Seite 3: Bundescloud erstmal nur auf IPv4

Inhaltsverzeichnis

Der Stau der Vorhaben bei der Modernisierung der eigenen Netze hat Konsequenzen für davon abhängige Pläne. So geht die neue Bundescloud am 1. Juli erst einmal ohne IPv6 an den Start, bestätigt Carsten Brückner vom Informatiktechnikzentrum Bund (ITZBund) am Rande der RIPE-Tagung. Aktuell nutzen 50 Behörden einen Teil der Bundeslcoud-Dienste.

Am 1.7. 2022 schließt man 13 Behörden an eine separate Bundescloud-Instanz unter dem Namen "Betriebsplattform Bund" an. Im kommenden Jahr sollen 18 weitere dazu kommen und bis 2028 plant man, insgesamt 73 Behörden mit Infrastructure, Platform und Software as a Service in einer einheitlichen Umgebung via unterschiedlicher Cloudanbieter zu versorgen.

Die Nutzung von IPv6 scheitere vorerst daran, dass die Weitverkehrsnetze die neuen Adressen eben noch nicht anbieten. Das bedeutet, dass man mit IPv4 starten und die Cloud später auf IPv6, beziehungsweise Dual-Stack migrieren muss.

In Eigenregie startet das ITZBund im Januar 2023 dann aber auch noch ein Sisyphos-Projekt anderer Art: die Prüfung von rund 1500 Anwendungen aus dem Umfeld der Bundesbehörden auf ihre IPv6-Fähigkeit.

Das ITZBund wurde ursprünglich vom Bundesministerium für Finanzen gegründet und ist seit 1.1.2021 eine Anstalt des Öffentlichen Rechts wie die BDBOS. Wie letztere stand auch das ITZBund als mögliche Betreiberin der Netze des Bundes zur Diskussion. Dritter Bewerber war das Bundesverwaltungsamt, und es gibt Stimmen, die die Entscheidung für BDBOS rückblickend für problematisch halten.

Adress-Kollisionen

Fragt man beim Bundesinnenministerium nach, gibt es noch kein Problem durch die verzögerte Einführung der neuen IP-Adressen. "Der für die Bundesbehörden vorgesehene Adressvorrat des derzeit noch vorherrschenden Internet-Protokolls IPv4 ist bei der zentralen Instanz für die Vergabe von IP-Adressen nahezu erschöpft, eine Migration in das Internet-Protokoll IPv6 daher für die Bundesbehörden wie auch alle anderen Stellen der öffentlichen Verwaltung in Deutschland geboten", so die Sprecherin des Ministeriums. Weil man 2009 bei der zuständigen europäischen Adressvergabeinstanz RIPE NCC einen ausreichend großen IPv4-Adressraum für die gesamte öffentliche Verwaltung Deutschlands beantragt habe, sei eine Adressknappheit abgewendet.

Aus Sicht von Helge Holz, Netzwerkexperte des IT-Dienstleisters Dataport, gibt es in der Praxis durch die Länder und Städte sehr wohl Probleme mit fehlenden IPv4-Adressen. Wer sich nicht noch IPv4-Adressblöcke über das RIPE beschafft habe, bevor dort der Pool leerlief, bei dem seien die Adressen jetzt knapp. Sachsen habe beim Bund angeklopft, um noch an Adressen zu kommen. Bürger habe zugleich beim RIPE nachgefragt, ob zurückkommende Adressen, die ursprünglich von der öffentlichen Hand genutzt wurden, dem Bund wieder zur Verfügung gestellt werden könnten.

Viel schneller, als man dies in den Ländern erwarte, würden Rest-Zuteilungen oder noch vorhandene Reserven knapp. Wenn von einem kleinen Block schnell 1000 Adressen an die Schulen ausgegeben würden, und nur 1024 zur Verfügung standen, gibt es nichts mehr zu verteilen. In Hamburg, wo man mit einem Class B gut versorgt schien, merkte man plötzlich, wie schnell die Adressen zur Neige gingen, als alle Verwaltungen mit Computern und Druckern ausgestattet werden sollten. Auch hier musste man im Client-Bereich auf die privaten 10er-Adressen zurückgreifen.

Als Nächstes werde dann zu privaten, internen IPv4-Adressen aus dem dafür vorgesehenen 10.0.0.0 bis 10.255.255.255 (*10*/8 Präfix) und 172.16.0.0 bis 172.31.255.255 (172.16/12 Präfix) zurückgegriffen. Sobald sich die entsprechenden Landesverwaltungen, Gebietskörperschaften oder Kommunen dann aber etwa im gemeinsamen Rechenzentrum – Dataport betreibt zwei solche für mehrere Länder – treten die Adresskonflikte zu Tage. Wenn das BKA dann etwa möchte, dass ein LKA auf einen hinter einer 172.16-Adresse stehenden Videoserver des Amtes zugreift, geht das nicht.

Holz schätzt, dass die Kernnetze selbst bei der Umstellung nicht das große Problem verursachen sollte. In den von Dataport betriebenen landesübergreifenden Zugangsnetz mit 2700 km Glasfaser ist Ipv6 bereits eingezogen. Die vielen Spezialanwendungen seiner Tausenden von Kunden halten ihn mehr auf Trab. Er gehört überdies zu denen, die mit dem BDBOS nicht ganz zufrieden sind. Oft würden Anfragen etwa auf die Zuteilungen von de.government-IPv6-Adressen, so sagt er, schlicht nicht beantwortet.