IPv6-Readiness-Fallstudie: Datensicherheit und Transformationsprozesse

Interview mit James Lyne, CTO beim SANS Institute

[datensicherheit.de, 23.08.2019] Die Umstellung auf IPv6 ist seit vielen Jahren bekannt, aber die IPv6-Bereitschaft bleibt für viele Unternehmen in Europa ein Thema, das von Land zu Land und von Unternehmen zu Unternehmen sehr unterschiedlich behandelt wird. Einige Unternehmen ignorieren das Problem, obwohl einige ihrer Technologien dieses Protokoll im Netzwerk bereits nutzen. Andere Teams machen Fortschritte, ohne ihre IT-Sicherheits-Teamkollegen einzubeziehen, was die Sicherheit von Unternehmen gefährden kann, wenn Firewall-Regeln nicht mehr funktionieren oder AV und andere Sicherheitsprodukte nicht für IPv6-Verkehr geeignet sind. In diesem Interview spricht James Lyne, CTO des SANS Institutes, mit Carsten J. Pinnow (ds), Herausgeber und Chefredakteur von datensicherheit.de, über den Status quo und welche Herausforderungen es noch gibt, um die Probleme moderner IT-Sicherheitsarchitekturen anzugehen.

Bild: SANS Institute

James Lyne, CTO beim SANS Institute

ds: Warum ist IPv6 nach all den Jahren immernoch ein Sicherheitsproblem?

Lyne: IPv6 gibt es schon seit geraumer Zeit und wurde 2012 am IPv6 Launch Day von vielen Webseiten- und Netzbetreibern freigeschaltet. Lange zuvor wurde anerkannt, dass die Anzahl der IPv4-Adressen endlich sind und IPv6 bis 2011 auf allen wichtigen Betriebssystemen implementiert wurde, die in kommerziellen, geschäftlichen und privaten IT-Umgebungen verwendet werden. Warum ist IPv6 also immer noch ein Problem? Die Antwort ist, dass in Europa niemand den Wechsel zu IPv6 gefördert hat. In den USA wurde eine gewisse Akzeptanz durch den Druck der Regierung erzielt, die den Übergang zum neuen Standard durchsetzte. In Asien wurde die Nutzung des Protokolls aufgrund des dortigen Wirtschaftswachstums und des Bedarfs an IP-Adressen und der begrenzten Verfügbarkeit im traditionellen IPv4-Adressraum beschleunigt. Natürlich ist es einfacher, etwas Neues wie eine IT-Architektur aufzubauen, die von Anfang an IPv6-fähig ist, als ältere Systeme zu verändern. Dennoch ist es wichtig, den Motor jetzt zu starten und vorwärts zu fahren. Es gibt jetzt ein überraschendes Wachstum an IPv6-Verkehr, der durch unsere Netzwerke und das Internet fließt. Nun besteht die Gefahr, dass, weil es nicht als aktueller Trend wahrgenommen wird, die Nutzung voranschreitet und ihr zu wenig Aufmerksamkeit geschenkt wird.

ds: Was ist die Herausforderung bei der Umstellung auf IPv6?

Lyne: Wir sehen viele Herausforderungen in den Unternehmen. Eine davon ist das Problem der Legacy-Systeme, die auf IPv6 umgestellt werden müssen. So gibt es beispielsweise in produzierenden Unternehmen in Deutschland Roboter und Maschinen, die das Betriebssystem Windows 95 verwenden und die schon lange nicht mehr gepatcht wurden. Die Folge wäre eine Einstellung der Produktion. Die größere Herausforderung ist, dass IPv6 mehr ist als nur eine „größere IP-Adresse“. Das Protokoll hat sich geändert und die korrekte Architektur für Leistung und Sicherheit erfordert einiges an Neugestaltung im Vergleich zu einem herkömmlichen Netzwerk. Das Risiko, Sicherheitsfehler zu machen, unbeabsichtigte Ressourcen freizulegen oder sich auf eine vorherige Sicherung zu verlassen (z.B. ein Gateway mit einer NAT-Grenze, die eine Insel bildet), ist hoch.

ds: Aber bedeutet es, dass Anbieter und Softwareunternehmen noch nicht alle bereit sind?

Lyne: Das ist richtig. Einige Technologie- und Sicherheitsprodukte sind darauf vorbereit, aber viele haben noch nicht in die Funktionsparität von IPv6 im Vergleich zu IPv4 investiert. Abgesehen von dem Risiko, dass die Technologie (z.B. ein Webfilter oder eine Firewall) nicht einsatzbereit ist, ist es auch wichtig, sicherzustellen, dass Cybersicherheits-Admins und andere entsprechend geschult werden. IPv6 hat neue Konzepte, die es zu verstehen gilt. Es ist meiner Erfahrung nach nicht ungewöhnlich, dass es beiläufig in einem Netzwerk verwendet wird, ohne dass die Kontrollen entsprechend aktualisiert werden. Ich habe viele Beispiele für die Selbstkonfiguration von IPv6 in einem Netzwerk gesehen, die in Verbindung mit Microsoft-Anwendungen oder Betriebssystemdiensten verwendet wird und bei denen das Sicherheits- und Vorfallsteam die Bereitstellung nicht kennt.

Die Telekommunikationsunternehmen arbeiten seit Jahren an dem Übergang und werden langsam aber stetig IPv6 auf Verbraucher und Unternehmen gleichermaßen ausrollen. Wenn der Prozess jetzt beschleunigt wird, muss sichergestellt wird, dass IT- und Sicherheitsteams darauf vorbereitet sind. Sonst könnten kritische Ereignisse unbemerkt bleiben, weil Incident Response- und Monitoring-Teams eben nicht vorbereitet sind.

ds: Ist dies nur ein Mangel an Herstellersupport?

Lyne: Nein, da steckt mehr dahinter. Ein Aspekt, der ebenfalls berücksichtigt werden muss, ist der Mangel an qualifizierten Fachkräften in der Branche und die vielen täglichen Aufgaben, die zu erledigen sind. Sicherheitsexperten fehlen in den meisten Ländern, erst recht in diesem speziellen Bereich. Große Unternehmen haben in der Regel mehr Mitarbeiter in ihrem Sicherheitsteam und können stärker investieren, aber mittelständische Unternehmen verfügen nicht über die gleichen Ressourcen. Da selbst große Unternehmen noch nicht bereit sind, wenn wir über die Sicherung des gesamten Supply-Chain-Prozesses nachdenken, an dem in der Regel viele mittelständische Unternehmen mit kritischen Komponenten für die Großindustrie beteiligt sind, lässt sich das Ausmaß des Problems erkennen.

Weitere Informationen zum Thema:

datensicherheit.de, 03.07.2019
SANS Institute Pen Test Hackfest Summit: Hack Back und Nachverfolgung von Angreifern im Fokus

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 15.05.2014
Deutschland erreicht Spitzenposition beim Einsatz von IPv6

datensicherheit.de, 06.06.2012
Peter Schaar zum World IPv6 Launch Day: Datenschutz muss Wegweiser sein