IPv6 - Nummernschild fürs Internet?

Viele Nachrichtenseiten und Blogs verkünden, IPv6 sei das Ende der Privatsphäre im Internet. Bislang ist es mit IPv4 so, dass Sie in regelmäßigen Abständen eine neue, dynamische IP-Adresse erhalten, in der Regel mindestens alle 24 Stunden. Außer Ihrem Provider weiß also niemand, mit welcher IP-Adresse Sie gerade im Internet unterwegs sind. Ohne Cookies erkennen die Webseitenbetreiber Ihren PC nicht wieder, wenn Sie zum wiederholten Mal auf deren Webseite kommen.

Wenn Sie künftig mit IPv6 eine praktisch lebenslange, statische IP-Adresse erhalten, dann lässt sich Ihr PC oder besser gesagt Ihr DSL-Anschluss genau zuordnen: Google weiß nicht unbedingt, dass Sie Martin Schulze heißen. Google weiß aber anhand Ihrer IP-Adresse, dass von Ihrem Internetanschluss gestern bereits nach „Champions League“ gesucht wurde. Und Amazon weiß, was Sie letzte Woche gekauft haben — obwohl Sie gar nicht eingeloggt sind. Die statische IPv6-Adresse macht’s möglich. Personalisierter Werbung und Datensammelwut sind damit Tür und Tor geöffnet.

Die Bilderstrecke des Profi-Wissen „IPv6 — die neuen Internet-Adressen“ klärt alle theoretischen Begriffe zum Thema IPv6. Die Praxis ist allerdings ein bisschen komplizierter. Deshalb zeigt der folgende Artikel, ob Sie mit einer IPv6-Adresse um Ihre Anonymität fürchten müssen.

Eine IPv6-Adresse ist länger und komplizierter als die gewohnten IPv4-Adressen. Sie besteht nicht mehr nur aus vier Blöcken mit Zahlen von 0 bis 255, etwa 195.122.131.16, sondern aus acht Blöcken zu je vier hexadezimalen Zahlen, zum Beispiel 2001:0db8:85a3:08d3:4261:86ff:fe0c:0e73.

Um eine hexadezimale Zahl darzustellen, sind vier Bit nötig. Eine IPv6-Adresse ist somit 8 mal 4 mal 4 Bit lang. Mit diesen 128 Bit lassen sich rund 340 Sextillionen IPv6-Adressen bilden. Das ist eine 34 gefolgt von 37 Nullen.

Eine IPv6-Adresse besteht aus zwei Teilen: Die ersten 4 Blöcke oder 16 Stellen heißen Präfix, die hinteren 4 Blöcke oder 16 Stellen Interface Identifier.

Wenn bei Ihnen IPv6 aktiv ist, dann sehen Sie Ihre IPv6-Adressen, wenn Sie in der Eingabeaufforderung den Befehl ipconfig eingeben.

Das Präfix bezeichnet die ersten 16 Stellen einer IPv6-Adresse. Es kennzeichnet sowohl den Provider als auch den DSL-Anschluss.

Der Provider bekommt die ersten Stellen des Präfixes zugeteilt. So hat etwa die Telekom die Präfixe 2003:0 und 2003:1. Das bedeutet: Jede IPv6-Adresse, die mit 2003:0 oder 2003:1 beginnt, gehört einem Kunden der Telekom.

Streng genommen schreibt sich das Telekom-Präfix so: 2003:: /19. Der Zusatz „/19“ bedeutet, dass die ersten 19 Bit der Adresse festgelegt sind.

Kleiner Exkurs: Wenn man die festgelegten 19 Bit in die hexadezimale IPv6-Adresse umrechnen will, dann wird’s kompliziert: Für die ersten 4 Stellen der Adresse bräuchte man nämlich nur 16 Bit, für die ersten 5 Stellen hingegen 20 Bit. Festgelegt sind aber 19 Bit, also irgendetwas zwischen 4 und 5 Stellen in hexadezimaler Schreibweise. Daher kommt es, dass die Telekom-Adressen mit 2003:0 oder mit 2003:1 beginnen — von der fünften Stelle sind nur die ersten drei Bit festgelegt.

Die hinteren vier Blöcke oder 16 Stellen einer IPv6-Adresse heißen Interface Identifier. Der Interface Identifier kennzeichnet ein Gerät, das sich über den Router mit dem Internet verbindet. Also zum Beispiel eine Netzwerkkarte, ein Notebook oder ein Smartphone.

Bereits heute hat jedes Gerät, das über ein Netzwerk kommuniziert, eine MAC-Adresse (Media Access Control). Eine MAC-Adresse wird nur einmal vergeben und ist somit weltweit eindeutig. Sie dient dazu, ein Gerät in einem Netzwerk zu adressieren.

Eine MAC-Adresse setzt sich aus der Herstellerkennung und der Geräte- oder Adapterkennung zusammen. Ein Beispiel: Die Hauptplatine von Micro-Star mit integriertem Netzwerkadapter hat die MAC-Adresse 4061860c0e73. Die ersten sechs Stellen 406186 kennzeichnen den Hersteller Micro-Star. Die hinteren sechs Stellen 0c0e73 kennzeichnen den Netzwerkadapter.

Das ist lustig: Geben Sie auf der Seite http://standards.ieee.org/develop/regauth/oui/public.html zum Beispiel die Herstellerkennung 406186 ein, und die Datenbank verrät Ihnen, dass der Hersteller Micro-Star heißt.

Wie wird nun aus einer MAC-Adresse der hintere Teil einer IPv6-Adresse gebildet? Das Problem dabei ist: Die MAC-Adresse ist 12 Stellen lang, der Interface Identifier braucht aber 16 Stellen. Die MAC-Adresse muss also um 4 Stellen erweitert werden.

Das geht so: Das siebte Bit der MAC-Adresse wird umgekehrt, und zwischen beiden Teilen der MAC-Adresse werden die Zeichen ff:fe eingefügt. Aus unserer MAC-Adresse 4061860c0e73 wird folglich der Interface Identifier 4261:86ff:fe0c:0e73.

Sie sehen in der Mitte die eingeschobenen Zeichen ff:fe. Außerdem hat sich die zweite Stelle der Adresse von 0 in 2 geändert — das kommt durch die Umkehrung des siebten Bits in der Binärdarstellung der Adresse.

Die Provider sind für die erste Hälfte einer IPv6-Adresse zuständig, also für das Präfix. Wie und in welcher Form die Provider die Präfixe zuteilen werden, steht noch nicht fest. Es gibt mehrere denkbare Szenarien.

Die Telekom will ihren DSL-Kunden /56-Präfixe zuweisen. Das bedeutet, die ersten 56 Bit der IPv6-Adresse gehören Ihnen, dem Telekom-Kunden. In unserer Beispiel-Adresse wäre dies 2003:0db8:85a3:08. Diese 14 Stellen Ihrer IPv6-Adresse ändern sich nie und sind weltweit einmalig.

Zurzeit wird diskutiert, dem Kunden neben der statischen IPv6-Adresse mehrere dynamische Adressen zuzuteilen. Ihr DSL-Anschluss meldet sich dann bei Webseiten mit einer zufälligen, dynamischen IPv6-Adresse, die keinerlei Rückschlüsse auf Ihren Anschluss zulässt. Sollte sich Ihr Provider jedoch entschließen, nur statische IPv6-Adressen zu verteilen, dann lässt sich Ihr DSL-Anschluss zweifelsfrei identifizieren.

Bislang war nur von den ersten 56 Bit beziehungsweise den ersten 14 Stellen des Präfixes die Rede, die die Telekom Ihnen zuweist. Das vollständige Präfix hat aber 16 Stellen. Um das Präfix zu vervollständigen, stehen also weitere zwei Stellen oder acht Bit zur Verfügung, die Sie beliebig verwenden dürfen. Das gibt Ihnen insgesamt 256 Möglichkeiten, ein komplettes Präfix zu bilden.

Die entsprechenden Tools vorausgesetzt können Sie dann zwischen diesen 256 Adressen hin und her wechseln.

Kleiner Exkurs: One-Click-Hoster wie Rapidshare gewähren ihren Nutzern nur ein beschränktes Datenvolumen, bevor die Wartezeit unerträglich wird oder gar kein Download mehr möglich ist.

Tools und Download-Manager trennen daher die Internetverbindung für kurze Zeit, um bei der Neueinwahl eine andere IPv4-Adresse zu bekommen. Die Folge: Der One-Click-Hoster erkennt den Anwender nicht mehr, und das volle Download-Volumen steht wieder zur Verfügung.

Das wird mit IPv6 vermutlich anders werden. Auch wenn Ihr Provider Ihnen dynamische Präfixe zuteilt, ändern sich diese laut Auskunft der Telekom nicht täglich wie noch bei IPv4. Die dynamischen Adressen sollen jeweils über einen längeren Zeitraum gelten. Dann wird es auch nichts mehr nützen, sich kurz aus- und wieder einzuloggen: Bei IPv6 bekämen Sie dieselbe IPv6-Adresse wieder, die Sie gerade hatten.

Das Betriebssystem ist zuständig für die Anonymisierung des zweiten Teils der IPv6-Adresse, den Interface Identifier. Dazu nutzt es die Privacy Extensions.

Der hintere Teil einer IPv6-Adresse, der Interface Identifier, ist so etwas wie ein weltweit eindeutiges Nummernschild für Internetgeräte.

Aus diesem Grund wurde der Standard RFC 4941 entwickelt, auch Privacy Extensions genannt. Diese Technik erzeugt einen zufälligen Interface Identifier für ein Netzwerkgerät, prüft, ob dieser in Ihrem Netzwerk noch frei ist, und weist ihn dann dem Gerät zu.

Zudem erhält der Interface Identifier ein Haltbarkeitsdatum. Im Schnitt beträgt die Haltbarkeit einen Tag. Danach generiert Windows 7 einen neuen zufälligen Interface Identifier und weist ihn wieder dem Gerät zu. Somit sind keine Rückschlüsse auf Hersteller oder Gerätekennung mehr möglich.

So prüfen Sie, ob bei Ihnen die Privacy Extensions aktiv sind: Navigieren Sie zu „C:\Windows\System32“ und klicken Sie „cmd.exe“ mit der rechten Maustaste an, um die Eingabeaufforderung mit Admin-Rechten zu starten.

Auf der Kommandozeile geben Sie dann diese Befehlsfolge ein:

1
2

netsh interface ipv6 show global

Sie erhalten eine Übersicht der globalen Netzwerkparameter.

Entscheidend ist die Zeile „IDs zufällig anordnen“. Steht der Wert auf „enabled“, dann sind die Privacy Extensions aktiviert. Andernfalls aktivieren Sie sie mit

1
2

netsh interface ipv6 set global randomizeidentifiers=enabled

Anders als bei Windows Vista und 7 ist IPv6 bei Windows XP standardmäßig nicht aktiviert. Es lässt sich aber ohne Mühe in wenigen Minuten nachinstallieren.

Das Internetprotokoll in der neuen Version 6 lässt sich unter Windows XP über eine grafische Bedienoberfläche oder in der Konsole nach-installieren.

Der erste Weg führt über „Start, Systemsteuerung, Netzwerkverbindungen“. Dort klicken Sie die Netzwerkkarte in Ihrem Computer mit der rechten Maustaste an und wählen anschließend aus dem Kontextmenü den Punkt „Eigenschaften“.

Nun klicken Sie auf „Installieren“ und dann auf „Protokoll“. Nach einem weiteren Klick auf „Hinzufügen…“ gelangen Sie zur Auswahl der Protokolle. Hier wählen Sie „Microsoft TCP/IP Version 6“ und schließen die Installation mit „OK“ ab.

Noch einfacher ist die Installation von IPv6 über die Konsole. Öffnen Sie ein Fenster mit [Windows R] sowie cmd und geben Sie netsh interface ipv6 install ein.

Fangen wir mit dem Einfachen an: Anwender von Windows 7 müssen kaum fürchten, dass ihre Internetgeräte von Webseiten wiedererkannt werden. Die Anonymisierung des hinteren Teils der IPv6-Adresse ist in Windows 7 bereits vorgesehen und eingeschaltet.

Unklar ist die Situation beim Präfix, dem vorderen Teil der IPv6-Adresse. Hier sind die Anwender ihrem Provider ausgeliefert.

Wir haben nachgefragt: Nur die Telekom hat sich bislang für dynamische IPv6-Adressen entschieden. Die 1&1 Internet AG, die kein eigenes DSL-Netz betreibt, sondern als Wiederverkäufer aktiv ist, führt noch Gespräche mit ihren Partnern. Auch Telefonica, die Muttergesellschaft von Alice, und M-Net konnten uns noch nicht sagen, ob sie dynamische oder statische IPv6-Adressen verwenden werden.