Archiv


Sicherheitsrisiko IPv6

Internet.- Seit 16 Jahren ist das "neue" Internetprotokoll IPv6 fertig. Schaut man sich aber die Praxis in deutschen und amerikanischen Netzen an, dann ist vom neuen Standard quasi nichts zu sehen - weder bei Behörden und Unternehmen noch bei den großen Netzanbietern. Das hat seine Gründe.

Von Pia Grund-Ludwig |
    Auf dem Frankfurter IPv6-Kongress war viel von Pilotprojekten die Rede, aber auch deutliche Ernüchterung zu spüren. Ein Grund: Das Protokoll ist zwar im Prinzip fertig, aber bei "Feinheiten" wie Datenschutz und Datensicherheit ist noch vieles offen. Darauf verwies Michael Rotert, Vorstandsvorsitzender des Verbands der deutschen Internetwirtschaft in seiner Keynote:

    "Wenn man dann genauer nachschaut, ist in der Tat der Header vollständig definiert. Aber wie das in den Extensions gehandhabt werden soll und ob da dynamische Adressen oder private Adressen auch so privat gehandhabt werden, oder ob die Sicherheit so implementiert ist, dass sie alle Firewalls auf dem Weg sauber interpretieren können, das ist in meinen Augen noch nicht gegeben. In meinen Augen ist es noch nicht ausgereift."

    Kritisch sind die Erweiterungen der Adressinformationen, die sogenannten Header Extentsions, erklärt Christof Roländer vom IT-Sicherheitsexperten Fortinet:

    "Das Problem ist, dass der Standard den Firewalls und Routern vorschreibt, dass sie nicht in die Header reinschauen dürfen. Wo ich nicht reinschauen darf, das kann benutzt werden um Attacken durchzuführen."

    Trotz dieser Defizite muss man sich dem Problem stellen, dass IPv6 lösen soll: der drohenden Adressknappheit. Der Bund habe gar keine Alternative zur Umstellung, meinte Randi Korff vom Bundesverwaltungsamt:

    "Zum einen ist es so, dass die Bürger irgendwann von ihren Providern zwangsweise IPv6 bekommen werden, denn es gibt einfach nicht mehr genügend IPv4-Adressen Das zweite ist, dass auch in der öffentlichen Verwaltung der Bedarf an direkter Kommunikation immer größer wird und so Technologien wie Voice over IP lassen sich halt über IPv6 viel leichter realisieren."

    Doch sind die Risiken beherrschbar? Bei technischem Sachverstand ja, sagt Roländer:

    "Ich muss mein Netz so bauen, dass ich nur bekannte Extension Header durchlasse."

    Doch die Debatte um IPv6 hat auch industriepolitische Dimension, so Korff:

    "IPv6 ist auch Vorsorge des Staates."

    Unternehmen, die Produkte in die aufstrebenden Märkte in Asien liefern wollen, kommen an IPv6 künftig nicht vorbei. Dort hat sich das neue Protokoll durchgesetzt. Auch für das "Internet der Dinge" sind IP-Adresse für einzelne Geräte wie Smart Meter, Hausgeräte die sich ansteuern lassen, oder per IP identifizierbare Fahrzeuge oder Maschinen eine Voraussetzung. Doch das erfordere langfristiges Denken, betont Rotert:

    "Wirtschaftlich bringt es den Unternehmen im ersten Anlauf wenig, wenn sie umstellen - außer Kosten. Die ganzen Heimrouter müssen umgestellt werden."

    Die Zurückhaltung der großen Provider sieht Rotert als eines der Handicaps.

    "Es gibt etliche Provider, die ready sind, aber die großen Massen-Provider, wenn die nicht IPv6 frei anbieten, von mir aus eine Deutsche Telekom, eine Vodafone, wenn die nicht aktiv IPv6 anbieten, wird sich das noch eine ganze Weile zumindestens in Deutschland hinziehen."


    Das macht auch einen früher bekennenden IPv6-Verfechter Rotert zum Skeptiker:

    "Wenn Sie mich ganz ehrlich fragen: Ich glaube nicht, dass IPv6 noch der ganz große Durchbruch wird. 16 Jahre für ein Protokoll, das kann es ja wohl wirklich nicht sein."

    Skeptisch ist er auch deshalb, weil in den USA schon an einer Nachfolgeversion gearbeitet wird. Ein Kenner der Szene habe ihm erzählt,

    "dass in der Art und Weise, wie IPv6 definiert ist, es eigentlich nicht hilfreich ist und dass sie eigentlich schon zusammen mit Regierungsstellen an was ganz anderem arbeiten. Interessant ist an der Geschichte, dass die Regierungen, in dem Fall die amerikanische Regierung, da so früh schon mitmischt und Einfluss nimmt"

    so Rotert gegenüber dem Deutschlandfunk. Und was bedeutet das jetzt für die Umstellung? Sollten alle Beteiligten abwarten? Man müsse auf jeden Fall Erfahrungen sammeln, argumentiert Rotert:

    "Die Unternehmen können jetzt schon mal für einen Dual-Stack-Betrieb mit einer Umstellung Erfahrung gewinnen. Wenn dann tatsächlich etwas anderes des Wege daherkommt, dann hat man die Arbeit schon mal gemacht, dann müsste es mit für eine zweite Version IPv7 oder IP8-Version deutlich schneller gehen weil dann der Schock des Neuen weg ist."

    Zum Themenportal "Risiko Internet"