DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Daten­schutz bei der Nutzung von IPv6

In vielen Kom­men­taren zur Ein­führung von IPv6 kam immer wieder das Thema “Daten­schutz” zur Sprache – eigentlich das einzige Thema zur Ein­führung von IPv6, das regel­mäßig von der Presse auf­ge­griffen wird, u. a. weil sich der ehe­malige Bun­des­da­ten­schutz­be­auf­tragte dazu geäußert hatte. Die Schwie­rigkeit liegt darin, dass es durchaus unter­schied­liche Anfor­de­rungen an die Nutzung von IPv6-Adressen gibt: Der durch­schnitt­liche Pri­vat­an­wender will auto­ma­tisch geschützt sein, der tech­nisch ver­sierte Pri­vat­an­wender will bewusst die Vor­teile von IPv6 nutzen (siehe Kom­mentar „IPv6 und der Daten­schutz). Und Firmen wollen mit einigen Diensten im Internet erreichbar sein, andere Teile ihrer Netze aber schützen.

Grund­sätzlich ändert sich durch die Ein­führung von IPv6 nichts am Kom­mu­ni­ka­ti­ons­modell des Internets. In den Daten­pa­keten sind jeweils Ziel- und Quell-Adresse ent­halten, die sich ihren Weg durch das Internet suchen und den Weg zurück für die Antwort ermög­lichen. In diesem Sinne ist ein Äqui­valent zur “Ruf­num­mern­un­ter­drü­ckung” bei Tele­fonie nicht möglich – im Nor­malfall steht keine Infra­struktur zur Ver­fügung, die Pakete anonym wei­ter­leitet.

Eine IPv6-Adresse besteht aus meh­reren Teilen, hier sollen drei Teile unter­schieden werden:

  • Der oberste Teil der Adresse ist das Netzwerk-Präfix, das durch den Internet-Pro­­­vider fest­gelegt wird. Für Firmen können das z. B. die obersten 56 oder 48 Bits der 128 Bits langen IPv6-Adresse sein. Unter diesem Adress­be­reich ist man im Internet erreichbar.
  • Der untere Teil von ins­gesamt 64 Bits ist der Interface Iden­tifier und unter­scheidet die ein­zelnen Netz­werk­karten bzw. Rechner in den lokalen (Teil-)Netzen.
  • Im mitt­leren Bereich stehen, je nach Umfang des Netzes bzw. des Inter­net­an­schlusses, 8 oder 16 Bits zur Ver­fügung, um das eigene, lokale Netz zu struk­tu­rieren. Ein großer Vorteil: Schon zu einem ein­fachen DSL-Pri­­va­t­an­­schluss bekommt man nicht mehr nur eine IPv4-Adresse zuge­wiesen, sondern einen ganzen IPv6-Net­z­­be­­reich, den man selbst auf­teilen kann.

Sollen Server oder Arbeits­platz­rechner (z. B. für Fern­wartung) aus dem Internet erreichbar sein, so hilft der große Adress­be­reich von IPv6, an alle Rechner eine ein­deutige und feste Adresse zu ver­geben. Aber in vielen Fällen muss auf einen Arbeits­platz­rechner nicht von außen und damit unter einer festen Adresse zuge­griffen werden, sondern er initiiert die Ver­bindung, bspw. zu einem Web­server. Wenn nun ein Web­­seiten-Betreiber davon aus­gehen kann, dass sich die IPv6-Adresse für einen Rechner nie ändert, so kann er seine Nutzer daran wie­der­erkennen – was nicht unbe­dingt im Interesse der Nutzer ist. Aller­dings gibt es auch andere Ver­fahren zur Wie­der­erkennung von Nutzern, unab­hängig von der IP-Adresse (siehe Blog­beitrag Cookie-Management).

Besonders pro­ble­ma­tisch ist die Wie­der­erkenn­barkeit der IPv6-Adresse beim Einsatz von Mobil­ge­räten: Würden diese Geräte eine feste, ein­deutige IPv6 Adresse (oder Adress­teile) ver­wenden, könnte man nicht nur ein bestimmtes Gerät wie­der­erkennen, sondern auf­grund der engen Bindung zwi­schen Nutzer und Gerät direkt auf den Nutzer selbst schließen. Darüber hinaus könnten zusätz­liche Infor­ma­tionen über ihn mittels der ver­wen­deten Zugangs­netze erfasst werden: Es wäre erkennbar (am Netzwerk-Präfix), ob ein Smart­phone gerade zuhause (über WLAN) ver­wendet wird oder unterwegs eine Mobil­funk­ver­bindung genutzt wird.

Eine Mög­lichkeit zur Ver­meidung von festen IPv6-Adressen ist die Ver­wendung von Privacy Exten­sions. Der untere Teil der IPv6-Adresse (Interface Iden­tifier) wird vom End­gerät selbst zufällig aus­ge­wählt und mit den anderen Bestand­teilen zu einer ein­deu­tigen IPv6-Adresse zusam­men­ge­setzt. Diese Adresse wird nur tem­porär (z. B. einen Tag lang) ver­wendet, am nächsten Tag wird eine neue Adresse erzeugt – und so kann man am nächsten Tag nicht wie­der­erkannt werden. Übrigens kann die alte IPv6-Adresse sogar noch weiter ver­wendet werden, da eine Netz­werk­karte ja mehrere IPv6-Adressen gleich­zeitig nutzen kann. Eine aus­führ­liche Erläu­terung über die Nutzung von Privacy Exten­sions findet sich im Artikel IPv6: Privacy Exten­sions ein­schalten.

Durch die Nutzung von Privacy Exten­sions wird es also einem Außen­ste­henden erschwert, ein­zelne Nutzer anhand ihrer Zugriffe zuzu­ordnen. Auch die Analyse interner Struk­turen, wie bspw. die Anzahl der Arbeits­plätze, wird erschwert. Dem steht der Nachteil gegenüber, dass man im Feh­lerfall auch selbst nicht direkt eine Adresse einem Rechner zuordnen kann. Wenn also in einem Logfile erkennbar wird, dass der Zugriff von einer bestimmten IPv6-Adresse immer einen Fehler her­vorruft, führt das bei der Ver­wendung von Privacy Exten­sions zu einer langen Suche nach dem Rechner.

Eine Lösung bietet auch hier das struk­tu­rierte Vor­gehen bei der Ein­führung von IPv6 – die Auf­teilung eines Netzes in ver­schiedene Sub­netze und Sicher­heits­zonen: Server kommen in getrennte Netze, sie bekommen feste, bekannte Adressen, da sie ja von außen stabil erreicht werden sollen. Wird ein Proxy oder eine ent­spre­chende Sicher­heits­kom­po­nente ein­ge­setzt (z. B. zum Zugriff auf das Web), so sind die Adressen der Arbeits­platz­rechner sowieso hinter der Adresse des Proxy ver­deckt. In diesem Fall kann man darüber nach­denken, feste Adress­be­stand­teile zu ver­wenden, die im Ide­alfall sogar die Feh­ler­suche unter­stützen (z. B. Raum, Orga­ni­sa­ti­onsteil). Greifen dagegen Arbeits­platz­rechner oder Mobil­geräte direkt auf das Internet zu, sollte man Privacy Exten­sions nutzen. Die Chancen stehen gut, dass das Betriebs­system diese in der Stan­dard­kon­fi­gu­ration schon auto­ma­tisch nutzt.

Sichere Ein­führung von IPv6 (Teil 1): Warum Unter­nehmen auf IPv6 umstellen sollten

Sichere Ein­führung von IPv6 (Teil 2) Erste Schritte für Ihr Unter­nehmen

Sichere Ein­führung von IPv6 (Teil 3) Eigen­schaften von IPv6

Sichere Ein­führung von IPv6 (Teil 4) Sicher­heits­me­cha­nismen von IPv6

Bild:  © Günther Menzl / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Jens Tiemann, Fraun­hofer FOKUS

Jens Tiemann arbeitet als wis­sen­schaft­licher Mit­ar­beiter im Kom­pe­tenz­zentrum Öffent­liche IT (ÖFIT), dem Think Tank für  Öffent­liche IT am Fraun­hofer-Institut FOKUS. Seine beson­deren For­schungs­schwer­punkte liegen im Bereich des Internet-Zugangs, Future Internet und selbst­or­ga­ni­sie­render Systeme. Ziel seiner Arbeit ist die Ent­wicklung von Roadmaps für die sicher­heits­be­zogene Kon­so­li­dierung gewach­sener Netz­in­fra­struk­turen und Tech­no­logien im öffent­lichen Raum.

Jens Tiemann hat an der TU Berlin Elek­tro­technik stu­diert. Er ist Co-Autor des IPv6-Migra­ti­ons­leit­fadens und des IPv6-Profils für die öffent­liche Ver­waltung der Bun­des­stelle für Infor­ma­ti­ons­technik (BIT) im BVA, außerdem ver­tritt er das Fraun­hofer FOKUS im Deut­schen IPv6-Rat.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.