Das Internet: Ein historischer Fehler
Exkurs zu Teil III: Ende des Internet?
Viele Nutzer, die während der in den 90er Jahren des letzten Jahrhunderts stattgefundenen Transformierung des Internet in ein Massenmedium hinzu kamen, halten die Anonymität und das daraus folgende Fehlen von Verantwortung für eine grundlegende Eigenschaft im Design des Internet. Oder sie nehmen an, es sei bedingt durch die technische Implementierung des Netzes. Ironischerweise könnte ihre Vorstellung kaum verkehrter sein: Das heutige anonyme Internet ist zum größten Teil ein Unfall, verursacht durch Veränderungen in der Technik, die wegen des exponentiellen Wachstums nötig wurden, um so eine Architektur aus einem anderen Zeitalter an neue Erfordernisse anzupassen.
Dieser Exkurs ist sehr technisch ausgerichtet. Politikorientierte Leser, die mit den Details und der Geschichte des Internet nicht vertraut, aber willens sind, meinen Versicherungen im letzten Absatz glauben zu schenken (oder wenigstens ihren Unglauben für diesen Abschnitt des Dokuments abzulegen), sollten sich nicht genötigt fühlen weiterzulesen.
Wie es einst war
Als das ARPANET ursprünglich erfunden wurde - und auch noch für lange Zeit vor dem Massenauflauf in den 90ern -, war der Zugriff mit sehr viel Verantwortung verbunden. Jede Maschine im Netz hatte eine einzigartige Internet-Protokoll (IP) Adresse, eine 32-Bit-Zahl, die man normalerweise in ihrer "dotted quad" Form sieht, wie etwa 192.168.114.31. So gut wie alle Maschinen im Internet waren dauernd mit dem Netz über Standleitungen verbunden (oder in einem lokalen Netzwerk, welches dann über eine Standleitung mit dem Internet verbunden war).
IP-Adressen wurden dauerhaft zugeteilt, eine pro Maschine. Dabei wurden Blöcke von fortlaufenden Nummern an Organisationen vergeben, die selbst für die Zuteilung der Adressen innerhalb eines Blockes zuständig waren. Eine Organisation, die für solch einen Block zuständig war, konnte die Zuteilung von IPs aus einem Teilblock ihres Bereiches an eine andere Instanz weitergeben. In jedem Falle aber war es möglich herauszufinden, wer letztendlich für eine spezielle Adresse im Internet verantwortlich war.
Fourmilab wurde z. B. im Jahr 1994 ans Internet angeschlossen, in den letzten Tagen dieser Ära. Fourmilab "besitzt" einen Block von 256 aufeinanderfolgenden IP-Adressen beginnend mit 193.8.230.0, zugeteilt vom RIPE Netzwerk-Koordinationszentrum. RIPE selbst ist zuständig für alle Adressen von 193.0.0.0 bis 193.255.255.255. Beginnend mit einer IP-Adresse, z. B. 193.8.230.138, kann jeder mit einer einfache Folge von Befehlen herausfinden, wer dafür zuständig ist, dass diese Maschine im Internet zu sehen ist: nämlich ich.
Es waren auch während der längsten Zeit der Entwicklungsphase des Internet die meisten Maschinen im Netz "Timesharing"-Systeme, die viele Nutzer hatten (Dutzende, Hunderte oder sogar Tausende bei einigen Universitäten und großen Firmen). Jeder Nutzer hatte einen Login-Zugang, angelegt vom Administrator des Systems. Obwohl viele Nutzer den Internetzugang über die IP-Adresse eines solchen Timesharingsystems teilten, wurde ihnen der Zugang explizit gewährt und alle Aktivitäten wurden als Teil der Abrechnung für die verbrauchte Rechenzeit, die solche Systeme aufzeichneten, ebenfalls festgehalten.
In einer solchen Umgebung, die so war, wie das Internet ursprünglich erdacht wurde, war jeder individuell sehr gut für seine Aktivitäten zur Verantwortung zu ziehen. Und diejeningen, die in dieser Zeit konnektiert waren, blieben so verantwortlich. Stellen Sie sich beispielsweise vor, eine Maschine im Fourmilab-Adressraum machte etwas Verwerfliches: ungewollte Emails weiterleiten, andere Maschinen auf Sicherheitslücken scannen oder ein Archiv mit Dateien, die das Copyright Dritter verletzen, bereitstellen. Jemand müsste lediglich die IP-Adresse des Schuldigen notieren und die Liste der Adressblöcke befragen, um herauszufinden, dass die IP-Adresse im Bereich der RIPE liegt. Dann müsste er nur noch RIPE befragen und könnte mit dem Finger auf mich zeigen. Sollte ich die fragliche Adresse an jemanden weitergegeben haben, dann wäre ich verantwortlich für seine Aktivitäten im Internet und müsste, sollte es soweit kommen, mit einer richterlichen Anordnung rechnen, den Nutzernamen herauszugeben und/oder seine Verbindung zu kappen.
Die Krise im Internet-Adressraum
Das gegenwärtig im Gebrauch befindliche Internet-Adress-Protokoll, das Internetprotokoll Version 4(kurz: IPv4), wurde für die Ära, die ich eben beschrieben haben, entwickelt. Es wurde entwickelt für eine relativ kleine Zahl von elitären Regierungs-, Wirtschafts- und Bildungsorganisationen, deren Mitglieder das Internet über Benutzerkonten auf einer geringen Anzahl von Timesharingsystemen nutzten.
IPv4 bietet eine 32-Bit-IP-Adresse, die (wenn man die spezielle Bedeutung einiger Adressblöcke nicht berücksichtigt) 232 oder etwa 4.000 Millionen einzigartigen Adressen entspricht. Dies mag ausreichend erscheinen, da die Weltbevölkerung, deren größter Teil nicht ans Internet angeschlossen ist, zahlenmäßig nur etwa doppelt so groß ist. Aber durch die Existenz der vorbelegten Blöcke sowie die notwendigerweise vorhandene Ineffizienz einer Zuteilung in Blöcken wurde bald ersichtlich, dass die Praxis der Zuteilung von festen IP-Adressen mit dem Aufbrauchen aller möglichen IP-Nummern irgendwann in den 1990ern enden würde.
Der offensichtliche Ausweg aus dem Dilemma eines zu engen Adressraums ist es, die Länge des Adressfeldes zu vergrößern. Im Juli 1991 begann die Internet Engineering Task Force (IETF) damit und beendete ihre Aufgabe 1995 mit der Publikation des RFC 1883, der Spezifikation des Internetprotokolls Version 6 (IPv6). In dieser Spezifikation wurde der Adressraum auf 128 Bits ausgedehnt. Dieser Raum ist so gigantisch, dass er alle Adressierungsprobleme für die voraussehbare Zukunft beheben wird (ich betrachte den Omega-Punkt und andere Fantasien im Zusammenhang mit diesem Dokument nicht als vorhersehbare Zukunft).
Wenn jeder individuelle Internetnutzer seinen eigenen, privaten 48-Bit-Adressraum (65.536 mal größer als der gesamte heutige Adressraum) bekäme, wie das in RFC 3177 vorgeschlagen wird, reichen die 128-Bit-Adressen theoretisch für 280 oder mehr als 1,21024 Nutzer - das entspricht der 21014-fachen Weltbevölkerung. Aber selbst nach einer nötigen, spärlicheren Vergabe von Adressräumen an individuelle Nutzer (aus rein praktischen Erwägungen und wegen der Reservierung der meisten Bereiche für nicht voraussehbare zukünftige Erfordernisse) kann IPv6 ohne Schwierigkeit Unterkunft für 178 Tausend Millionen Nutzer bieten (mehr als das Siebzehnfache der angenommenen Weltbevölkerung im Jahr 2050) und jeden mit seinem eigenen 48-Bit-Adressraum ausstatten.
Opfer des eigenen Erfolgs
Obwohl IPv6 alle Probleme des Adressraums durch die aufkommende Massennutzung im Handumdrehen gelöst hätte, kam es im denkbar schlechtesten Moment auf die Bildfläche, um schnell umgesetzt zu werden. Im Dezember 1995, als die RFC 1883 herausgegeben wurde, war das Internet bereits mittendrin in seiner exponentiellen Wachstumsphase, von der jeder annahm, dass sie für die kommenden Jahre andauern würde. Die Internetinfrastruktur geriet bereits beim Versuch, Millionen und Abermillionen von neuen Nutzern mit dem beispiellosen Bandbreitenbedarf des grafikbeladenen Web und der innovativen Dienste wie Internettelefonie und Video-On-Demand auszustatten, ins Stottern.
Die Internet-Serviceprovider und die Lieferanten der Infrastruktur bemühten sich, um mit dieser explodierenden Nachfrage Schritt zu halten, die manchmal fast als unüberbietbare Chance erschien. Um IPv6 in vollem Umfang zu implementieren müsste alles geändert werden - die Betriebssysteme der Computer, Anwendungen, Router, Netzwerkknoten: Suchen Sie sich etwas aus. Obwohl IPv6 es relativ einfach macht, IPv4 über ein IPv6-Netzwerk zu "tunneln", was den Übergang für die noch nicht umgestellten Teilnehmer erleichtert, hätte eine Umrüstung auf IPv6 im Jahr 1995 bedeutet, die Unsummen an geleisteten Investitionen für die IPv4-Infrastruktur wegzuwerfen oder aufzustocken: just in dem Moment, als selbst das Schritthalten mit der steigenden Nachfrage das Kapital, die verfügbare Arbeitsleistung und die Herstellungskapazitäten bis an die Grenzen beanspruchte.
Die Ausdehnung des Adressraums
Ohne eine Möglichkeit, schnell zu IPv6 zu wechseln, um die Engpässe im Adressraum zu beseitigen, beschränkte sich die Industrie darauf, mit IPv4 zu kämpfen und die folgenden, zunehmend cleveren Maßnahmen zur Rettung des begrenzten Adressraums zu übernehmen. Jede dieser Maßnahmen aber hatte die unbeabsichtigte Folge, das Internet von dem ursprünglich geplanten reinen Peer-Netzwerk zu einem Netzwerk mit "Publizisten" und "Konsumenten" umzuwandeln und dabei die Anonymität des Internetzugangs zu erhöhen.
Dynamische IP Adressen
Die offensichtlichste Möglichkeit, Adressraum einzusparen, ergab sich durch die Beobachtung, dass der größte Teil der individuellen Internetnutzer zu dieser Zeit mit Modem-Einwahlverbindungen und während eines "typischen Tages" nur für eine kurze Zeit mit dem Internet verbunden waren. Da diese Nutzer keine Pakete aus dem Internet empfangen konnten, wenn sie nicht eingewählt wahren, gab es keinen Grund, ihnen eine einmalige IP-Adresse zuzuweisen. Man konnte einfach der Verbindungsleitung eine IP-Adresse geben, in die ein Nutzer sich einwählte und die er so für die Zeit der Einwahl erhielt.
Obwohl diese Herangehensweise für die gegebenen Umstände sehr vernünftig scheint und für die Nutzer, die nur im Web surfen, FTP-Verbindungen aufbauen und ihre Email abrufen, akzeptabel ist, führte sie die erste Aufteilung des Internet in zwei Benutzerklassen ein. Während ein Internetnutzer mit fester IP-Adresse beliebige Verbindungen mit anderen Nutzern aufbauen konnte, solange er online war (wenn dieser Nutzer eine Einwahlverbindung mit fester IP hatte, würden Verbindungsversuche einfach fehlschlagen), bekam ein Internetnutzer mit dynamischer IP-Adresse normalerweise jedes Mal eine neue IP zugewiesen, wenn er sich ins Internet einwählte. Das war abhängig davon, welches Modem beim Internetprovider zufällig den eingehenden Anruf annahm.
Ein Nutzer mit dynamischer IP-Adresse kann, solange er eingewählt ist, jeden Service im Internet nutzen, genau wie der Nutzer mit fester IP-Adresse. Aber anders als bei letzterem gibt es für andere Nutzer keine Möglichkeit, die IP-Adresse des Nutzers der dynamischen IP-Adresse herauszufinden, weil sie eben von Sitzung zu Sitzung wechselte. Also konnten andere Nutzer keine Verbindungen zu einem Nutzer mit dynamischer IP aufbauen, weil seine IP-Adresse, selbst wenn er eingewählt war, unbekannt war.
Um dieses Problem zu umgehen, wurden Dienste wie die Speak Freely Look Who's Listening-Server, ICQ und DynDNS oder No-IP-Server eingerichtet, die im wesentlichen für die Nutzer mit festem Namen einen Treffpunkt darstellen, bei dem sie ihre aktuellen IP-Adressen austauschen konnten, um danach die Kommunikation auf Peer-zu-Peer-Basis fortzusetzen. Natürlich birgt jeder zentrale Server das Risiko eines "Single Point of Failure" ("zentrale Schwachstelle"), die im Design des Internet vermieden wurde - und er bietet die Möglichkeit einer zentralen Kontrolle, wie die Nutzer von Napster irgendwann herausfanden.
Netzwerk-Adress-Übersetzung (NAT)
Als die privaten Nutzer mehr und mehr dauerhafte Internetverbindungen hatten, zunächst (hauptsächlich in Europa) über ISDN, dann mit Kabelmodems und "Digital Subscriber Link" (DSL) über das Telefonnetz, wünschten sie sich eine Möglichkeit, die schnelle Verbindung mit mehreren Maschinen zu teilen. Mit einer einzelnen IP-Adresse, gleichgültig ob fest oder dynamisch, wäre es wegen des Designs des Internet gleichzeitig lediglich für einen einzigen Computer im lokalen Netzwerk möglich, Pakete zu senden und zu empfangen. Stellen Sie sich den Konflikt zwischen Vätern und Kindern vor: Papi will am Abend die Aktienkurse abrufen, die Kinder wollen mit ihren Computern ins Internet und andere Dinge tun.
Die verbreitetste Technik, die es mehreren Computern gestattet, eine Internetverbindung mit einer einzigen IP zu teilen, ist Network Adress Translation (NAT), wie sie in RFC 1631 beschrieben ist. (Hinweis: dieser RFC von 1994 ist kein Internetstandard, sondern die Beschreibung einer bereits vorhandenen Technik innerhalb der existierenden Standards). NAT wird üblicherweise vom Internet-Router geliefert, der auch den Zugang zu der Breitbandverbindung kontrolliert. NAT kann aber ebenso von einer Firewall oder Software auf dem Computer, der mit dem Breitbandanschluss verbunden ist, realisiert werden.
NAT definiert zwei unabhängige, aber miteinander verbundene Subnetzwerke. Das interne Subnetz enthält alle lokalen Computer. Jeder lokale Computer bekommt seine eigene, einmalige IP-Adresse, entweder fest oder über DHCP (Dynamic Host Configuration Protocol) zugeteilt. Diese IP-Adressen haben nur im lokalen Subnetz eine Bedeutung; sie werden gewöhnlich aus den Blöcken des IPv4-Adressraums ausgewählt, die für private, nicht mit dem Internet verbundene Netzwerke reserviert sind. NAT nutzt die Tatsache, dass zwischen zwei IP-Adressen eine beliebige Anzahl von Verbindungen aufgebaut werden kann, jede unterschieden durch die 16-Bit-Quell- und Zielportnummern.
Wenn Sie zum Beispiel gleichzeitig zwei Web-Browser auf einer Maschine laufen lassen und von diesen zweimal dieselbe Webseite aufrufen (zum Beispiel um die Darstellung der beiden Browser zu vergleichen), kommen sich die beiden Verbindungen dennoch nicht "ins Gehege". Sie kommen zwar zwischen denselben IP-Adressen zustande (ihrer eigenen und der des Webservers), aber sie kommen von verschiedenen Quellports. Dies liegt daran, dass jede ausgehende Verbindung eine eigene Quellportnummer zugewiesen bekommt und der Webserver seine Antworten dann an die Portnummer der eingehenden Anfragen schickt.
NAT treibt das Spiel eine Stufe weiter. Wenn eine der Maschinen im lokalen Netzwerk eine Verbindung zu einem Server im externen Netz aufbaut, belegt die NAT box eine einmalige Portnummer und macht einen Eintrag in eine Übersetzungstabelle. Dann wird der Verbindungsaufbau zum entfernten Server weitergeleitet, als käme sie von der NAT Box selbst, mit ihrer eigenen IP-Adresse. Wenn die Antwort eintrifft, schaut die NAT Box auf die Portnummer, durchsucht die Einträge in der Übersetzungstabelle nach der Maschine im lokalen Netzwerk, zu der die Antwort weitergeleitet werden muss und verteilt das Paket dann über das lokale Subnetz mit der lokalen IP-Adresse der gefundenen Maschine. Für das Surfen im Web und die meisten Internetanwendungen, bei denen die Nutzer Verbindungen zu Servern im Internet aufbauen, funktioniert NAT auf magische Weise. Es ist nicht nötig, die Anwendungsprogramme auf den Maschinen der Nutzer irgendwie anzupassen, oder dort spezielle Software zu installieren: wenn der NAT Router DHCP anbietet, wie es die meisten tun, dann beschränkt sich die Arbeit für das Hinzufügen einer neuen Maschine in das lokale Subnetz auf das Einstecken des Netzwerkkabels.
Aber dennoch teilt NAT, genau wie dynamische IP-Adressen, die Nutzer des Internet in zwei Klassen auf. Für Nutzer von dynamischen IP-Adressen gilt wenigstens für die Dauer einer Sitzung dieselbe IP-Adresse. Daher sind sie für die Außenwelt erreichbar, genau wie ein dauernd verbundener Computer. Nachdem diese Nutzer ihre aktuellen IP-Adressen über einen der serverbasierten Dienste ausgetauscht hatten, konnten sie jede Art von Verbindung zwischen ihren Computer aufbauen, die von den Internetprotokollen unterstützt wird. Der NAT-Nutzer aber befindet sich einen weiteren Schritt entfernt vom "direkten" Internetzugang.
Erinnern Sie sich daran, dass die NAT-Box eine Portnummer für eine Verbindung von einer Maschine aus dem lokalen Netzwerk ins Internet nur dann zuweist, wenn es sich um eine in ausgehender Richtung aufgebaute Verbindung handelt. Die Computer im lokalen Netzwerk sind von der großen Zahl anderer Computer im Internet, jenseits der NAT-Box, nicht erreichbar. Die Computer im lokalen Netz haben keine extern sichtbare IP-Adresse, weder eine feste noch eine dynamische, und es gibt keine Möglichkeit für einen externen Computer, zu einem lokalen Computer eine Verbindung aufzunehmen, wenn dieser nicht bereits die Verbindung in ausgehender Richtung aufgebaut hat.
Eine Maschine hinter einer NAT-Box kann nicht als Server betrieben werden, weil sie keine IP-Adresse hat, zu der entfernte Computer sich verbinden könnten. Zwei Nutzer hinter zwei verschiedenen NAT-Boxen können überhaupt keine Peer-zu-Peer-Verbindung mehr aufbauen, weil keiner von beiden eine Adresse hat, die eingehende Verbindungen annehmen könnte. Wenn die beiden kommunizieren wollen, müssen sich beide zunächst zu einem Server (jenseits ihrer NAT-Boxen) verbinden, der dann die Daten zwischen ihnen weiterleitet. Diese Art von Servern ermöglicht eine viel stärkere Kontrolle als der oben beschriebene "Treffpunkt" für Nutzer mit dynamischen IP-Adressen. Ein Server, der Daten zwischen zwei NAT-Nutzern weiterleitet, muss genügend Bandbreite besitzen. Er muss nicht nur die Daten für die Suche und Übertragung der IP-Adressen der zwei Peers übertragen, sondern all die Nutzdaten, die zwischen den beiden Peers ausgetauscht werden - und er hat die Möglichkeit, all diese weitergeleiteten Daten zu überwachen und im Bedarfsfall vielleicht gar zu manipulieren.
Viele Nutzer hinter NAT-Boxen halten die Beschränkungen durch die NAT-Box für positive Eigenschaften. Die Unmöglichkeit für Computer jenseits der NAT-Box, Verbindungen zu Maschinen diesseits der Box im lokalen Netzwerk aufzubauen, bedeutet, dass sie sich wie eine Firewall verhält, weil sie Verbindungen aus dem Internet blockiert, die versuchen könnten, Schwachstellen auf lokalen Maschinen auszunutzen. Die lokalen Maschinen können immer noch von Mail-Würmern, Viren in der heruntergeladenen Software oder durch Schwachstellen in den Webbrowsern verseucht werden, wenn der Nutzer zum Besuch bösartiger Webseiten verleitet werden konnte. Aber wenigstens die unverschlossene Haustür, die eine permanent mit dem Internet verbundene Maschine darstellt, wurde dem potenziellen Angreifer vor der Nase zugeschlagen.
Zur gleichen Zeit jedoch ist der NAT-Nutzer viel stärker zu einem Konsumenten von Diensten auf Servern geworden, die mit einer permanenten, von extern erreichbaren IP-Adresse am Internet angeschlossen sind. Wenn der NAT-Nutzer eine Webseite veröffentlichen will, wenn er einige Dateien oder Bilder zum Herunterladen anbieten will, eine Diskussionsgruppe verwalten oder ein Weblog ("blog") aktualisieren will, wird er sich um die Dienstleistung eines öffentlich erreichbaren Anbieters bemühen müssen - seine eigene Maschine kann diese Dienste für externe Nutzer nicht zur Verfügung stellen, weil sie für Verbindungen von außen unerreichbar ist.
Hinweis: Da es keinen Standard für NAT gibt, arbeiten die verschiedenen Implementierungen auf verschiedene Weise. Einige erlauben den Aufbau von Verbindungen von Computern aus dem Internet, wenn ihnen eine offene Portnummer mitgeteilt wurde. Wenn diese Möglichkeit besteht, kann sie je nach den Vorlieben des individuellen Nutzers gleichwohl als Sicherheitsrisiko wie als Hilfsmittel angesehen werden. Ich habe hier NAT in seiner reinsten Form dargestellt, wie es, soweit ich das sagen kann, von der Mehrheit der heutigen Implementierungen erbracht wird. Kabelzugangs- und DSL-Anbieter könnten diese restriktive Art von NAT zwingend für die Router vorgeben, die sie ihren Kunden für den Netzzugang zur Verfügung stellen oder gestatten.
Öffentliche WLAN Zugänge
Das Aufkommen der öffentlichen Zugänge zum drahtlosen Internet (WLAN) ist vergleichbar mit dem Hinaustragen von NAT auf die Straße. Wenn die Infrastruktur der WLAN-Zugänge steht, können Nutzer über NAT-Verbindungen das Internet nutzen, gleichgültig welchen Accesspoint sie gerade kontaktieren (immer angenommen, sie haben das Recht, diesen Zugangspunkt zu nutzen).
Das ändert nicht wirklich etwas an den Dingen, so lange irgendeine Art von kommerziellen Zugangsdaten für den Zugriff benötigt wird (weil es wahrscheinlich Nutzungsspuren der momentanen Identität des Nutzers hinterlässt, auch wenn diese schwer zu verfolgen sein mögen). Anders sieht es aus bei vollkommen freien öffentlichen Zugängen in "Tony Coffee Shops", Buchläden, die gerne Coffee Shops sein möchten, und ähnlichen Einrichtungen, die eine vollkommen anonyme Verbindung zum Internet ermöglichen.
Wie die Dinge heutzutage sind
In der Zusammenfassung ist zu sagen, dass, ausgehend von der ursprünglichen Architektur des Internet, in der jeder Internetteilnehmer seine einmalige IP-Adresse mit der verantwortlichen Person dahinter hatte und so gut wie jegliche Internetverbindung verantwortungsbewusst genutzt wurde, das heutige Internet viel von dieser Verantwortlichkeit eingebüßt hat. Dies ist eine Folge der Umwandlung des Netzes von einem Verbindungsnetz für eine Elite zu ein Massenmedium und der daraus folgenden technischen Hilfsmaßnahmen zur Lösung der Herausforderungen, die für diesen Transformation nötig waren.
Viele Aktivitäten im Internet sind tatsächlich anonym. Herauszufinden, wer die verantwortliche Person ist oder wer die verantwortlichen Personen sind, ist bei den vielfältigen Formen von Missbrauch, ob nun klar illegal oder lediglich als Bruch der vertraglichen Vereinbarungen für den Dienst, meist schwierig und oft gar völlig unmöglich. Das unterscheidet das Internet mehr und mehr von anderen Plätzen in der zivilen Gesellschaft, wo Individuen für ihre Aktivitäten verantwortlich gemacht werden.
Übersetzt von Twister/Jürgen Buchmüller