In einem Siegeszug sondersgleichen erobert sich das Internet momentan die Gunst der Anwender. Doch waehrend die Begeisterung ueber das World Wide Web als Informationsmedium kaum zu bremsen ist, sieht es bei der Mutter aller Netze in puncto INTERNETworking aufgrund gravierender Sicherheitsmaengel noch duester aus - Firewall-Konzepte und das Geschrei nach neuen Protokollen haben daher Hochkonjunktur. Grosse Hoffnung knuepft die Internet-Gemeinde in diesem Zusammenhang an das IP-Protokoll der naechsten Generation, das mit Authentifizierungs- und Verschluesselungsdiensten sowohl das INTERNETworking als auch den elektronischen Handel sicherer machen soll.
Mit gedaempfter Musik empfaengt die "Electronic Mall" die abendlichen Einkaufsbummler, die sich allen Ladenschlusszeiten zum Trotz zu spaeter Stunde noch zur Shopping-Tour aufgemacht haben. Ein Mausklick nach links, und der elektronische Kiosk offeriert dem virtuellen Mall-Besucher die neuesten Nachrichten aus aller Welt - je nach Geschmack in Form multmedialer Videoclips oder als einfache Textnachrichten. Zwei Mauslaengen zurueck steht der Internet-Einkaufsbummler vor dem Angebot, das seinem Fernweh entgegenkommt: Per digitalen Filmclips offeriert der Reiseveranstalter Last-Minute-Trips zu ausgesuchten Zielen in aller Welt. Der einsame Strand einer Karibik-Insel verfuehrt zum sofortigen Ordern. Also mit der Maus auf das Buchungs-Icon, kurz die Kreditkartenummer eingeben und uebermorgen losfliegen?
Doch im Kopf schrillen die Alarmglocken. Die persoenlichen Kreditkartendaten einem Netz anvertrauen, das bis vor kurzem weniger fuer seine Inhalte als vielmehr fuer die Hacker-Einbrueche in Grossrechner von Organisationen wie etwa der Nasa bekannt war und auf dem sich zwischen 20 und 30 Millionen User ohne sonderliche Sicherheitsmassnahmen tummeln? Nein danke! Moegen Bedenken dieser Art noch so manchen virtuellen Einkaeufer abschrecken, so schaetzen andererseits immer mehr elektronische Weltenbummler wie beispielsweise die Mitarbeiter der Deutschen Presseagentur (dpa) in Hamburg oder auch Redakteure der COMPUTERWOCHE das Informationsangebot des Internets.
Ausserhalb Amerikas ist, wie Bruno Lortz, Chef der Abteilung "Kommunikation" am Rechenzentrum der Universitaet Karlsruhe sowie Leiter des DE-NIC, berichtet, die deutsche Internet-Community eine der am schnellsten wachsenden Domains, so die Bezeichnung der Netzwerker fuer ihre Subnetze. Oberstes deutsches Subnetz im internationalen Verbund ist in der Regel die Domain DE, unterhalb derer wiederum weitere Netze und Knoten angeordnet sind.
Wie Lortz auf der diesjaehrigen Opennet-Konferenz der "Deutschen Interessen-Gemeinschaft Internet" (Digi e. V.) weiter ausfuehrte, betreiben die Karlsruher im Rahmen des "Interessenverbandes zum Betrieb eines deutschen Network Information Centers", kurz IV- DENIC, den Primary-Name-Server fuer die Toplevel-Domain DE, der saemtliche Daten ueber den deutschen Teil des Netzes im Internet bereitstellt.
Darueber hinaus ist das DENIC fuer die Registrierung der deutschen Domains veranwortlich. Seit dem 1. Januar 1994 konnten allein in Deutschland rund 500 neue Domains registriert werden. Dieses "enorme Wachstum" entspricht nach den Berechnungen des Karlsruher Kommunikationsverantwortlichen einem Zuwachs von rund 40 Prozent auf rund 1500 offizielle Domains im Oktober.
Zwar sind laut Andreas Schachtner, Geschaeftsfuehrer beim Service- Provider Eunet Deutschland GmbH, hierzulande noch keine Faelle bekannt, bei denen Nutzer - wie in den USA zuletzt haeufig geschehen - aufgrund der anhaltenden Ueberlastung des Netzes ihren Internet-Account wieder kuendigten - doch auch Schachtner sieht in dem ungebremsten Wachstum eine "inhaerente Herausforderung", die moeglicherweise eine Umstellung der Backbones erfordert und die Service-Provider zum Leitungs-Sharing zwingt.
So liegt es eigentlich auf der Hand, dass der Erfolg des Internets und des ihm zugrundeliegenden TCP/IP nicht ueberall auf ungeteilte Begeisterung stoesst. Ruediger Volk von der Informatikrechner- Betriebsgruppe der Universitaet Dortmund hatte beispielsweise nach eigenem Eingestaendnis schon laenger das Gefuehl, dass die wachsende Beliebtheit des Netzes zu einem Fluch zu werden drohte. Denn aehnlich wie das vierstellige Postleitzahlensystem der Bundespost den Anforderungen im wiedervereinten Deutschland nicht mehr gewachsen war, konnte der vom Internet-Protokoll IP bereitgestellte Adressraum nicht mehr mit dem Wachstum der Netzgemeinde Schritt halten.
Im Maerz 1992 zeichnete sich zwar mit dem klassenlosen IP-Routing- Verfahren CIDR eine kurzfristige Loesung fuer die Schwierigkeiten mit dem knapper werdenden Adressraum des IP-Protokolls ab; doch mit den Subnetzen kam ein neues Problem auf. Die Groesse der Routing- Tabellen drohte die am Markt verfuegbaren, fuer die Verteilung der Datenpakete zustaendigen Router zu ueberfordern und bedingte einen kostspieligen Speicherausbau.
Neben dem knappen Adressraum liess, wie Volk auf der Opennet berichtete, ein geaendertes Anforderungsprofil die Entwicklung einer neuen Protokollgeneration ratsam erscheinen. Ganz oben auf der Prioritaetenliste fuer eine neue IP-Generation standen die Beruecksichtigung der Sicherheitsprobleme und im Hintergrund natuerlich der Wunsch nach der Moeglichkeit sogenannter Plug-and- Play-Installationen, um im Masseneinsatz auch kleinere, bisher nicht vernetzte Einrichtungen wie etwa Zahnarztpraxen einzubinden. Des weiteren, so das Anforderungsprofil, soll das kuenftige Protokoll die Verschiebung von Adressplaenen erleichtern. Diese ist beispielsweise notwendig, um moegliche Doubletten bei der Rechnerhausnummer zu vermeiden, wenn etwa Unternehmen ihre riesigen geschlossenen TCP/IP-Netze, die, wie bei BASF, Phantasieadressen verwenden, an das oeffentliche Internet anschliessen wollen. Darueber hinaus soll das Protokoll der naechsten Generation auch neuartigen Anwendungen mit besonderen Anforderungen an die Quality-of-Service-Parameter gerecht werden.
Aus Anwendersicht duerfte neben dem groesseren Adressraum die Beruecksichtigung des Sicherheitsaspektes zu den wichtigsten Neuerungen der neuen IP-Generation (siehe Kasten) gehoeren. Die entprechenden Vorschlaege umfassen im wesentlichen zwei Punkte: Authentifikation und Verschluesselung. Zwar schuetzt das Authentifikationsverfahren nicht vor einem Abhoeren der Datenstroeme, aber es bietet zumindest Sendern und Empfaengern einen Schutz vor verfaelschten oder vorgespiegelten Daten und hat zudem den Vorteil, dass es keine Export- und sonstige Kryptographie- Politik-Probleme gibt, die ansonsten, wie der Dortmunder aus der praktischen Arbeit berichtet, immer groessere Ausmasse annehmen. Neben der restriktiven Verschluesselungspolitik der Amerikaner gibt es auch in Europa zahlreiche Versuche, den Versand verschluesselter Daten zu verbieten - oder wie nach Volks Kenntnis beispielsweise in Frankreich nur dann zu erlauben, wenn der Geheimdienst zuvor den entsprechenden Verschluesselungsalgorithmus bekommen hat. Deshalb zweifelt der Informatiker auch daran, dass diese Funktionalitaet in der Praxis ueberhaupt genutzt werden kann.
Ein Loesungsansatz fuer diese politischen Kryptographie-Probleme ist - wie Volk nach Studium der Standardisierungsvorschlaege konsterniert feststellt - dort nicht zu finden. Ebenso fehlen genauere Ausfuehrungen, wie die Sicherheitsfunktionen von den Applikationen angefordert werden. Ausserdem ist noch nicht abschaetzbar, wieviel Rechenzeit hierfuer noetig ist und wie gross die entsprechende Verzoegerung ausfaellt.
Noch bleibt abzuwarten, ob die vorgeschlagenen Sicherheitsmechanismen ausreichen, um die Skepsis der Anwender in Sachen Datensicherheit im Internet zu zerstreuen. Zumindest zum heutigen Zeitpunkt ist das Sicherheitsmanko des Netzes nach einer Analyse der Gartner Group fuer professionelle Anwender die groesste Hemmschwelle, wenn es darum geht, die unternehmensweite Datenkommunikation via Internet zu realisieren - eine Einschaetzung, die zahlreiche Praktiker auf der Opennet in Goettingen bestaetigten: Zwar wird beispielsweise die Routing- Faehigkeit von TCP/IP im Gegensatz zu der von Netbeui im unternehmensinternen Netz hoch geschaetzt, doch kaum ein professioneller Anwender kaeme auf die Idee, seine Daten dem oeffentlichen Internet anzuvertrauen. Deswegen erntete der Vorschlag eines SAP-Vertreters, den R/3-Support beim Kunden via IP-Anschluss zu bewerkstelligen, bei den Opennet-Teilnehmern nur Kopfschuetteln, zumal die Walldorfer in Sachen Datensicherheit auf die Verschluesselung durch einen Kompressionsalgorithmus vertrauen.
So verwundert es nicht weiter, dass zahlreiche Anwender wie etwa Uwe Keyser, Communications Engineer bei dpa, zwar das Informationsangebot des Internets schaetzen, sich aber, wenn es um unternehmensinterne Daten geht, lieber auf klassische Punkt-zu- Punkt-Verbindungen via Modem verlassen - eine Einstellung, die man bei der MAN Roland Druckmaschinen AG ebenfalls teilt. Der Druckmaschinenhersteller besitzt zwar einen offiziellen Internet- Account, nutzt die zahlreichen FTP- und WWW-Server aber nur als Informationsservice fuer seine Entwicklungsingenieure.
Derartige exemplarische Anwendungsszenarien sind Schachtner aus seiner Praxis als Eunet-Geschaeftsfuehrer vertraut: Waehrend rund 80 Prozent seiner Kunden das Internet und die WWW-Server fuer den Support sowie im Service- und Informationsbereich nutzen, vertrauen nur 20 Prozent beim Datenaustausch mit Niederlassungen und Kooperationspartnern auf das INTERNETworking. Allerdings steigt dieser Anteil laut Schachtner stetig. Zudem muss die Sicherheitsproblematik kein unumstoessliches Hindernis fuer eine Internet-Anbindung sein, da die Netze mit sogenannten Firewalls durchaus abgeschottet werden koennen. Jedoch sollte das Problem, wie Volk erlaeutert, nicht blauaeugig angegangen werden: Mit den Firewalls ist ein Netz so zu schuetzen, dass keinerlei Zugriff von aussen mehr erfolgen kann. Damit ist dann aber auch kein externer Zugang fuer eventuelle Wartungsarbeiten mehr moeglich. Deshalb raet der Praktiker den Anwendern vor dem Aufbau einer Firewall, eine entsprechende "Sicherheits-Policy" festzulegen, die genau definiert, wer eventuell von aussen Zugriff auf das Netz haben muss.
Sicherheit durch Firewall-Konzept
Der Dortmunder favorisiert dazu ein dreistufiges Firewall-Konzept: Ein Router, der die Routing-Tabellen der realen Internet-Welt beinhaltet, repraesentiert nach aussen ein Phantasiebild des internen Netzes, um Hackern keine Vorstellung vom wirklichen Netzaufbau innerhalb des Unternehmens zu bieten. Als zweite Stufe dient ein Server mit den Login-Accounts, der gleichzeitig auch eventuelle Angriffe auf das System protokolliert und die Netzadresse des Angreifers erfasst. Drittes Bollwerk in diesem Firewall-Konzept ist wiederum ein Router, der dem internen Netz ein Phantombild der Aussenwelt vorspiegelt.
Auf ein aehnliches Firewall-System verlaesst man sich am Europaeischen Institut fuer Systemsicherheit (EISS) an der Universitaet Karlsruhe. Die Protokollierung etwaiger Angriffe auf das EISS-Netz uebernimmt hier ein alter Nadeldrucker, dessen saegender Laerm Hochschullehrer Thomas Beth als akustisches Alarmsignal im Falle eines unbefugten Eindringversuches schaetzt. Darueber hinaus verlassen sich die Karlsruher nicht nur auf ihre Firewall-Technik, sondern haben zudem den eigenen Authentifikationsdienst Selane entwickelt, um so den fuer Beth "klassischen IBM-Fehler des Trusted Host, der Daten faelschen kann", zu vermeiden.
Chipkarten gewaehrleisten die Authentizitaet im Netz
Das elektronische System, das mit Chipkarten aehnlich dem elektronischen Krankenschein oder den Telefonkarten arbeitet, bietet neben einer Authentifikation von Sender und Empfaenger auch eine Verschluesselung der Daten. Der wesentliche Vorteil des Systems, das momentan als Referenzloesung bei Hoechst in Frankfurt im Einsatz ist, liegt fuer Beth darin, dass alle Sicherheitsverfahren auf der Karte stattfinden und somit von einem Unbefugten nicht an einem freistehenden Rechner ausgespaeht werden koennen. Zudem wird im Gegensatz zu anderen Systemen das Passwort nicht ueber das Netz uebertragen, sondern die Kommunikationspartner beweisen anhand von Plausibilitaetsalgorithmen nur, dass sie im Besitz des gueltigen Passwortes sind.
Zumindest die Digi-Mitglieder waren auf der Opennet in Goettingen so von dem Verfahren begeistert, dass sie Beth und seiner Mannschaft eine Moeglichkeit geben wollen, diese Technologie auf dem IETF-Treffen im Dezember vorzustellen. Digi-Vorstand Hubert Martens ist sich sicher, dass Selane bei der IETF auf offene Ohren stoesst. Eine Vermutung, die nicht abwegig ist, koennte doch das Verfahren neben dem gesicherten INTERNETworking einen Weg in Richtung mehr Sicherheit beim elektronischen Handel aufzeigen, da Haendler und Kaeufer auf diese Weise Gewissheit ueber die Authentizitaet des Kommunikationspartners haetten. Darueber hinaus setzen Anwender und Anbieter ihre Hoffnung auf eine Neuentwicklung, das sogenannte "Secure HTTP", damit der eingangs geschilderte Electronic Marketplace nicht an der Unsicherheit der Zahlungsverfahren scheitert.
Die neue IP-Generation
Bereits im Dezember will die Internet Engineering Task Force (IETF) auf ihrem Treffen in San Jose Naegel mit Koepfen machen und die Standardisierungsvorschlaege fuer das IP der naechsten Generation abschliessend diskutieren.
Wesentliche Neuerung des Protokolls, das die Versionsnummer 6 traegt, ist die Erhoehung des Adressraumes auf 16 Byte, also 128 Bit; bisher standen hierzu bei der Version 4 32 Bit zur Verfuegung - ein Manko, das zu dem bekannten Mangel an freien Rechnerhausnummern fuehrte. Von heutiger Warte gesehen, duerften die 128 Bit langen Adressen mehr als genug Adressraum fuer die naechsten Jahre bereitstellen. Darueber hinaus soll mit dem neuen IP der Versand von Paketen moeglich sein, die groesser als 64 KB sind. Zudem beinhalten die Entwuerfe Integrationsvorschlaege fuer die Adressraeume anderer Protokollwelten wie IPX, IPv4 oder ISO NSAP. Mit dem neuen IPv6 sind die Anwender laut Volk, fuer den bereits das alte IP im Vergleich zum OSI-Protokoll Gold war, gut "fuer das Leben nach OSI" geruestet.
Um die Koexistenz des neuen IPv6 in Verbindung mit existierenden IPv4-Systemen zu erleichtern, schlaegt das Protokoll ferner ein Tunneling sowie Encapsulation durch die alte Infrastruktur vor. Zur weiteren Verbreitung von TCP/IP im Massenmarkt bietet die neue Spezifikation auch die Moeglichkeit der Adress-Autokonfiguration, um so eine moeglichst einfache Installation bei Anwendern ohne entsprechendes Netz-Know-how zu gewaehrleisten. Zum anderen besteht, wie Volk berichtet, mit dem IP der naechsten Generation die Option zur "schmerzlosen" Umadressierung eines bestehenden Netzes.
Fuer Juli 1995, so der vorlaeufige Fahrplan, sind Beta-Releases des neuen IP geplant. Nach Abschluss der Skalierungstests sollen dann im Dezember 1995 erste Produktversionen der IPv6-Software auf den Markt kommen.