Gratis
19. Juni 2017 - Netzwerksicherheit

IPv6: So verhindern Sie Schattennetze

Datenrisiken durch eine fehlerhafte Umstellung auf das neue Internet-Protokoll IPv6 sind immer noch nicht Geschichte. Auch 2017 drohen die sogenannten Schattennetze, wie aktuelle Warnungen der NATO zeigen. Was können Sie dagegen tun?

IPv6 ist das neue Internetprotokoll Fehlende Kontrolle und Überwachung der Schattennetze bedroht die Netzwerksicherheit (Bild: koo_mikko / iStock / Thinkstock)

Umstellung auf IPv6: Bei uns kein Thema mehr?

Seit Jahren sind IPv6 und der Wechsel von IPv4 hin zu IPv6 ein wichtiges Thema. Trotzdem ist die Umstellung auf das neue Internet-Protokoll noch in vollem Gange.

Wie gering der Anteil an Datenverkehr über IPv6 im Vergleich zu IPv4 ist, zeigen Übersichten von Google oder Cisco. Auch der Deutsche IPv6 Rat informiert über die laufende Umstellung.

Schattennetze durch IPv6

Doch warum sollte das betriebliche Datenschutzbeauftragte (DSB) interessieren? Zu den Gründen gehören die gefährlichen Schattennetze. Denn die laufende Umstellung auf IPv6 kann zu Parallelstrukturen führen.

Mit einem Schattennetz ist ein Netzwerk gemeint, das parallel zum bisherigen Netzwerk auf IPv4-Basis existiert. Es entsteht dadurch, dass in vielen Unternehmen ein Datenaustausch über IPv6-Netze möglich ist, ohne dass sich die betroffenen Firmen dessen bewusst sind.

Die Folge: Die Netzwerksicherheit in den alten IPv4-Netzen mag funktionieren. Die IT überwacht und kontrolliert aber nicht die neuen IPv6-Funktionalitäten – mit womöglich gefährlichen Folgen für die Datensicherheit.

NATO-Warnung

Dass es sich nicht nur um Einzelfälle handelt,  zeigt die aktuelle Warnung in einer NATO-Sicherheitsstudie (PDF) des NATO Cooperative Cyber Defence Centre of Excellence (CCDCE).

IPv6 Tunnelling Attacks

Sind die Firewalls und IDS(Intrusion-Detection-System)-Lösungen nicht auf Angriffe vorbereitet, die über IPv6-basierte Verbindungen kommen, und erkennen sie IPv6-Datenverkehr nicht korrekt, bemerken sie Angriffe über das unerkannte Netz weder noch wehren sie sie ab. Solche Angriffe nennt man „IPv6 Tunnelling Attacks“.

Achten die Sicherheits-Lösungen, die die IT-Sicherheit prüfen (etwa Security-Policy-Management-Lösungen), nicht auf IPv6-Funktionen, fällt diese Schwachstelle bei den Firewalls und IDS-Systemen schlicht nicht auf. Attacken dringen tief in das Netzwerk ein, ohne dass die alten Warnsysteme auf IPv4-Basis Alarm schlagen.

Über nicht kontrollierte IPv6-Verbindungen könnten also Schadprogramme ins Firmennetzwerk gelangen oder Angreifer unerlaubt vertrauliche Daten aus dem Netzwerk schleusen.

Privatgeräte und Home-Office nicht vergessen

Denken Sie in Zeiten von BYOD (Bring your own Device = betriebliche Nutzung von privaten IT-Geräten wie Smartphones, Notebooks und Tablets) und von Telearbeit daran, dass nicht nur das Firmennetzwerk mit Schattennetzen umgeben sein könnte. Auch im Home Office und bei der Nutzung mobiler Endgeräte sind möglicherweise unkontrollierte IPv6-Verbindungen vorhanden.

Was tun gegen Schattennetze?

Sprechen Sie die IT-Leitung gezielt auf die IPv6-Fähigkeit der Netzwerksicherheit an, damit das Thema „sichere Netze“ wirklich in trockenen Tüchern ist. Klären Sie dabei insbesondere:

  • Wie steht es um die IPv6-Fähigkeit aller betrieblich genutzten Geräte und Softwarelösungen?
  • Unterstützen die Sicherheits-Lösungen IPv6?
  • Überwacht die IT neben den Netzwerk-Verbindungen nach IPv4 auch die neuen Verbindungen nach IPv6, um Schattennetze zu verhindern?

Download: Checkliste Datensicherheit und Umstellung auf IPv6


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Analyst und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln