World IPv6 Launch am 6. Juni: Was Nutzer beachten müssen

Unter IPv4 bekommt man in der Regel eine dynamische IP-Adresse, die sich mindestens einmal am Tag ändert. Unter IPv6 soll das nicht so sein. Die Deutsche Telekom will mit der Einführung von IPv6 die Zwangstrennung abschaffen. Das heißt, die IP-Adressen bleiben mindestens so lange fix, bis der Router neu gestartet wird. Die IPv6-Adresse soll sich auch nach kurzer Trennung, etwa einer Stunde, normalerweise nicht ändern.

Das ermöglicht einem Websitebetreiber, einen Benutzer wiederzuerkennen. Wer beispielsweise in einem Webshop einkauft und Namen und Lieferadresse angibt, kann bei einem zweiten Besuch, bei dem man sich nur unverbindlich informieren möchte, identifiziert werden, auch wenn man sich nicht anmeldet.

Weiter ist problematisch, dass eine IPv6-Adresse aus zwei Teilen besteht. In der Standardkonfiguration werden die ersten 64 Bit der Adresse vom Provider vorgegeben (Netzadresse), die zweiten 64 Bit legt das Endgerät selber fest (Hostadresse). Dabei wird normalerweise die MAC-Adresse verwendet.

Um einen Nutzer wiederzuerkennen, reicht die Netzadresse oder die Hostadresse aus. Selbst wenn der Provider über einen Mechanismus erlaubt, die Netzadresse zu ändern, bleibt die Hostadresse in der Regel konstant.

Die Deutsche Telekom wird ihre eigenen Router mit einem Privacy-Button ausstatten. Sobald er gedrückt wird, bekommt der Nutzer eine neue Netzadresse. Damit das funktioniert, müssen das sowohl Router als auch Provider unterstützen. Hier sollten sich alle Routerhersteller und Provider auf einen gemeinsamen Standard einigen.

IPv6 Privacy Extensions

Damit man nicht an der Hostadresse wiedererkannt wird, bietet IPv6 das Konzept der temporären Adresse (Privacy Extensions). Dabei erhält ein Gerät mindestens zwei IPv6-Adressen, eine aus der MAC-Adresse abgeleitete und eine zufällige. Für ausgehende Verbindungen wird die zufällige Adresse genutzt, die sich regelmäßig ändert, etwa einmal pro Stunde, so dass man anhand der Hostadresse nicht identifiziert werden kann. Das Endgerät bleibt aber mit der aus der MAC-Adresse abgeleiteten IPv6-Adresse von außen erreichbar.

Unter Windows ab XP sowie Mac OS X ab Lion und iOS ab Version 4.3 ist dieses Konzept bereits standardmäßig aktiviert. Eine manuelle Deaktivierung ist etwa dann sinnvoll, wenn man sich über eine bestimmte IPv6-Adresse identifizieren muss. Das geht unter Windows mit dem Befehl netsh int ipv6 set privacy state=disabled. Fügt man noch store=persistent an, bleibt die Einstellung auch nach einem Reboot erhalten.

Bei den meisten anderen Betriebssystemen müssen die Privacy Extensions erst aktiviert werden. Bei iOS und Android ist dazu ein Jailbreak beziehungsweise Rooten erforderlich.

Unter Linux lassen sich die Privacy Extensions mit sudo sysctl -w net.ipv6.conf.<XXX>.use_tempaddr=2 aktivieren. <XXX> ist dabei durch das jeweilige Interface wie eth0 oder wlan0 zu ersetzen. Der Vorgang muss für alle Interfaces durchgeführt werden. Man kann die Einstellung permanent machen, indem man sie in die Datei /etc/sysctl.conf einträgt. Unter Android geht es genauso, aber nur wenn man Root-Rechte besitzt und Shell-Zugang hat.

Unter Mac OS X und iOS mit Jailbreak verwendet man den Befehl sudo sysctl -w net.inet6.ip6.use_tempaddr=1. Das ist eine globale Einstellung für alle Netzwerkinterfaces, die aber nach jedem Reboot wiederholt werden muss. Ein Eintrag in /etc/sysctl.conf ist möglich.

Weder die Privacy Extensions noch die Änderung der Netzadresse schützen natürlich vor anderen Wiederkennungstechniken wie Cookies oder dem digitalen Fingerabdruck im Browser. Auch auf die Praxis vieler Provider, den Anschlussinhaber auf einen Gerichtsbeschluss zu nennen, beispielsweise bei Filesharing-Abmahnungen, hat der Adresswechsel keinen Einfluss. Vorerst ist es allerdings so, dass es noch keine "gerichtsfeste" P2P-Schnüffelsoftware gibt, die IPv6 unterstützt.

Datenschutz versus Erreichbarkeit

Verbessert man seinen Datenschutz, indem man Netz- und Hostteil seiner IPv6-Adresse häufig wechselt, kann man seine Rechner und Geräte zu Hause natürlich nicht auf einfache Weise erreichen.

Die Privacy Extensions mit der zusätzlichen temporären IPv6-Adresse, die bei ausgehenden Verbindungen verwendet wird, sind für den Hostteil eine perfekte Lösung. Über die zweite, feste IPv6-Adresse ist die Erreichbarkeit gewährleistet. Die feste Hostadresse wird beim Besuch einer Website nicht preisgegeben.

Ändert sich die Netzadresse, kommt man von außen nicht mehr an seine Geräte. Hier könnte DynDNS helfen. Obwohl einige DynDNS-Dienste, etwa dyn.com, grundsätzlich IPv6 unterstützen, ist die Realisierung nicht optimal. Es fehlt eine Möglichkeit, den Netzteil einer Adresse zu ändern, während die Hostteile konstant bleiben. Dann könnte bei einem Adresswechsel ein Client auf dem Router die Netzadresse ändern und alle Geräte wären wieder erreichbar.

Mit der heutigen Realisierung müsste jedes Endgerät seine IPv6-Adresse selbst komplett ändern. Da aber viele Consumergeräte das nicht unterstützen, ist ohne Unterstützung der DynDNS-Dienste nichts zu machen. Es bleibt zu hoffen, dass sich das in Zukunft ändern wird.