ITU diskutiert bessere Nachverfolgbarkeit von IP-Adressen

In der International Telecommunication Union (ITU) wird ein Verfahren diskutiert, mit dem IP-Adressen besser nachverfolgt werden können. Laut einem von CNET News veröffentlichten vorläufigen Dokument der ITU-Arbeitsgruppe 17 (SG 17) soll "IP Traceback" dabei helfen, Denial-of-Service-Angriffe zu verhindern oder Netzkriminellen auf die Spur zu kommen, aber auch Anwendungen im Netz insgesamt verlässlicher zu machen. Datenschutzexperten warnen dagegen vor möglichem Missbrauch. Besonderes Misstrauen rief offenbar der Umstand hervor, dass der erste Vorschlag von dem Forscher Tian Huirong kommt, der an der Chinese Academy for Telecommunication Research (CATR) arbeitet, die dem chinesischen Ministry of Information Industry untersteht.

Das Misstrauen von Datenschutz-Aktivisten richtet sich nicht zuletzt dagegen, dass der erste Entwurf unter Einsatzmöglichkeiten nicht nur das Zurückverfolgen von IP-Adressen bei DDoS Angriffen verzeichnet, sondern auch das "Trace-Back normaler IP-Pakete". Darüber hinaus weist Tian auf weitere zu lösende Probleme hin, darunter die dynamische IP-Adressvergabe, Spoofing und die Zurückverfolgung über von verschiedenen Domains gemanagten Adressen. Ob der Standard dafür tatsächlich neue technische Ideen bereithält oder ob es schlicht um die Vereinbarung entsprechender Vorgaben für die Transporteure von IP-Paketen gibt, ist vorerst unklar. Vor 2009 sei nicht mit der Verabschiedung zu rechnen, äußerten sich Mitglieder der SG 17 Arbeitsgruppe gegenüber CNET.

Eine Standardisierung der "IP-Traceback"-Funktionen ist laut Tians Vorschlag während einer Sitzung im vergangenen April als eines von mehreren neuen Arbeitsthemen beschlossen worden. Inzwischen hat Tian eine Reihe von Dokumenten zu Anforderungen und Einsatzmöglichkeiten von "IP Traceback" vorgelegt. Ursprünglich eingebracht worden war das Thema laut Bericht von Tony Rutkowski, VeriSign-Vizepräsident und einer der Chefs der SG 17, vom chinesischen Hardwareausstatter ZTE. Die US National Security Agency, die ebenfalls in der SG 17 mitarbeitet, zog es vor, keinen Kommentar abzugeben.

Öffentlich gemacht hatte den vorläufigen Entwurf Steve Bellovin, Netzsicherheitsexperte der Columbia University. Bellovin hält "IP Traceback" für wenig wirkungsvoll gegen die Mehrheit aktuell bekannter Attacken und warnte vor der Gefahr für die Meinungsfreiheit. Am Rande einer Konferenz der European Network and Information Security Agency (ENISA) im griechischen Heraklion sagte er gegenüber heise online, er halte eine Garantie für notwendig, dass Regierungen zunehmende Datenzugriffe und Eingriffe in die Netzwerke nicht missbrauchen. "Dafür wird man bei Regierungen in aller Welt sehr unterschiedliche Voraussetzungen finden", meint Bellovin.

Kritisch äußerte er sich auch zu einem anderen, bereits weiter gediehenen Vorschlag der Studiengruppe 17. Dabei handelt es sich um den Datenfluss im künftigen Standardmodell für Identitätsmanagement in den Netzen. Die vom Identitätsprovider ausgestellten Zertifikate für Transaktionen im Netz sollen laut den von VeriSign-Vertretern favorisierten Grundsätzen zentral vom jeweiligen Identitätsprovider an den Transaktionspartner versandt werden. Damit würden sich bei einem Unternehmen wie VeriSign zentral eine Menge Daten über den Identitätsmanagementkunden ansammeln. Eine solche Zentralisierung sei aus Datenschutzgründen sicherlich abzulehnen, befand Bellovin. Auch deutsche Datenschützer beurteilen das zentralisierte Datenflussmodell kritisch. (vbr)