällige IP-Adressen, die ungewöhnlich viele Anfragen stellten. Was er nun erlebt, sprengt alle bisherigen Dimensionen. Innerhalb einer Woche registrierte das Projekt 100.000 koordiniert agierende Adressen, die systematisch Kartendaten abgreifen. Jede einzelne sendet nur wenige Requests, was klassische Abwehrmechanismen ins Leere laufen lässt.

Tarnung durch Wohnzimmer-Internet

Die Jäger nach den Verursachern tappen im Dunkeln. Viele der Zugriffe laufen über sogenannte Residential-Proxys, also Umwege über private Internetanschlüsse, die den Traffic wie normale Nutzung aussehen lassen. Das Projektteam reagiert mit Notmaßnahmen. Allein in den vergangenen 24 Stunden wurden mehr als 320.000 IPv4-Adressen und 100.000 IPv6-Adressen gesperrt. Verdächtige Zugriffsmuster werden automatisch erkannt und gedrosselt. Parallel laufen Gespräche mit Proxy-Anbietern, um die Schlupflöcher zu schließen.

Wenn Offenheit zur Schwäche wird

OpenStreetMap funktioniert nach dem Wikipedia-Prinzip. Freiwillige weltweit tragen Straßen, Gebäude und Sehenswürdigkeiten zusammen, die Ergebnisse stehen jedem offen. Navigationsdienste und Apps greifen darauf zu. Das Absurde an der aktuellen Situation: Wer die Daten nutzen möchte, könnte sie legal und ohne Serverbelastung unter planet.openstreetmap.org herunterladen. Stattdessen wählen die Bots den aufwendigen Weg über die Weboberfläche und verursachen Kosten, die das gemeinnützige Projekt belasten.

Verdacht richtet sich nach Westen

In einem Hilferuf bei LinkedIn warnen die Betreiber, das gesamte Projekt sei gefährdet. Der Verdacht fällt auf große KI-Unternehmen, die neben Chatbots auch eigene Karten- und Navigationsdienste aufbauen wollen. Die gesammelten Geodaten könnten sowohl für solche Anwendungen als auch für Antworten in Sprachmodellen dienen. OpenStreetMap steht mit diesem Problem nicht allein: Wikimedia und diverse Linux-Projekte berichten von ähnlichen Angriffsmustern.