IPv6 – a never-ending Story?! : Verbreitung, Probleme und Sicherheitsaspekte des „neuen“ Internet-Protokolls

So schnelllebig IT und Internet sind, so langsam scheinen die Mühlen in Sachen IPv6 zu mahlen, dessen unvollendete Geschichte sich bereits über mehr als 25 Jahre erstreckt – also eine für IT-Verhältnisse geradezu „epische“ Zeitspanne: Der Proposed Standard RFC 1883 stammt bereits von 1995, wurde 1998 vom Draft-Standard RFC 2460 abgelöst, den wiederum neun weitere Dokumente der Internet Engineering Taskforce (IETF) aktualisiert haben, bevor im Juli 2017 dann die finale Fassung RFC 8200 als Internet-Standard 86 verabschiedet worden ist.

Eine Hauptmotivation für IPv6 war und ist der immer wieder dräuende Mangel an IP-Adressen. Die Adressvergabe für die Version 6 des Internet-Protokolls war bei der Internet Corporation for Assigned Names and Numbers (IANA) und ihren angeschlossenen Registraren daher auch bereits Mitte 1999 in den Regelbetrieb übergegangen. Und dann dauerte es – zumindest in Europa – doch noch über 20 Jahre, bis im November 2019 das Réseaux IP Européens (RIPE) die letzten ihm zur Verfügung stehenden freien IPv4-Adressen vergeben hat.

In Sachen Anwendung lief schon am 8. Juni 2011 mit dem „World IPv6 Day“ ein letzter koordinierter Groß-Test, in dessen Verlauf viele große Websites – weitgehend problemfrei – einen Parallelbetrieb („Dual Stack“) von IPv6 und IPv4 ausprobiert hatten. Der „World IPv6 Launch“ am 6. Juni 2012 liegt nun auch schon wieder über neun Jahre zurück. Seit diesem Datum hat sich der weltweite IPv6-Traffic zwar um mehr als das 50-fache erhöht (lt. www.worldipv6launch.org), aber dennoch ist das „neue“ Internet-Protokoll noch längst nicht überall angekommen – man hört und liest in letzter Zeit sogar eher selten davon.

Verbreitung/Einsatz

„IPv6-Tage in den Jahren 2011 und 2012 haben Verfügbarkeit und Stabilität des neuen Internet-Protokolls demonstriert. Die Ergebnisse zeigen, dass Deutschland hier gute Fortschritte bei der Nutzung des IPv6-Protokollstandards erreicht hat und stabile, technische Lösungen inzwischen verfügbar sind. Jedoch stehen offenbar die Unternehmen in Deutschland dem Thema IPv6 noch zurückhaltend gegenüber – dies gilt insbesondere für kleine und mittlere Firmen“, heißt es auf der Website des Bundesministeriums für Wirtschaft und Energie (BmWi). Für Details verweist man dort auf eine Studie der Unternehmensberatung Cassini Consulting mit 834 Teilnehmern „aus allen Branchen“ von 2014 [3]: Damals hätten „bereits ein Drittel der befragten Unternehmen Erfahrungen mit der Einführung von IPv6“ gehabt und davon die Hälfte die neue Protokollgeneration flächendeckend eingesetzt. Dabei berühren die Umsetzung und/oder Nicht-Beachtung des Protokolls durchaus auch verschiedene Sicherheitsaspekte (siehe unten).

Die Zahlen der letzten /Microsoft-Sicherheitsstudien lassen vermuten, dass sich Unternehmen in diesem Umfeld weiterhin nur langsam bewegt haben: 2018 gaben 39 % der Teilnehmer an, IPv6 zu verwenden (2016: 32 %, 2014: 34 %). Allerdings hatten dann immerhin schon 14 % der gesamten Stichprobe hierüber auch Verbindungen nach außen geroutet (2016: 8 %, 2014: 3 %) – 18 % nutzten IPv6 (zumindest oder auch) intern, bei 16 % lief es im Pilotbetrieb. „Little Change in the State of IPv6 Deployment“ konstatierte auch 2019 eine Umfrage des RIPE NCC [4] gegenüber der Vorgängerstudie von 2016: Mit 22 % war der Anteil der „fully deployed“-Antworten in drei Jahren nur um einen Prozentpunkt gestiegen.

Generell scheinen Unternehmen an dieser Stelle zurückhaltender zu sein als Heimanwender und Anbieter mobiler Datendienste: „We know well enough that corporate networks tend to lag their domestic and mobile ISP counterparts with regards to their IPv6 deployment“, schrieb etwa Stephen Strowes vom RIPE NCC in einem Blogbeitrag vom Juni 2021 [5]. „Das IPv6-Wachstum ist am stärksten in Netzwerken mit signifikantem Kundenwachstum, wie in mobilen Netzwerken, und stagniert oder ist nicht vorhanden in Legacy-Netzwerken (traditionelle kabelgebundene ISPs und Unternehmensnetzwerke). Vor allem in Unternehmensnetzwerken gibt es wenig geschäftlichen Druck, IPv6 zu implementieren“, betont auch Dr. Johannes Ullrich, Dean of Research des SANS Technology Institute.

Erik Nygren, Fellow und Chief Architect bei Akamai Technologies, beobachtet IPv6 vor allem in größeren Netzwerken – das gelte weltweit, lasse sich aber auch am Beispiel Deutschlands gut verdeutlichen: „Neun der elf größten Netzwerkdienstleister in Deutschland setzen IPv6 verstärkt ein – von den 150 größten Netzwerken in Deutschland besteht jedoch nur bei etwa der Hälfte eine signifikante IPv6-Installation. Unter den 1000 größten Netzen beträgt der Anteil nur noch etwa 20 %.“

Angesichts der Größen- und Wachstums-Argumente verwundert es kaum, dass Indien im internationalen Vergleich mit Abstand vorne liegt: Im Nationen-Ranking von Akamai etwa mit 61,5 % Anteil von IPv6-Verbindungen – gefolgt von Belgien (51 %), Malaysia (48,9 %), Deutschland (48,4 %) und Frankreich (47,4 %). Die Schweiz liegt dort auf Platz 8 (43,6 %), die USA auf 11 (39,7 %) und Österreich auf Rang 45 (17 % – Datenabruf von [6] 2021-07-21). Ein ähnliches Ranking zeigt sich bei den Statistiken von Google [7] und Cisco [8].

Eine wichtige Metrik sind die Routen des Border-Gateway-Protocol (BGP), welche die sogenannten autonomen Systeme (AS) verbinden – meist unter der Herrschaft von Internet-Service-Providern (ISPs). Dieser Wert hat sich zuletzt in rund 2,5 Jahren verdoppelt und scheint weiter deutlich anzusteigen. Abbildung 1 zeigt eine Projektion auf der Basis der globalen Routingtabellen (mittels [9]). Detaillierte IPv6-Nutzungsdaten liegen außerdem in Sachen WWW vor:

• Der Anteil der über IPv6 erreichbaren Top-1000-Websites im Alexa-Ranking liegt bei etwa 30 % (lt. www.worldipv6launch.org/measurements/). Für Deutschland sind laut Cisco [8] rund 34 % der landesspezifischen Top-500 über IPv6 erreichbar.
• Bei Google gehen derzeit weltweit rund ein Drittel der Browseranfragen über IPv6 ein (Abb. 2) – bezogen auf Deutschland sogar rund die Hälfte (Abb. 3).

Der recht hohe Anteil von IPv6-Verbindungen geht in Deutschland wohl nicht zuletzt auf die heimischen Kunden großer Provider zurück. Wolfgang Wölfle, Head of PR bei 1&1, berichtet: „Bereits im Frühjahr 2014 haben wir IPv6 an allen 1&1-VDSL-Anschlüssen freigeschaltet. Seit 2015 wird IPv6 standardmäßig bei der Ersteinrichtung des 1&1 HomeServers (FritzBox) aktiviert. Seitdem nutzt jeder 1&1-Kunde über diese Anschlusstechnologie automatisiert das ‚neue‘ Internet-Protokoll – das gilt auch für die Glasfaser-Internetanschlüsse auf Basis von FTTB/H.“ Dabei bleibe man aber bewusst im Dual-Stack-Betrieb und fahre „zweigleisig“, um Kunden nicht zur Anschaffung neuerer Systeme zu zwingen.

Auch Sebastian Artz, Bereichsleiter Cyber- und Informationssicherheit beim Bitkom, betont: „Bereits vor Einführung des neuen Internetprotokollstandards war abzusehen, dass mittelfristig keine komplette Umstellung auf IPv6 erfolgen wird – allein schon aus dem Grund, dass viele existierende Anwendungen für IPv4 entwickelt worden sind und nicht ohne Weiteres über IPv6-Netze laufen können. Dies wurde von Beginn an mitgedacht und die Koexistenz und parallele Nutzung von IPv4 und IPv6 per Dual Stack als Übergangstechnologie möglich gemacht.“

Einen weiteren Vorteil nennt Silvan Noll, SE Manager Central Europe bei SonicWall: „Viele unserer Kunden (Unternehmen, Behörden) nutzen IPv6 und IPv4 im Parallelbetrieb (Dual Stack). Durch die schrittweise Einführung kann der Regelbetrieb im Problemfall schnell wiederhergestellt werden. Die Akzeptanz und Unterstützung durch Dienstleister und ISPs hat in den letzten Jahren stark zugenommen. Bei vielen Kunden steht die Migrationsplanung aber noch am Anfang und wird in Kooperation mit IT-Dienstleistern schrittweise vorangetrieben.“

Bei einigen ISPs würden allerdings mittlerweile ausschließlich IPv6-Adressen an die KundenRouter verteilt, was auch Dr. Martin Krebs, Director Product Management bei LANCOM Systems, kennt: „Fast alle ISPs unterstützen heute IPv6 – teilweise werden echte Dual-Stack-Verbindungen (DS) angeboten, oft aufgrund von IPv4-Adressknappheit nur DS-Lite-Verbindungen.“ DS-Lite-Verbindungen (RFC 6333) kämen dabei in Deutschland hauptsächlich für private Endkunden zum Einsatz. Denn DS Lite führe zu Problemen, wenn ein VPN verwendet werden soll und dazu ein IPv4-VPN über IPv6 aufgebaut werden muss.

Hindernisse

Auf die Frage nach der Reife von Produkten und Dienstleistungen in Bezug auf IPv6 erhielten wir zurückhaltend positive Antworten. „Die IPv6-Umstellung steht an einem herausfordernden Punkt: In Teilen der Welt hat die Mehrheit der Nutzer IPv6-Konnektivität, ein Großteil der beliebtesten Inhalte ist IPv6-fähig und die wichtigsten Betriebssysteme unterstützen IPv6 seit Jahren. Gleichzeitig hinkt die Unterstützung in einigen Enterprise- und Verbrauchergeräten hinterher“, gab etwa Nygren (Akamai) zu bedenken.

„IPv6 ist seit längerer Zeit in der Breite und bei vielen Produkten verfügbar. Trotzdem gibt es immer noch Punkte, bei denen die IPv6-Unterstützung umfangreicher sein könnte. IPv4 hat für viele Lösungsszenarien einfach noch immer einen Feature-Vorsprung“, meint auch Krebs (LANCOM).

Mit der Verbreitung von IPv6 sei ein höherer Bedarf an leicht handhabbarer Ende-zu-Ende-Verschlüsselung, schlanker und schneller Kryptografie sowie anderen technischen Maßnahmen, die den Schutz der Identität oder die Anonymität gewährleisten, zu erwarten, sagt Dr. Aleksandra Sowa, Senior Managerin bei PwC Deutschland im Bereich Cyber Security & Privacy, und empfiehlt: „Provider mit Endkundenbeziehung sowie Endgerätehersteller (IoT, mobile Endgeräte, Router etc.) sollten sich darauf einstellen, diesen Bedarf mit geeigneten Lösungen zu adressieren.“

Unterstützung durch Netzwerk- und Sicherheitssysteme

Ullrich (SANS) betont: „Ausgereifte Lösungen gibt es für Standard-Netzwerksicherheitsgeräte wie Firewalls – Intrusion-Detection-Systeme hinken etwas hinterher und unterstützen IPv6 oft nicht korrekt. Da das Interesse an IPv6 in Unternehmensnetzwerken und Verbraucher-/Mobilnetzwerken jedoch gering ist und der Schwerpunkt eher auf der Endpunktsicherheit – und weniger auf der Netzwerksicherheit – liegt, gibt es nur wenig betrieblichen Bedarf an robusten IPv6-Sicherheitslösungen. Damit gibt es auch wenig betriebliche Erfahrung bei der Implementierung dieser Lösungen.“

Viele Unternehmen, die IPv6 aus Compliance-Gründen implementieren, würden Security-Mechanismen an den Rand – etwa zu Anbietern wie Akamai oder Cloudflare – verlagern, wodurch der Bedarf an IPv6-Unterstützung für interne Netzwerke ebenfalls sinke. „Mobile Clients, die sich über VPNs wieder mit dem Unternehmensnetzwerk verbinden, sind dadurch oft ein blinder Fleck“, warnt Ullrich: „Sicherheit ist reaktiv, und ohne Einblick in den Datenverkehr gibt es keinen Vorfall, der eine Investition zur Schließung der IPv6-Erkennungslücke rechtfertigt.“

„IPv6 wird von Kunden prinzipiell als Fähigkeit für Produkte vorausgesetzt und formal gefordert. Im Support-Alltag sehen wir allerdings fast immer IPv4 – Fragen zu IPv6 werden nur vereinzelt gestellt“, erklärt Alexander Bluhm, Technology Fellow bei genua: „Die meisten unserer Produkte unterstützen IPv6 wie IPv4 – nur einzelne Features funktionieren derzeit ausschließlich mit IPv4. Ausnahmen bestätigen die Regel: Einige wenige Produkte lassen sich mangels Kundenanforderungen nur mit IPv4 betreiben.“ Bei Bedarf ließe sich für diese jedoch eine IPv6-Unterstützung zügig realisieren – und neue Lösungen würden prinzipiell mit einem Dual Stack entworfen.

Ähnlich äußert sich Bernd Nüßlein, Director Key Account Management bei NCP engineering: „Wir als Hersteller können nur die Voraussetzungen für die interne und externe Nutzung des IPv6-Standards schaffen. Innerhalb unserer Produkte haben wir bereits alle Weichen gestellt, sodass die Kunden sowohl mit IPv4 als auch IPv6 arbeiten können. Damit unterstützen wir die Umstellungen in den Kundennetzwerken maximal, denn es ist mit unseren Produkten ein reiner, aber auch ein gemischter Betrieb möglich.“

„Grundsätzlich hat sich die Kompatibilität von Produkten, Anwendungen und Sicherheitssystemen, speziell im Bereich Netzwerk und Security, in den vergangenen Jahren sehr positiv entwickelt. Basierend auf Erfahrungswerten und Projekten würde ich aber noch nicht von einer flächendeckenden Integration sprechen“, meint Noll (SonicWall): „Hier ist sicherlich noch einiges zu tun.“

Mangel an Wissen und Erfahrung

Und Chet Wisniewski, Principal Research Scientist bei Sophos, erläutert: „Es kommen immer mehr Sicherheitstools für IPv6 auf den Markt, aber diese sind nicht so robust wie Tools für IPv4. In vielen Fällen ist es einfach eine Frage der geringeren Nutzung, was gleichbedeutend mit weniger Möglichkeiten ist, Fehler zu finden.“ Es gebe vermutlich viele Probleme mit Implementierungen selbst auf häufig verwendeten Plattformen, die erst mit zunehmender Nutzung entdeckt werden. „Wie bei jedem Produkt oder jeder Dienstleistung gilt: Je beliebter und intensiver genutzt, desto mehr Möglichkeiten gibt es, Probleme zu finden und zu beheben. Nutzung und Sicherheit werden wahrscheinlich Hand in Hand wachsen.“

Bluhm (genua) ergänzt, dass Menschen gerne das verwenden, was sie kennen – aber auch aus technischer Perspektive gebe es Defizite: „So funktionieren einzelne Netzwerkkomponenten mit IPv6 nicht oder schlechter. Die Möglichkeiten der Ende-zu-Ende-Konnektivität, die IPv6 bietet, werden häufig nicht erkannt. IPv4 hat zu viele Workarounds wie Network-Adress-Translation (NAT) eingeführt, an die man sich über die Jahre gewöhnt hat. Darüber hinaus werden NAT und dynamische Präfixe als Argument für Security und Privacy verwendet, sodass IPv6 seine Stärke nicht ausspielen kann.“

Auch Noll (SonicWall) betont, dass in der Regel alle Beteiligten im Umgang mit IPv4 vertraut sind und dabei auf umfangreiches Wissen und Erfahrungswerte zurückgreifen können: „Im direkten Vergleich ist IPv6 ein recht neues Protokoll – Denkweisen und Konzepte sind nicht ohne Weiteres übertragbar. IPv6-Netze mit herkömmlichen Konzepten weiterzuführen, kann zu einer schlechteren Netzwerksicherheit führen. Aufbau von Fachwissen und Erfahrungswerten sehe ich als eines der Kern-Probleme beim standardmäßigen Nutzen von IPv6: Oft gibt es dafür zu wenig eigene Ressourcen; im Zweifelsfall muss man auf qualifizierte externe Unterstützung setzen.“

Mit Blick auf die voranschreitende Digitalisierung und die zunehmende Vernetzungsdichte elektronischer Geräte sieht Artz (Bitkom) – ungeachtet der Möglichkeiten von Dual Stack – die Notwendigkeit einer aktiven Auseinandersetzung mit dem IPv6-Standard als Grundlage künftiger Internetkommunikation: „Es ist wichtig, zu verstehen, dass IPv6 an vielen Stellen konzeptionell anders funktioniert als IPv4 und die Migration hin zum neuen Protokollstandard ein wohlüberlegtes Vorgehen erfordert. Die verantwortlichen IT-Administratoren und Sicherheitsbeauftragten müssen sich mit den einhergehenden Implikationen für die eigene Gesamtinfrastruktur auseinandersetzen. Dies erfordert Zeit- und Planungsaufwand, der bei vielen bislang zu kurz kam, aus Sicherheitsperspektive aber gut investiert ist. Denn ein neues Protokoll unbeachtet im eigenen Netzwerk mitlaufen zu lassen, kann durchaus Sicherheitsrisiken bergen.“

Fehlende Erfahrung war im Übrigen – zumindest im Jahr 2019 – auch einer der wichtigsten Gründe, warum Unternehmen IPv6 nicht einsetzen wollten. Häufiger wurden lediglich fehlende Notwendigkeit aus Business-Sicht und mangelnde Zeit für eine nähere Betrachtung genannt. Abbildung 5 zeigt die Antworten von 23 % der Teilnehmer an der RIPE-Umfrage [4], die damals keine Pläne für IPv6 hatten.

Herausforderungen durch Dual-Stack-Betrieb

„Das größte Problem ist, dass es im Moment schwierig ist, ein reines IPv6-Netzwerk zu betreiben“, sagt Ullrich (SANS): „IPv6 wird fast immer an IPv4 angehängt. Damit sind Netzwerkdesigns nicht in der Lage, die Vorteile von IPv6 in vollem Umfang zu nutzen. IPv6 wird daher als Komplikation und zusätzliche Fehlerquelle wahrgenommen. Unausgereifte – und in einigen Fällen fehlerhafte – IPv6-Implementierungen auf ISP-Kundengeräten veranlassen Netzwerkadministratoren oft dazu, IPv6 einfach zu deaktivieren.“

Nygren (Akamai) sieht den parallelen Betrieb von IPv6 und IPv4 ebenfalls oft als notwendig an – das führe aber zu zusätzlicher Admin-Komplexität: „Größere ISPs, große Unternehmen und mobile Netzwerke sind aufgrund der Erschöpfung von IPv4 und der schnell steigenden IPv4-Preise gezwungen, auf IPv6 umzustellen. Kleinere Unternehmen haben weniger Motivation, intern auf IPv6 umzustellen.“

Denn natürlich sind Betrieb und Management von zwei Protokollen gleichzeitig eine Herausforderung. „Adressen müssen nicht nur für IPv4, sondern parallel auch für IPv6 verwaltet werden. Hinzu kommen spezielle Funktionen wie Routing-Protokolle, Load-Balancer oder VPNs – bei all diesen Funktionen muss IPv6 berücksichtigt werden“, erklärt Krebs (LANCOM). „Darüber hinaus haben Kunden oft komplexe Regelwerke für ihre IPv4-Netze, die dann auf ein IPv6-Äquivalent übertragen werden müssen. Den Einsatz von IPv6-Only-Netzwerken, etwa mit DNS64/NAT64, scheuen sie aus Sorge vor einem zu harten Schnitt.“

Ein weiteres Hindernis sei das Thema feste Adressen: „Viele Kunden erhalten von ihrem Provider ein festes Präfix, das sie dann in ihrem Netzwerk verwenden. Soll später der Provider gewechselt werden, müssen sie ihr Netzwerk aufwendig neu konfigurieren. Sie sind also faktisch an den Provider gebunden, außer sie können NPTv6 (NAT66) einsetzen.“

Und Bluhm (genua) warnt: „IPv4 und IPv6 sind zwei unterschiedliche Protokolle mit spezifischen Randbedingungen und Schwachstellen – für Administratoren und Entwickler bedeutet dies erhöhten Lern- und Pflegeaufwand. Durch die Unterstützung beider Protokolle bieten Dual-Stack-Implementierungen außerdem mehr Angriffsfläche. Die höhere Komplexität von IPv6 verschlechtert die IT-Security zusätzlich. Um die Sicherheit zu erhöhen, sollten Entwickler Produkte mit IPv6 testen und beim Stack-Hersteller konkret nachhaken.

„Bei der Verwendung einer Dual-Stack-Lösung sollten die Verwaltungs- und Konfigurationsaufwände ebenso wenig unterschätzt werden wie die damit einhergehende Fehleranfälligkeit. Vor diesem Hintergrund sollte die Einführung von IPv6 vor allem als Chance verstanden werden, um die Sicherheit in der eigenen Infrastruktur langfristig zu steigern. Denn die häufig über viele Jahre bestehenden Strukturen und Vorgehensweisen müssen im Zuge der Umstellung auf den Prüfstand gestellt und im Bedarfsfall angepasst werden. Dadurch entsteht eine modernisierte Gesamtarchitektur, die die Sicherheit im Netz der Zukunft gewährleistet“, mahnt Artz (Bitkom).

Sicherheitsaspekte

„IPv4 und IPv6 unterscheiden sich fundamental“, unterstreicht auch Noll (SonicWall): „Bestehende Vorgehensweisen und Denkmuster mit IPv4 können in der Regel nicht auf eine IPv6-Infrastruktur übertragen werden. Für viele Administratoren ist dies allerdings Neuland – oft fehlen Erfahrung und Know-how, wodurch bei der Implementierung sicherheitsrelevante Fehler entstehen können.“ Dennoch gelte: „Die Einführung von IPv6 ist eine gute Gelegenheit, etablierte Konzepte zu überdenken und auf dieser Basis die Sicherheit durch eine modernisierte Netzwerk-Architektur zu verbessern. Das interne Netz kann man mit IPv6 in wesentlich kleinere Teile segmentieren als mit IPv4. Durch ein geschicktes Design kann die Sicherheit bereits auf der Netzwerk-Ebene sichergestellt werden: Bei IPv6 kann eine Ende-zu-Ende-Verschlüsslung genutzt werden, welche speziell Man-in-the-Middle-Attacken signifikant erschwert.“

Wisniewski (Sophos) wägt ab: „Die IPv6-Einführung bietet auf jeden Fall die Möglichkeit, die Organisation von Netzwerken zu überdenken und dies möglicherweise auch als Steilvorlage zu nutzen, um stärkere Systeme mit mehr Netzwerksegmentierung aufzubauen. In der Realität haben IT-Praktiker zurzeit jedoch nur ein begrenztes Verständnis von IPv6, und seine universelle Routingfähigkeit wird zu Sicherheitsfehlern führen, die wiederum der Ausgangspunkt für eine Gefährdung sein können.“

Das Design von IPv6 ist im Vergleich zu IPv4 komplexer – Komplexität ist immer ein Feind der IT-Security“, gibt auch Bluhm (genua) zu bedenken. „Mit IPv6 sollten die Limitationen von IPv4 in den 10 Mbit/Sek schnellen Netzen der 90er-Jahre behoben werden. Für die heutige Technologie ist dieser Aspekt irrelevant, erschwert jedoch bestimmte Dinge und erfordert erneutes Lernen. Die Erfahrungen und Bugfixes der 80er- und 90er-Jahre für IPv4 mussten 20 Jahre später für IPv6 erneut gemacht werden. In neueren RFCs ist zu sehen, dass viele euphorische Neuerungen der 90er für IPv6 wieder zurückgenommen werden, da sie inhärent unsicher sind oder nicht benötigt werden.“

Ullrich (SANS) sieht in einer mangelnden Reife der IPv6-Protokollstacks ein schwer zu quantifizierendes Problem: „So hat beispielsweise die jüngste Bad-Neighbour-Schwachstelle in Microsoft Windows gezeigt, dass IPv6-Stacks immer noch für einfache Exploits anfällig sind [10]. Weitere Probleme sind die fehlende Sichtbarkeit von IPv6 und das mangelnde Verständnis für IPv6 unter Sicherheitsexperten. IPv6 mit seinem größeren routbaren Adressraum macht es auch wahrscheinlicher, dass interne Komponenten offengelegt werden.“ Auf der anderen Seite könne IPv6 aber auch einige bedeutende Vorteile für die Netzwerksicherheit bieten: „Es kann in einigen Fällen die Konfiguration von VPNs und die Identifizierung von Assets innerhalb eines Netzwerks erleichtern.“

„Wenn sie richtig implementiert sind, können reine IPv6-Netzwerke Vorteile für die Sicherheit mit sich bringen“, meint auch Nygren (Akamai): „Der weitaus größere Adressraum von IPv6 ist schwieriger zu scannen. Ein weit verbreiteter Irrglaube ist, dass IPv4 aufgrund von NAT sicherer ist – NAT ist jedoch kein Ersatz für Firewalls! Unternehmen sollten sicherstellen, dass Sicherheitsprodukte und -richtlinien die IPv6-Unterstützung richtig implementieren und konfigurieren.“ Aufgrund der jetzigen Verbreitung von IPv6 könne es jedenfalls nicht sinnvoll sein, dies einfach zu ignorieren.

Schnittstelle zu Datenschutz, Anonymität und Unbeobachtbarkeit

IPv6 ermöglicht eine praktisch unbegrenzte Zahl statischer IP-Adressen und macht somit deren dynamische Vergabe überflüssig – das könne bisher wenig beachtete Konsequenzen für den technischen Datenschutz haben, ergänzt Sowa (PwC): „Für die Aspekte ‚Privacy by Design‘ sowie ‚Privacy by Default‘ werden positive Entwicklungen erwartet. Dies setzt allerdings voraus, dass die Anbieter und Provider an der Schnittstelle zum Endnutzer Maßnahmen und Lösungen einsetzen, die beispielsweise deren Anonymität oder die vertrauliche Nutzung bestimmter Dienste, Plattformen oder Geräte ermöglichen. Bei IPv6 – wie auch schon bei IPv4 – sind zur Gewährleistung der Vertraulichkeit und Anonymität zusätzliche (technische) Maßnahmen und Verfahren notwendig.“ Der Datenschutz erfordere, den Widerspruch zwischen Anonymität/Vertraulichkeit und Zurechenbarkeit im Sinne der Betroffenen aufzulösen: „So kann auch bei Nutzung eines kostenpflichtigen Dienstes die Identität der Nutzer:innen durch Pseudonymisierung geschützt bleiben.“

An dieser Stelle sind unter anderem die „Temporary Address-Extensions“ für automatisch ausgehandelte IPv6-Adressen zu nennen (RFC 8981, [11]), welche die vormaligen Privacy-Extensions (RFC 3041/4941, vgl. [2]) ersetzt haben.

Christian Zgardea, Geschäftsführer der PwC Cyber Security Services GmbH, ergänzt: „Die unachtsame Nutzung von vernetzten privaten Geräten hat unter Umständen weitreichende Konsequenzen für die individuelle und/oder kollektive Sicherheit. Dies wurde nicht zuletzt 2018 durch einen Vorfall offensichtlich, als durch die Veröffentlichung anonymisierter Nutzerdaten einer App bis dato nicht bekannte Militär- und Geheimdiensteinrichtungen in Operationsgebieten der US-Streitkräfte enttarnt wurden. Soldaten und Geheimdienst-Angehörige hatten die App verwendet, um individuelle Sportaktivitäten auszuwerten. Diese kollektive potenzielle Bedrohung wäre vermutlich zu verhindern gewesen, wenn eindeutige Identifizierung und standardmäßig aktives Tracking ausgeschaltet gewesen wären.“

Ausblick/Erwartungen

„Die Umstellung auf IPv6 wird noch Jahre dauern“, prognostiziert Nygren (Akamai): „Kleinere Unternehmen haben weniger Anreize, jetzt zu investieren, doch es gibt ernst zu nehmende Geschäftsrisiken, wenn Anbieter die IPv6-Unterstützung ignorieren. Aufgrund des weit verbreiteten Einsatzes in den Netzwerken von Service-Providern wird es immer wichtiger, IPv6 auf mit dem Internet verbundenen Diensten zu aktivieren und zu sichern. Bereiche mit kurzfristigem Geschäftsnutzen können Ansatzpunkte für IPv6 sein. IPv6/IPv4-Parität für Sicherheitsgeräte und -konfiguration ist ein wichtiger Startpunkt.“

Krebs (LANCOM) geht davon aus, dass die Nutzung von IPv6 stetig weiter zunimmt: „Das Thema wird wegen der IPv4-Adressknappheit zunehmend von Providerseite vorangetrieben. Ein vollständiger Umstieg auf IPv6 scheint mir jedoch noch in weiter Ferne zu liegen: Solange echte Dual-Stack-Zugänge über die Provider verfügbar sind, kann eine sanfte Migration zu IPv6 neben der bestehenden IPv4-Nutzung problemlos über eine lange Zeit erfolgen.“

„In geschlossenen Netzen mit vielen Endgeräten wird sich die Umstellung auf IPv6 vollziehen: Ein Provider, der alles unter Kontrolle hat, kann IPv6-only problemlos ausrollen“, erwartet Bluhm (genua): „An Netzübergängen ist jedoch Zusammenarbeit gefordert. Daher wird ein globales IPv6-only-Internet nicht so schnell Realität werden – zudem werden Legacy-Geräte die Entwicklung bremsen.“

Noll (SonicWall) konstatiert: „Viele Unternehmen, vor allem im Mittelstand, haben die Umstellung auf IPv6 nicht klar zeitlich definiert, zudem fehlt meist der Druck dies zu tun. Eine komplette Umstellung auf IPv6 ist oft durch alte Systeme unmöglich, daher kommt in der Regel ein dualer Betrieb zum Einsatz. Häufig sind die wenigen IT-Mitarbeiter im Tagesgeschäft so stark ausgelastet, dass die zeitintensive Planung und Konzeption einer IPv6-Einführung nicht abbildbar ist und oft fehlen Fachwissen und Erfahrungswerte zum neuen Protokoll. Nach meiner Einschätzung wird die flächendeckende Einführung von IPv6 auch zukünftig weiterhin schleppend vorangehen.“

Eine grundlegende Änderung der jetzigen Situation dürfte erst ein kritischer Geschäftsbedarf bewirken, der die Kosten für die Implementierung von IPv6 rechtfertigt, erwartet Ullrich (SANS). Dieser Bedarf bestehe derzeit bei einigen Netzwerken, denen die IPv4-Adressen ausgehen. Verschiedene Anläufe, über Anforderungen von US-Regierungsstellen die Entwicklung IPv6-fähiger Systeme zu forcieren, seien hingegen gescheitert – und die entsprechenden Mandate weithin ignoriert worden. „Ohne einen klaren Nutzen der IPv6-Implementierung werden Netzwerkadministratoren weiterhin zögern. Andererseits wird die IPv6-Umstellung komplex sein – und den Aufbau des Netzwerks langsam voranzubringen, bevor es benötigt wird, wäre sinnvoll“, rät Ullrich.

Literatur

[1] S. Deering, R. Hinden, Internet Protocol, Version 6 (IPv6) Specification, IETF STD 86 (RFC 8200), Juli 2017, https://datatracker.ietf.org/doc/html/rfc8200
[2] Frank Kölmel, André Stolze, Was bringt IPv6?, 2005#5, S. 12, frei verfügbar via http://previous.kes.info/archiv/heft/abonnent/05-5/05-5-012.htm
[3] Peter Fetzer, Florian Augthun, Dennis Mohn, Artjom Bellavin, IPv6- Strategie in deutschen Unternehmen, Eine Studie der Cassini Consulting, Oktober 2014, www.bmwi.de/Redaktion/DE/Downloads/Studien/studie-ipv6-strategien-in-deutschenunternehmen.html
[4] Rebecca Sullivan, Brenda Mainland, IPv6 Deployment, in: RIPE NCC Survey 2019 Report, September 2019, S. 57, www.ripe.net/participate/member-support/surveys/ripencc-survey-2019
[5] Stephen Strowes, Rene Wilhelm, Riccardo Stagni, IPv6 Adoption in 2021, RIPE Labs Blog, Juni 2021,
https://labs.ripe.net/author/stephen_strowes/ipv6-adoption-in-2021/
[6] Akamai, IPv6 Adoption Visualization, interaktive Karte, www.akamai.com/uk/en/resources/our-thinking/Literatur/state-of-the-internet-report/state-ofthe-internet-ipv6-adoption-visualization.jsp#countries
[7] Google, IPv6-Statistiken – Einführung pro Land, interaktive Karte, www.google.de/ipv6/statistics.html#tab=per-country-ipv6-adoption
[8] Cisco, 6lab – The place to monitor IPv6 adoption, Statistics per country, interaktive Charts, https://6lab.cisco.com/stats/search.php
[9] Eric Vyncke, IPv6 Deployment Aggregated Status, www.vyncke.org/ipv6status/
[10] Dr. Johannes B. Ullrich, CVE2020-16898: Windows ICMPv6 Router Advertisement RRDNS Option Remote Code Execution Vulnerability, Foren-Beitrag im SANS Internet Storm Center (ISC), Oktober 2020, https://isc.sans.edu/forums/diary/CVE202016898+Windows+ICMPv6+Router+Advertisement+RRDNS+Option+Remote+Code+Execution+Vulnerability/26684/
[11] F. Gont, S. Krishnan, T. Narten, R. Draves, Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6, Proposed Standard, RFC8981, Februar 2021, https://datatracker.ietf.org/doc/html/rfc8981