IPv6

von Frank Guthausen

In näherer Zukunft werden die Internetnutzer mit IPv6 konfrontiert, wenn sie es nicht schon längst sind. Rechenzentren, Provider, Firmennetzwerke und schließlich der private Anschluss zu Hause werden mit neuartigen Adressen versorgt und die Bedeutung der alten IPv4 Adressen wird in den Hintergrund rücken. Man kann sich das sehr vereinfacht wie die Umstellung von vierstelligen auf fünfstellige Postleitzahlen in Deutschland im Jahr 1993 vorstellen.

Mit dieser Umstellung sind einige Fragen, besonders aus Datenschutzsicht, verbunden. Um die Aspekte im Zusammenhang mit Datenschutz zu verstehen, ist ein wenig technisches Hintergrundwissen notwendig. Dieses ist auch erforderlich, um abschätzen zu können, welche Auswirkungen bestimmte Handlungen haben und welche Informationen von sich selbst man an welche dritten Parteien bekannt gibt. Ein Studium der Informatik ist sicherlich nicht nötig, aber den Gebrauch des gesunden Menschenverstandes kann einem niemand abnehmen. Wichtig ist es, bei diesem Thema mitzudenken. Das Recht auf informationelle Selbstbestimmung ist ein hohes Rechtsgut, welches insbesondere vom Bundesverfassungsgericht bestätigt wurde. Die Wahrnehmung dieses Rechts macht allerdings ein klein wenig Aufwand und die Bereitschaft zum Lernen erforderlich. Das ist der Preis dieser Freiheit.

  • Was ist IPv4?
  • Das Internet Protocol regelt, wie sich Computer im Internet unterhalten. Dabei ist es wichtig, dass sie sich während des Gespräches wiederfinden und nicht mitten im Satz mit einem ganz anderen Computer reden. Daher hat jeder Computer eine Nummer, ähnlich wie eine Telefonnummer oder ein Kraftfahrzeugkennzeichen. Den Aufbau dieser Nummer regelt IPv4. Die Adresse besteht aus vier Zahlen von 0 bis 255. Allerdings bedeutet v4 nicht, dass es vier Zahlen sind, sondern dass es die vierte Version des Protokolls ist. Mit diesen vier Zahlen kann man ein wenig mehr als vier Milliarden Adressen (232=4.294.967.296) abbilden. Einige dieser Zahlen bzw. Adressen sind für besondere Zwecke reserviert, so wird z.B. 127.0.0.1 für localhost verwendet, was die Computerversion von “ich selbst” ist. Ein Rechner, der mit dieser Adresse Kontakt aufnimmt, ruft sich sozusagen selbst an. Einige Adressen gelten als privat, z.B. 10.0.0.0/8 (das bedeutet alle Adressen, die mit 10 beginnen). Jeder darf sie verwenden, um sein eigenes Netzwerk aufzubauen, und dieses Netzwerk kann mit solchen Adressen nicht direkt an das Internet angeschlossen werden.

    Die vier Zahlen von 0-255 stehen für 32 Bit, welche den Wert 0 oder 1 annehmen können. Wenn z.B. eine Firma viele Adressen braucht, um ihre Rechner an das Internet anzuschließen, holt sie sich ein Subnetz. Das Subnetz 10.23.42.0/24 besteht aus 256 Adressen, die alle mit 10.23.42 beginnen. Schreibt man diese Adressen mit 32 Bit, so sind überall die ersten 24 Bit gleich, daher schreibt man das als /24 Netz. Eine größere Firma benötigt vielleicht mehr als 256 Adressen, z.B. 1000 Stück. Sie holt sich ein /22 Netz. Einige Pioniere im Internet haben vor vielen Jahren über 16 Millionen Adressen auf einen Schlag bekommen, das ist ein /8 Netz.

    Ein privater Anschluss hat meistens nur eine einzige IPv4 Adresse.

    Sind hinter einem privaten Anschluss mehrere Computer im Einsatz (oder auch nur einer), so erhält der Router des Kunden die IPv4 Adresse vom Provider und verteilt selbst private Adressen an die (den) Computer. Zusätzlich schreibt er die privaten Adressen in die echte Adresse um und umgekehrt, um die Vernetzung mit dem Internet indirekt durchzuführen. Die Buchführung, die er dafür zusätzlich übernimmt, nennt man Network Address Translation (NAT). Die Verteilung der privaten Adressen kann man statisch festlegen, oft ist es aber einfacher, wenn der Router diese Adressen per Dynamic Host Configuration Protocol (DHCP) verteilt.

  • Was ist IPv6?
  • Bei IPv6 handelt es sich um Version 6 des Protokolls. Eine Adresse besteht aus 16 Zahlen von 0-255 oder aus 128 Bit. Damit sind 2128 Zahlen darstellbar, das sind etwa 3.4×1038 Adressen. Ein Anschluss soll mindestens ein /64 Subnetz bekommen, d.h. der Provider gibt die ersten 64 Bit (Präfix) vor, alle Internetadressen mit diesen 64 Bit werden dem Anschluß zugeordnet und der Kunde kann die anderen 64 Bit (Interface Identifier) selber verwenden. Die Deutsche Telekom will sogar ein /56 Subnetz vergeben. In jedem Fall kann man sich damit zu Hause ein Netz aufbauen mit mehr Adressen, als es bei IPv4 im ganzen Internet gibt, und jede Adresse ist direkt aus dem Internet erreichbar. Die Vergabe der lokalen Adressen kann mit dem Dynamic Host Configuration Protocol for IPv6 (DHCPv6) oder mit dem Neighbor Discovery Protocol (NDP) erfolgen.

  • Warum IPv6?
  • Die Begrenzung von IPv4 auf etwa vier Milliarden Adressen reicht nicht aus, um alle Geräte direkt mit dem Internet zu verbinden. Es gibt über sieben Milliarden Menschen, und eine Ressource wie eine Internetadresse sollte für jeden verfügbar sein. Dazu haben viele Menschen mehr als nur ein Gerät, welches internetfähig ist (Desktop, Laptop, Mobiltelefon, Netbook, Tablet). Möglicherweise werden in Zukunft Waschmaschinen, Kühlschränke, Staubsaugerroboter oder Kaffeemaschinen auch noch internetfähig. Zählt man dann noch mehrere Familienmitglieder pro Haushalt, wird schnell klar, dass weder vier Milliarden Adressen weltweit noch eine einzige Adresse pro Haushalt ausreichen.

  • Dynamische Adressen
  • Da sich die Adressknappheit bei IPv4 schon lange abzeichnete, haben Provider vor langer Zeit die Idee gehabt, eine Adresse nicht fest einem Anschluss zuzuordnen, sondern diesem nur dann eine Adresse zu geben, wenn er tatsächlich online ist. Dadurch hatte ein Kunde bei jeder Einwahl eine neue Adresse. Wenn ein Kunde nun eine Webseite besuchte, auf der er zuvor bereits gewesen ist, konnte der Serverbetreiber das nicht über die IP feststellen. Die IP konnte sich geändert haben, oder ein anderer Kunde mit dieser IP war auf der Webseite. Obwohl heute mit Flatrates zumindest die Router der Haushalte dauerhaft am Netz, also online, sind, gibt es immer noch die 24h-Zwangstrennung. Damit ist ein Haushalt an Hand der IP nicht dauerhaft identifizierbar. Auf der anderen Seite kann man im Haushalt selbst keine festen Dienste ohne Mehraufwand anbieten, weil man dafür reidentifizierbar und erreichbar sein muss. Neben Hilfslösungen wie Dyndns & Co. gibt es noch die Möglichkeit, einen (teuren) Server zu mieten.

  • Statische Adressen
  • Theoretisch kann man jedem Haushalt und sogar jedem Gerät im Haushalt dauerhaft eine feste IPv6 geben. Damit würde im Laufe der Zeit beobachtbar und nachvollziehbar, wer wann mit welchem Gerät im Internet aktiv ist. Mit diesen Daten könnte man eine weltweite Datenbank mit Nutzungsprofilen anlegen, für die sich sicher diverse Interessenten finden lassen. Neben der Frage der informationellen Selbstbestimmung baut man damit ein Missbrauchspotential und damit eine Bedrohung auf, gegen welche die Stasi wie harmlose Sandkastenrocker von der Förmchenbande erscheint. Hier eröffnen sich technische Möglichkeiten, welche vor wenigen Jahren noch dem Bereich der Science Fiction vorbehalten waren.

  • Anonymität?
  • Ein großes Missverständnis beim Thema Anonymität handelt von der Fragestellung, wem gegenüber man anonym ist und was anonymisiert wird. Zunächst bedeutet Anonymität das Verstecken der Identität. Die Frage, ob man bzw. ein Gerät überhaupt (zu einem bestimmten Zeitpunkt) im Internet ist, ist eine völlig andere. Einige glauben irrtümlich, durch das Abschalten des ICMP echo reply (pong) irgendeine Form von Anonymität oder Sicherheit produzieren zu können. Das ist Unfug. Eine weiterere Fehlannahme besteht darin, Anonymität absolut zu sehen. Anonymität bezieht sich immer auf eine konkrete Kommunikationsgegenstelle oder auf einen Lauschangriff, selten (nie) auf alle Umstände der Kommunikation gleichzeitig. Beim Aufruf einer Webseite sieht der Betreiber ihre IP und wäre bei einer statischen Adresse in der Lage, diese dem Anschlussinhaber zuzuordnen. Eine dynamische IP mit regelmäßigem Wechsel verhindert das, denn diese Zuordnung kann nur der Anschlussprovider durchführen. Die Benutzung eines Anonymisierungsproxies kann Ähnliches bewirken, jedoch kennt dann der Proxybetreiber sowohl ihre IP als auch das von ihnen ausgewählte Kommunikationsziel. Außerdem weiß der Webseitenbetreiber, sofern der Proxy öffentlich bekannt ist, dass jemand anonym Kontakt aufnimmt – alleine dieses Wissen kann kontraproduktiv für ihre Absichten sein. Dienste wie TOR bauen eine kleine Proxykaskade auf, so dass ein einzelner Nodebetreiber nicht weiß, wer wohin kommuniziert. Der Anschlussprovider weiß aber jeweils, ob sie einen Proxy oder TOR benutzen. Er weiß bei verschlüsselten Verbindungen aber nicht, wohin kommuniziert wird. Sie haben die Gegenseite ihrer Kommunikation gegenüber dem Anschlussprovider anonymisiert. Will man die Nutzung bestimmter Dienste gegenüber dem Netzbetreiber – und damit letztlich auch gegen staatliche Überwachung – anonymisieren, wird das Problem noch komplexer. Es sollte aber klar geworden sein, dass sich das Problem nicht auf eine Ja/Nein-Aussage herunterbrechen lässt. Außerdem kann Anonymität durch die Kombination von Informationen ausgehebelt werden. Anonymes Onlinebanking ist nicht sonderlich sinnvoll, aber auch Cookies und andere Techniken hinterlassen Spuren, die zur Problematik der IP-Adresse zusätzlich hinzukommen.

  • Was soll man wollen?
  • IPv6 bietet Chancen und Risiken. Soll man auf Chancen verzichten, weil die Risiken zu groß sind? Soll man sich für eine Option A und gegen B entscheiden? Die Antwort auf obige Frage ist einfach: man sollte alles wollen. Es ist nämlich technisch möglich, permanent flexibel Einzelfallentscheidungen zu treffen, ohne dass sich an der Art des Internetanschlusses etwas ändert, und genau das muss man verlangen. Auf gar keinen Fall darf man zulassen, dass die Provider wieder Ressourcen verknappen und für völlige Selbstverständlichkeiten zusätzliche Rechnungsposten und absurde Geschäftsmodelle entwickeln. Ich will mich nicht für Datenschutz oder Serverdienste entscheiden, ich will beides. Ich will mich nicht für dynamische oder statische IPs entscheiden, ich will beides. Ich will keine Änderung beim Provider beantragen, um Dinge zu tun, ich will einfach Dinge tun. Ich will dafür nichts extra bezahlen, weil ich die Arbeit selbst mache. Wenn der Provider zusätzliche Arbeit hat, weil ein Kunde einen kastrierten Anschluss will, soll der Kunde dafür extra bezahlen, nicht umgekehrt. Technisch ist das alles möglich. Und daher muss das auch die grundsätzliche Forderung an die Provider und an die Politik sein. Damit verbindet sich folgende Forderung:

    Jeder Standardanschluss für Endbenutzer bekommt drei Präfixe: zwei dynamische Präfixe im überlappenden Wechsel ermöglichen weitestgehend störungsfreien und datenschutzfreundlichen Betrieb, ein statisches Präfix ermöglicht das Anbieten eigener Dienste. Für das Anbieten eigener Dienste dürfen keine Extrakosten berechnet werden, ebenso dürfen für datenschutzfreundlichen Präfixwechsel keine Extrakosten berechnet werden.

    Wie die Telekom bereits plant, für ein statisches Präfix zusätzlich abzukassieren, liest man im Artikel Deutsche Telekom bietet IPv6 für Privatkunden ab Ende 2011. Obwohl mit IPv6 keine Ressourcenknappheit mehr herrscht, wird dieser Service “für Geschäftskunden” gesondert zu buchen sein. Es heißt dort: Gleichzeitig mit der Einführung von IPv6 wird die Telekom auf die Zwangstrennung nach 24 Stunden verzichten. Das Heimnetz erhält nur dann einen neuen /56-Netzprefix, wenn man eine längere Zeit offline geht. Bei einer kurzen Unterbrechung der Verbindung bekommt man denselben Prefix wie bei der letzten Einwahl zugeteilt. Das entspricht etwa der quasi-statischen Adressvergabepraxis wie sie die Kabelnetzbetreiber bei IPv4 derzeit handhaben. Geschäftskunden haben darüber hinaus die Möglichkeit, einen festen Prefix zu buchen, der sich auch nach längerer Offline-Zeit nicht ändert. Das ist ein weder verbraucherschutzfreundliches noch datenschutzfreundliches Pseudointernet. Da nicht anzunehmen ist, dass der Markt derart fundamental wichtige Dinge regelt, wird auch über eine politische Regulierung nachzudenken sein. Das Konzept des Drei-Präfix-Internet ist dem Kommentar: IPv6 und der Datenschutz von Lutz Donnerhacke vom 10.11.11 entnommen, Quelle nachstehend verlinkt.

  • Weiterführende Links

  • 2012-12-06 16:56

    Comments are closed.