Editorial: Der - hoffentlich - unbemerkte IPv6-Testlauf

Von Kai Petzke

Gedrängel im Internet:
Mit IPv6 soll alles besser werden. "Stell Dir vor, es ist Krieg und keiner geht hin" sagte einst der Pulitzer-Preisträger Carl Sandburg. "Stell Dir vor, das Internet der Zukunft wird eingeschaltet und keiner merkt es" könnte es in Abwandlung des Spruchs am morgigen Mittwoch heißen. Zum Glück geht es dabei nicht direkt um Krieg, sondern "nur" um ein Upgrade der zentralen Datenstruktur des mit Abstand wichtigsten und größten Datennetzes der Welt. Eines Netzes, das angesichts der Unmassen an Informationen, die es bewegt, auch immer öfters über Krieg und Frieden entscheidet. Eines Netzes, an dessen grundlegenden Datenstrukturen (wie TCP- und IP-Header) in den letzten Jahrzehnten aber kein wesentliches Update mehr gewagt wurde.

Mangels Update steuert das gewohnte Internet aber auf ein riesiges Problem zu: Es gehen die Adressen aus. Die Party ist so gut wie voll. Neue Gäste (also Server, Nutzer, Dienste) können dann künftig nur noch reinkommen, wenn andere Gäste rausgehen oder sich zwei oder mehr Gäste jeweils einen Platz teilen. Ersteres führt zu langen Wartezeiten. Und die Platzteilung ist nicht nur unbequem, sie beeinträchtigt auch die freie Kommunikation aller Party-Teilnehmer untereinander.

Leider ist der Wechsel vom aktuellen Internet oder IPv4 auf das neue Internet oder IPv6 kein gewöhnliches Upgrade, wie es sonst von PC-Nutzern regelmäßig für das Betriebssystem oder für einzelne Software-Pakete eingespielt wird. Einige Prinzipien ändern sich grundsätzlich und verlangen in privaten wie gewerblichen Netzen neue Einstellungen durch den Systemverwalter.

Mehr oder weniger anonym?

Eine der wesentlichsten Neuerungen ist, dass ein Internet-Endgerät (PC, Laptop, Smartphone, Server etc.) in Zukunft nicht nur eine, sondern quasi gleich zwei Adressen erhält: Eine, die vom Provider festgelegt wird, und eine, die sich der Nutzer selber wählt. Die damalige Idee dahinter: Endgeräte bleiben so identifizierbar, auch dann, wenn sie den Provider wechseln. Während diese Möglichkeit zu Zeiten der Standardisierung von IPv6 als Feature angesehen wurde, gilt sie heute aus Datenschutzgründen zunehmend als Bug.

Damit IPv6 im Datenschutz nicht hinter IPv4 zurückfällt, müssen zwei Maßnahmen kombiniert werden: Die Provider müssen auch im IPv6 wie bisher die IP-Adressen bei jeder Neueinwahl eines Nutzers neu vergeben. Und die Endanwender müssen zusätzlich die "Privacy Extensions" von IPv6 aktivieren, damit die private Hälte der Adresse mit einem zufällig ausgewürfelten Wert befüllt wird, um eine langfristige Zuordnung aufgrund dieses Teils der Adresse zu verhindern.
Neue Adressen für das Internet:
IPv6 soll IPv4 ablösen.

Wenn aber alle Nutzer die "Privacy Extensions" aktivieren, dann könnte man sich die Aufteilung in einen privaten und einen öffentlichen Adressteil auch gleich sparen. Zumal auch bei abgeschalteten "Privacy Extensions" der private Teil der Adresse mitnichten genutzt werden sollte, um beispielsweise den Zugang zu Diensten zu legitimieren: Dazu kann der private Teil der Adresse zu leicht gefälscht werden. Man kann dort leicht jeden beliebigen Wert eintragen, auch den eines Rechners, als der man sich ausgeben möchte.

Dieser Geburtsfehler, die IPv6-Adresse in einen öffentlichen und einen privaten Teil zu trennen, wobei der private Teil allenfalls dazu geeignet ist, den Nutzern hinterherzutracken, wird IPv6 noch lange nachhängen. Er beschädigt noch vor dem Start das Vertrauen der Nutzer.

Zwar lässt sich der Fehler durch konsequente Aktivierung der Privacy Extensions abmildern. Dennoch besser, man hätte ihn nicht begangen.

Doppelt erreichbar!?

Weil nicht alle Systeme auf einen Schlag umgestellt werden können, wird es eine Übergangsphase geben, in der insbesondere Server-Betreiber ihre Inhalte schon unter IPv6 aber parallel zusätzlich auch unter IPv4 anbieten. Das ist ein Problem, wenn Nutzerrechner in so genannten IPv6-Inseln stehen: Computer, die untereinander bereits IPv6 sprechen, aber an die Außenwelt nur über IPv4 angebunden sind. Endnutzer-PCs in dieser Insel würden erkennen, dass der Server über IPv6 erreichbar ist und versuchen, über IPv6 eine Verbindung dorthin aufzubauen, was aber aufgrund der Insellage in der IPv6-Welt scheitert. Über IPv4 wäre es hingegen kein Problem, den Server zu erreichen.

Die drastische Konsequenz: Server-Betreiber scheuen IPv6 fast so, wie der Teufel das Weihwasser, und machen unter der bekannten URL ihres Angebots lediglich die IPv4-Adresse dessen bekannt. Selbst dann, wenn sie bereits über eine IPv6-Anbindung verfügen! Denn man hat Angst, dass die Nutzer in IPv6-Inseln zumindest zum Teil nicht der Insel, sondern dem Server die Schuld an ihren Verbindungsproblemen geben, und zum Beispiel zu Konkurrenz-Angeboten ausweichen. So war die Idee des IPv6-Tages geboren: Wenn an einem Tag plötzlich Google, Yahoo, bing, Facebook, Youtube und auch nationale Portale wie T-Online nicht mehr erreichbar sind, dann fragt der Kunde vielleicht doch bei seinem Provider oder seinem Sysadmin nach, statt einen Fehler bei zahlreichen Servern gleichzeitig zu vermuten. Von daher ist der konzertierte Test bei über 300 verschiedenen Inhalteanbietern zu begrüßen!

Sollte der Test positiv verlaufen, es also nur zu einer überschaubaren Zahl von Fehlern kommen, die dann zudem schnell behoben werden, ist damit zu rechnen, dass die gennanten Sites zügig zu einem dual-stack-Betrieb wechseln: Sie sind dann dauerhaft unter IPv4 und IPv6 erreichbar. Ein solcher zuverlässiger Parallelbetrieb ist die wichtigste Voraussetzung für das Gelingen der zitierten großen Internetumstellung.

heise.de hat einen eigenen "IPv6-Tag" bereits letztes Jahr mit Erfolg in Deutschland durchgeführt, und in der Folge auf den dual-stack-Betrieb umgeschaltet. Auch in Norwegen sind zwei der top-5-Websites bereits seit letzten Herbst im Parallelbetrieb. Diese positiven nationalen Beispiele lassen hoffen, dass es auch auf internationaler Basis klappen wird.

teltarif.de würde übrigens gerne mit einem Parallelbetrieb auf IPv4 und IPv6 folgen, scheitert derzeit aber noch am Provider, der IPv6 noch nicht durchleitet. Eine Tunnellösung ist aber bereits in Arbeit.

Weitere Editorials