Missing Link: IPv6 – Geheimsache des Bundes
(Bild: Den Rise/Shutterstock)
Der World IPv6 Day war 2011. Zu denen, die sich schon 2010 eigene IPv6-Adressen besorgten, gehört auch der Bund. Aber was ist aus den Adressschätzen geworden?
Beim 84. Treffen der Adressverwaltung RIPE kürzlich in Berlin präsentierte Constanze Bürger vom Bundesinnenministerium unter dem Beifall der IP-Experten die IPv6-Pläne der Bundesverwaltung. Dual-Stack bis 2025, IPv6 only bis 2030. Die Informatikerin ist seit 2009 quasi Chefin der deutschen Local Internet Registry (LIR) de.government und damit Hüterin von rund 33 Milionen IPv6-Subnetzen – oder auch 8 Milliarden kleineren Subnetzen – für Bund, Länder und Gemeinden. Ein ganzer als /23 notierter Block der neuen, längeren 128 Bit-Adressen (IPv4 waren 32-Bit-Adressen) ist das. Im Laufe der Jahre wurde ein IPv6-Routing-Konzept, ein Leitfaden für IPv6-Hard- und Software, mehrere Migrationsleitfäden und zuletzt noch ein IP- und ASN-Handbuch erstellt. Eigentlich schien alles bereit für den Umzug, bloß hat der noch nicht stattgefunden.
Diese Zuteilung des IPv6-Blocks [2] liegt mittlerweile mehr als ein Jahrzehnt zurück. Als Anfang 2020 allerdings die Bundestagsabgeordnete Anke Domscheit-Berg hören wollte, warum es mit IPv6 trotzdem nicht so richtig vorangegangen war, bekannte sich das Ministerium unter Horst Seehofer ganz entschieden zu den vielen Vorzügen einer Migration. Zu dem Zeitpunkt hatten die Adressverwalter bereits erklärt, dass sie keine IPv4 Adressen mehr haben [3].
"Der Betrieb interner Verwaltungsnetzinfrastrukturen wird durch eindeutige Adressierung und den Wegfall von NAT-Gateways transparenter", heißt es in der Antwort. "Der Wegfall von NAT und die Nutzung von IPv6 ohne IPv4 in vielen Bereichen führt zu einer deutlich geringeren Komplexität beim Netzbetrieb und so zu einer höheren Cybersicherheit. IPv6 ermöglicht ein effizienteres Routing in den Netzen der öffentlichen Verwaltung."
Desperately seeking IPv6
Doch die Antworten auf die Kleine Anfrage [4] offenbarten auch, dass die 2009 verkündete und 2010 in der "Deutschland Digital Strategie 2015" festgeschriebene IPv6-Strategie fest steckt. Dem BMI seien keine bereits in der Migration befindlichen IT-Systeme der Bundesverwaltung bekannt. Bei der Software beschränke sich die IPv6-Fähigkeit im Wesentlichen auf Softwarepakete im Bestand der Bundesverwaltung, "die dies herstellerseitig automatisch als Eigenschaft mitbringen" oder doch im Rahmen der Neubeschaffung schon explizit mit IPv6-Unterstützung eingekauft wurde.
Wie viel Hardware, Systeme und Infrastrukturbestandteile die längeren Adressen noch nicht unterstützen, da musste man passen. Was die anfragende Domscheit-Berg zu einem drastischen Urteil veranlasste: Die Bundesregierung habe keine Ahnung von Status quo und keine verbindlichen Meilensteine, resümierte die Oppositionspolitikerin.
Netzschlamassel
Einer der regelmäßigen, internen Fortschrittsberichte an den Haushaltsausschuss des Bundestages ein Jahr nach Domscheit-Bergs Anfrage wurde viel deutlicher, was die offenbar desolate Lage im Bereich der "Netze des Bundes" anbelangte.
Die Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS [5]), manchem bekannt als Betreiberin des Behördenfunknetzes TETRA, ist seit 2019 für den Betrieb der Netze des Bundes (NdB) zuständig. In den NdB 1.0 wurden frühere Netze des Informationsverbunds Berlin-Bonn, des Bundesverwaltungsnetzes und des NdB Vorläufers "Deutschland Online Infrastruktur" (DOI) zusammengeführt. Ein Kerntransportnetz (KT-Bund) mit 9600 km Glasfaserstrecken soll als Integrationsplattform, als Backbone, dienen.
Betrieben wurde letzteres von der Deutschen Telekom, seitdem Verizon 2014 in Folge der Snowden Enthüllungen rausgeworfen wurde. Von der DTAG soll die BDBOS übernehmen und als hauseigener Betreiber die Souveränität der Infrastruktur absichern.
Im Fortschrittsbericht von 2021 heißt es allerdings, dass die BDBOS "zur Sicherstellung eines weichen – im Sinne eines risikoarmen – Übergangs über einen Zeitraum von zwei Jahren sukzessive die operativen Betriebsaufgaben der DTBS (Deutsche Telekom Business Solutions, d. Red.) übernimmt und in diesem Zeitraum die Unterstützung durch die DTBS entsprechend abschmilzt". Ganz verzichten auf die DTAG-Unterstützung will man vorerst nicht. Überdies gehörten einzelne Netzanteile in dem in Sprachen, Daten, Video unterteilten Netz noch der DTAG, so die Information. Als Betreiber für den operativen Betrieb baut die BDBOS übrigens den TETRA-Netzbetreiber ALDB auf. Die ALDB GmbH [6], die frühere Alcatel-Lucent Digitalfunk Betriebsgesellschaft, wurde 2019 von der BDBOS übernommen.
End of Life-Komponenten
Zum Zustand des nun von ihr zu verantwortenden Netzes klagt die BDBOS im Fortschrittsbericht selbst, viele Komponenten in den zusammengeführten Netzen hätten "das Ende ihres Produktlebenszyklus" erreicht. "Einzelne Komponenten erhalten von den Herstellern keinen Service, beziehungsweise Support mehr und müssen daher ersetzt werden, um die Stabilität und Sicherheit weiterhin zu gewährleisten", schreibt die Behörde. Zugleich sei eine 1:1 Ablösung von Komponenten gar "nicht zielführend".
Dass sich in den über zwei Jahrzehnte und durch mehrere Netzmodernisierungspläne gewachsenen Netzen eine ziemlich reichhaltige Mischung an Software, Hardware und vor allem auch Mittelboxen beheimatet sind, ist klar. Nicht zuletzt bringen die Anforderungen an Vertraulichkeit und Einstufung von Kommunikationsverkehren zusätzliche Komplexität in die Netze. Handgestrickte Anpassungen von Routern für das Monitoring der Verkehre, Firewalls und die gerade auch durch die wachsende IPv4 Adressknappheit notwendige Netzwerk Address Translation oder Verschlüsselungshardware, wie die guten alten Sina Boxen, bescheren den Netzmanagern viel Anpassungsbedarf. Was tun, wenn die speziell angepasste Routergeneration vom Hersteller nicht mehr unterstützt wird? Was, wenn ältere Modelle der Sina Boxen IPv6 nicht unterstützen?
Die SINA L3 Box S unterstützt IPv6 ab der Version 3.7.4, versichert der Sprecher der Secunet in Essen auf Anfrage. Die Version sei seit 2018 freigegeben, also vom Bundesamt für Sicherheit in der Informationstechnik mit der notwendigen Zulassung versehen und sie könne natürlich auch Dual-Stack. Aber auch die Vorgängerversionen, etwa die 3.7, haben nach wie vor die BSI Zulassung. Auf der Webseite des BSI gibt es eine lange Liste von SINA Produkten [7], die eingesetzt werden können. Längst nicht alle sind IPv6 fähig.
Wie rasch ausgetauscht wird? "Die Migration wird auf Wunsch des Bedarfsträgers aktiv durch unsere Beratung unterstützt. Die Migrationspfade sind weiterhin bestehend", heißt es bei Secunet.
IPv6 geheim
Wie viel Hardware sich Stand 2022 im NdB (Netzwerk des Bundes) noch befindet, die in die IPv6 Welt gerettet werden kann, und wie viel tatsächlich ersetzt werden muss, darüber möchte das für die Koordination federführende Bundesministerium des Innern nichts zu Protokoll geben. "Da die von Ihnen erfragte Information eingestuft ist, können wir Ihnen leider keine Auskunft dazu geben", so die schriftliche Antwort der Sprecherin.
Wie sieht es aus mit Geräten, für die es keinen Support mehr gibt und die dann erhebliche Betreuungs- oder sogar Sicherheitsprobleme machen können? Auch das ist geheim: "Da die von Ihnen erfragte Information eingestuft ist, können wir Ihnen leider keine Auskunft dazu geben." Gibt es immerhin eine Auskunft, wie weit man sich generell vorangetastet hat im NdB mit IPv6? Ach so: "Da die von Ihnen erfragte Informationen eingestuft sind, können wir Ihnen leider keine Auskunft dazu geben."
Die Frage ist genauso unerwünscht wie die Nachfrage nach dem von Frag-den-Staat freigeboxten Masterplan IPv6 [8]. Domscheit-Berg gegenüber war von einer ausstehenden Ressort-Beratung bis Ende des Jahres 2020 die Rede. Tatsächlich aber steht im internen Fortschrittsbericht noch 2021 die "Masterplan IPv6"-Abstimmung weiter als unerledigt und merkt an: Aufgrund fehlender Haushaltsmittel und Personalressourcen habe man mit der sukzessiven Umsetzung des Programms zur Konsolidierung der Weitverkehrsnetze (und auch IPv6 Masterplan) noch nicht beginnen können.
Statt des Masterplans, der eine Strategie von den Kernnetzen hin zu Clients und Anwendungen bei der Migration befürwortete, gab es im November 2020 einen knappen Beschluss [9] der Konferenz der IT-Verantwortlichen der Ressorts, in dem sie feststellten, dass ein übergreifender, abgestimmter IPv6 Umsetzungsplan weiterhin fehle. Außerdem wurde eingeräumt, dass die Zusammenarbeit und Abstimmung zwischen den Ressorts lediglich "in engen Grenzen stattgefunden" hätten.
Als konkrete nächste Schritte wurde zugleich entschieden, dass bei der Beschaffung IPv6 künftig im Sinn der IPv6-Architekturrichtlinie nicht nur empfohlen, sondern verpflichtend sein solle. Als erste IPv6-Ad-hoc-Maßnahme wollte man 2022 den IPv6-Client-VPN-Einwahl umsetzen, und schließlich sollten alle Ressorts bis Ende 2022 ein Migrationskonzept fürs eigene Haus erstellen, und im übrigen sollte der Beschluss veröffentlicht werden.
Bundescloud erstmal nur auf IPv4
Der Stau der Vorhaben bei der Modernisierung der eigenen Netze hat Konsequenzen für davon abhängige Pläne. So geht die neue Bundescloud am 1. Juli erst einmal ohne IPv6 an den Start, bestätigt Carsten Brückner vom Informatiktechnikzentrum Bund (ITZBund) am Rande der RIPE-Tagung. Aktuell nutzen 50 Behörden einen Teil der Bundeslcoud-Dienste.
Am 1.7. 2022 schließt man 13 Behörden an eine separate Bundescloud-Instanz unter dem Namen "Betriebsplattform Bund" an. Im kommenden Jahr sollen 18 weitere dazu kommen und bis 2028 plant man, insgesamt 73 Behörden mit Infrastructure, Platform und Software as a Service in einer einheitlichen Umgebung via unterschiedlicher Cloudanbieter zu versorgen.
Die Nutzung von IPv6 scheitere vorerst daran, dass die Weitverkehrsnetze die neuen Adressen eben noch nicht anbieten. Das bedeutet, dass man mit IPv4 starten und die Cloud später auf IPv6, beziehungsweise Dual-Stack migrieren muss.
In Eigenregie startet das ITZBund im Januar 2023 dann aber auch noch ein Sisyphos-Projekt anderer Art: die Prüfung von rund 1500 Anwendungen aus dem Umfeld der Bundesbehörden auf ihre IPv6-Fähigkeit.
Das ITZBund wurde ursprünglich vom Bundesministerium für Finanzen gegründet und ist seit 1.1.2021 eine Anstalt des Öffentlichen Rechts wie die BDBOS. Wie letztere stand auch das ITZBund als mögliche Betreiberin der Netze des Bundes zur Diskussion. Dritter Bewerber war das Bundesverwaltungsamt, und es gibt Stimmen, die die Entscheidung für BDBOS rückblickend für problematisch halten.
Adress-Kollisionen
Fragt man beim Bundesinnenministerium nach, gibt es noch kein Problem durch die verzögerte Einführung der neuen IP-Adressen. "Der für die Bundesbehörden vorgesehene Adressvorrat des derzeit noch vorherrschenden Internet-Protokolls IPv4 ist bei der zentralen Instanz für die Vergabe von IP-Adressen nahezu erschöpft, eine Migration in das Internet-Protokoll IPv6 daher für die Bundesbehörden wie auch alle anderen Stellen der öffentlichen Verwaltung in Deutschland geboten", so die Sprecherin des Ministeriums. Weil man 2009 bei der zuständigen europäischen Adressvergabeinstanz RIPE NCC einen ausreichend großen IPv4-Adressraum für die gesamte öffentliche Verwaltung Deutschlands beantragt habe, sei eine Adressknappheit abgewendet.
Aus Sicht von Helge Holz, Netzwerkexperte des IT-Dienstleisters Dataport [10], gibt es in der Praxis durch die Länder und Städte sehr wohl Probleme mit fehlenden IPv4-Adressen. Wer sich nicht noch IPv4-Adressblöcke über das RIPE beschafft habe, bevor dort der Pool leerlief, bei dem seien die Adressen jetzt knapp. Sachsen habe beim Bund angeklopft, um noch an Adressen zu kommen. Bürger habe zugleich beim RIPE nachgefragt, ob zurückkommende Adressen, die ursprünglich von der öffentlichen Hand genutzt wurden, dem Bund wieder zur Verfügung gestellt werden könnten.
Viel schneller, als man dies in den Ländern erwarte, würden Rest-Zuteilungen oder noch vorhandene Reserven knapp. Wenn von einem kleinen Block schnell 1000 Adressen an die Schulen ausgegeben würden, und nur 1024 zur Verfügung standen, gibt es nichts mehr zu verteilen. In Hamburg, wo man mit einem Class B gut versorgt schien, merkte man plötzlich, wie schnell die Adressen zur Neige gingen, als alle Verwaltungen mit Computern und Druckern ausgestattet werden sollten. Auch hier musste man im Client-Bereich auf die privaten 10er-Adressen zurückgreifen.
Als Nächstes werde dann zu privaten, internen IPv4-Adressen aus dem dafür vorgesehenen 10.0.0.0 bis 10.255.255.255 (*10*/8 Präfix) und 172.16.0.0 bis 172.31.255.255 (172.16/12 Präfix) zurückgegriffen. Sobald sich die entsprechenden Landesverwaltungen, Gebietskörperschaften oder Kommunen dann aber etwa im gemeinsamen Rechenzentrum – Dataport betreibt zwei solche für mehrere Länder – treten die Adresskonflikte zu Tage. Wenn das BKA dann etwa möchte, dass ein LKA auf einen hinter einer 172.16-Adresse stehenden Videoserver des Amtes zugreift, geht das nicht.
Holz schätzt, dass die Kernnetze selbst bei der Umstellung nicht das große Problem verursachen sollte. In den von Dataport betriebenen landesübergreifenden Zugangsnetz mit 2700 km Glasfaser ist Ipv6 bereits eingezogen. Die vielen Spezialanwendungen seiner Tausenden von Kunden halten ihn mehr auf Trab. Er gehört überdies zu denen, die mit dem BDBOS nicht ganz zufrieden sind. Oft würden Anfragen etwa auf die Zuteilungen von de.government-IPv6-Adressen, so sagt er, schlicht nicht beantwortet.
Megaprojekt machbar in de?
Mehrere hundert Millionen sind in die Konsolidierung und Modernisierung – man sollte wohl sagen die Planung der Modernisierung – geflossen. Auch der Bundesrechnungshof hat sich die IT-Projektsteuerung des Bundes schon mehrfach, zuletzt im April, zur Brust genommen und gemahnt. Seit 2008 ist man an der Arbeit und doch kommt – nicht nur im Fall IPv6 – das moderne neue Netz des Bundes nicht so recht voran.
Mehraufwände, auch durch Krisen wie Corona, die Unmöglichkeit, die zugesagten Stellen mit fachlich qualifiziertem Personal zu besetzen und nacheinander noch übertragene Zusatzprojekte, etwa eine Art Extranet für öffentliche Kunden, die bei den hohen Verschlüsselungsanforderungen nicht mitziehen können – all das erschwere die Arbeit, begründet die BDBOS das Schneckentempo. Die vielen archäologischen Schichten, die in den zusammengeführten Netzen abzutragen sind, sind sicher eine Herausforderung.
"Fackeln und Mistgabeln" wären in gewisser Weise die einfachere Lösung, sagt IPv6-Experte Gert Döring verschmitzt, was zu tun wäre. "Kleine Teams, die das Projekt federführend und hauptverantwortlich durchziehen", kann sich sein Kollege Benedikt Stockebrand vorstellen. Für beide ist klar, der wachsende Pflegeaufwand für ältere, komplex hinter Firewalls und NAT verschachtelte Netze wird immer teurer – am Ende könnten sich die Kosten als harter Treiber für den Umstieg erweisen.
Jenseits der technischen Schwierigkeiten gibt es aber den Layer9, Politik und Religion. Das Beispiel Ressortabstimmung Masterplan IPv6 verweist zugleich auf Schwierigkeiten der Ministerien, konstruktiv an einem Strang zu ziehen.
Projekte wie der Berliner Flughafen BER oder die Investitionen in eine Bundeswehr, die dann als nicht verteidigungsfähig bezeichnet wird, werden von kritischen Stimmen als Parallelen bemüht. Müssen Großprojekte hierzulande scheitern?
Beim RIPE84 Treffen in Berlin verweist LIR Chefin Bürger auf eine echte Success-Story, die zeigt, es bewegt sich doch etwas. Die Erfassung der Steuern über Elster erfolgt heute zu 52 Prozent über IPv6. Ein Mitarbeiter der Bayerischen Finanzverwaltung hatte sich des Themas angenommen und bis 2020 durchgezogen. Dass bereits mehr Zugriffe über IPv6 erfolgen, liegt nicht zuletzt daran, dass große Netzbetreiber wie die DTAG ihre Endkunden ziemlich still und leise auf IPv6 migriert haben. Die Zahlen legen nahe, IPv6 hat es im Feld fast geschafft. Der vor über einer Dekade als Pionier gestartete Bund müsste einfach mal nachziehen.
(bme [11])
URL dieses Artikels:
https://www.heise.de/-7131561
Links in diesem Artikel:
[1] https://www.heise.de/thema/Missing-Link
[2] https://www.ripe.net/about-us/press-centre/ipv6-chart_2015.pdf
[3] https://www.heise.de/news/Das-war-s-mit-IPv4-Adressen-in-Europa-4596197.html
[4] https://dserver.bundestag.de/btd/19/173/1917389.pdf
[5] https://www.bdbos.bund.de/DE/NdB/ndb_node.html
[6] https://www.aldb.org/
[7] https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Zulassung/SINA/Produkte/produkte.html
[8] https://fragdenstaat.de/anfrage/umsetzungeinfuhrung-von-ipv6/531501/anhang/de-government-ipv6-masterplan-v100-entwurf_konvertiert.pdf
[9] https://www.cio.bund.de/SharedDocs/Publikationen/DE/Bundesbeauftragter-fuer-Informationstechnik/Konferenz_der_IT-Beauftragten_der_Ressorts_Beschluesse/2020_13_Beschluss_Konferenz_IT-Beauftragte.pdf?__blob=publicationFile
[10] https://www.dataport.de/was-wir-tun/netze/
[11] mailto:bme@heise.de
Copyright © 2022 Heise Medien