Seite 2: End of Life-Komponenten

Inhaltsverzeichnis

Zum Zustand des nun von ihr zu verantwortenden Netzes klagt die BDBOS im Fortschrittsbericht selbst, viele Komponenten in den zusammengeführten Netzen hätten "das Ende ihres Produktlebenszyklus" erreicht. "Einzelne Komponenten erhalten von den Herstellern keinen Service, beziehungsweise Support mehr und müssen daher ersetzt werden, um die Stabilität und Sicherheit weiterhin zu gewährleisten", schreibt die Behörde. Zugleich sei eine 1:1 Ablösung von Komponenten gar "nicht zielführend".

Dass sich in den über zwei Jahrzehnte und durch mehrere Netzmodernisierungspläne gewachsenen Netzen eine ziemlich reichhaltige Mischung an Software, Hardware und vor allem auch Mittelboxen beheimatet sind, ist klar. Nicht zuletzt bringen die Anforderungen an Vertraulichkeit und Einstufung von Kommunikationsverkehren zusätzliche Komplexität in die Netze. Handgestrickte Anpassungen von Routern für das Monitoring der Verkehre, Firewalls und die gerade auch durch die wachsende IPv4 Adressknappheit notwendige Netzwerk Address Translation oder Verschlüsselungshardware, wie die guten alten Sina Boxen, bescheren den Netzmanagern viel Anpassungsbedarf. Was tun, wenn die speziell angepasste Routergeneration vom Hersteller nicht mehr unterstützt wird? Was, wenn ältere Modelle der Sina Boxen IPv6 nicht unterstützen?

Die SINA L3 Box S unterstützt IPv6 ab der Version 3.7.4, versichert der Sprecher der Secunet in Essen auf Anfrage. Die Version sei seit 2018 freigegeben, also vom Bundesamt für Sicherheit in der Informationstechnik mit der notwendigen Zulassung versehen und sie könne natürlich auch Dual-Stack. Aber auch die Vorgängerversionen, etwa die 3.7, haben nach wie vor die BSI Zulassung. Auf der Webseite des BSI gibt es eine lange Liste von SINA Produkten, die eingesetzt werden können. Längst nicht alle sind IPv6 fähig.

Wie rasch ausgetauscht wird? "Die Migration wird auf Wunsch des Bedarfsträgers aktiv durch unsere Beratung unterstützt. Die Migrationspfade sind weiterhin bestehend", heißt es bei Secunet.

IPv6 geheim

Wie viel Hardware sich Stand 2022 im NdB (Netzwerk des Bundes) noch befindet, die in die IPv6 Welt gerettet werden kann, und wie viel tatsächlich ersetzt werden muss, darüber möchte das für die Koordination federführende Bundesministerium des Innern nichts zu Protokoll geben. "Da die von Ihnen erfragte Information eingestuft ist, können wir Ihnen leider keine Auskunft dazu geben", so die schriftliche Antwort der Sprecherin.

Wie sieht es aus mit Geräten, für die es keinen Support mehr gibt und die dann erhebliche Betreuungs- oder sogar Sicherheitsprobleme machen können? Auch das ist geheim: "Da die von Ihnen erfragte Information eingestuft ist, können wir Ihnen leider keine Auskunft dazu geben." Gibt es immerhin eine Auskunft, wie weit man sich generell vorangetastet hat im NdB mit IPv6? Ach so: "Da die von Ihnen erfragte Informationen eingestuft sind, können wir Ihnen leider keine Auskunft dazu geben."

Die Frage ist genauso unerwünscht wie die Nachfrage nach dem von Frag-den-Staat freigeboxten Masterplan IPv6. Domscheit-Berg gegenüber war von einer ausstehenden Ressort-Beratung bis Ende des Jahres 2020 die Rede. Tatsächlich aber steht im internen Fortschrittsbericht noch 2021 die "Masterplan IPv6"-Abstimmung weiter als unerledigt und merkt an: Aufgrund fehlender Haushaltsmittel und Personalressourcen habe man mit der sukzessiven Umsetzung des Programms zur Konsolidierung der Weitverkehrsnetze (und auch IPv6 Masterplan) noch nicht beginnen können.

Statt des Masterplans, der eine Strategie von den Kernnetzen hin zu Clients und Anwendungen bei der Migration befürwortete, gab es im November 2020 einen knappen Beschluss der Konferenz der IT-Verantwortlichen der Ressorts, in dem sie feststellten, dass ein übergreifender, abgestimmter IPv6 Umsetzungsplan weiterhin fehle. Außerdem wurde eingeräumt, dass die Zusammenarbeit und Abstimmung zwischen den Ressorts lediglich "in engen Grenzen stattgefunden" hätten.

Als konkrete nächste Schritte wurde zugleich entschieden, dass bei der Beschaffung IPv6 künftig im Sinn der IPv6-Architekturrichtlinie nicht nur empfohlen, sondern verpflichtend sein solle. Als erste IPv6-Ad-hoc-Maßnahme wollte man 2022 den IPv6-Client-VPN-Einwahl umsetzen, und schließlich sollten alle Ressorts bis Ende 2022 ein Migrationskonzept fürs eigene Haus erstellen, und im übrigen sollte der Beschluss veröffentlicht werden.