Wählen Sie ID statt IP. Bitte.

Ich mache viele Fotos. Manchmal benutze ich WLAN. Zu anderen Zeiten bin ich draußen am Teich (ich angele, wenn Sie es wissen müssen) und nutze meine Mobilfunkverbindung. Dasselbe Haus. Gleicher Standort.

Und dennoch variieren die in den am gleichen Ort aufgenommenen Bildern eingebetteten Geolokalisierungsinformationen je nachdem, ob ich WLAN oder ein Mobiltelefon verwende. Manchmal bin ich „in der Nähe von Wrightstown“. Manchmal bin ich das nicht. Wenn ich an einem kabelgebundenen Rechner sitze, wird es noch verrückter. Während ich dies schreibe, befinde ich mich vermutlich in Appleton, Wisconsin. Das ist etwa 20 Meilen südlich von hier. Mein iPhone auf demselben Schreibtisch sagt mir, dass ich mich in der Stadt Lawrence befinde (richtig). Ein Foto, das ich auf Facebook hochgeladen habe, besagt, dass ich mich in der Nähe von Wrightstown befinde, etwa 5–10 Meilen entfernt.

Es ist unnötig zu erwähnen, dass wir uns alle darüber im Klaren sind, dass die Geolokalisierung auf Basis von IP-Adressen manchmal sowohl Kunst als auch Wissenschaft sein kann. Da ich im GIS-Bereich gearbeitet habe (damals, als ich noch programmieren durfte), bin ich mir der mathematischen Verrenkung bewusst, die erforderlich ist, um Koordinaten genau Ortsnamen zuzuordnen, ohne die fragwürdige Genauigkeit einer IP-Adresse einzubringen. Betrachten Sie diese außergewöhnliche Situation, die aufgrund der Unwägbarkeiten der Geokodierung durch IP entstanden ist:

MaxMind ordnet IP-Adressen, die zum Verbinden von Geräten mit dem Internet verwendet werden, physischen Standorten zu. Es heißt, diese seien nicht als präzise zu verstehen.

James und Theresa Arnold sagen, dass ihr Zuhause als Standort von mehr als 600 Millionen Adressen registriert wurde.

Sie sagen, dies habe bei vielen Menschen zu der falschen Annahme geführt, auf dem Anwesen seien zahlreiche Verbrechen begangen worden.

„In der ersten Woche, nachdem die Arnolds eingezogen waren, kamen zwei Beamte des Butler County Sheriff’s Department zum Haus und suchten nach einem gestohlenen Lastwagen. Dieses Szenario wiederholte sich in den folgenden fünf Jahren unzählige Male“, heißt es in den bei einem Gericht in Kansas eingereichten Dokumenten.

http://www.bbc.com/news/technology-37048521

Ich bin froh, dass ich nicht die Arnolds* bin. Auch wenn dieser Fall außergewöhnlich ist, zeigt er doch, dass die Abhängigkeit von der IP-Adresse nicht unbedingt eine gute Idee ist – insbesondere, wenn diese unter anderem dazu verwendet wird, den Zugriff auf Anwendungen zu autorisieren.

Wir wissen, dass sich insbesondere viele Finanzinstitute zur Überprüfung der Gültigkeit von Anmeldeversuchen ebenso sehr auf die IP-Adresse wie auf das Gerät verlassen. Das ist gut, wenn Sie praktisch immer dasselbe Gerät vom gleichen Ort aus verwenden, da sich Ihre IP-Adresse nicht groß ändert. Bei mobilen Apps, die zunehmend zum Kommunikationsmittel zwischen Menschen und Kunden werden, könnte dies jedoch problematisch sein. Meine IP-Adresse ändert sich, wenn ich unterwegs bin, und manchmal ändert sie sich auch, wenn ich dies aufgrund eingeschränkter WLAN-Reichweite außerhalb meines Zuhauses nicht tue. 

Als Mittel zur Identifizierung hat die IP-Adresse ohnehin schon lange ausgedient. Früher hatte jeder, der diese Breitbandverbindung nutzte, eine eigene IP, da er sie direkt vom Anbieter über DHCP erhielt. Doch auch dieser Trend ging weiter, als es mehr internetfähige Geräte in Privathaushalten als Menschen gab. Jüngsten Umfragen zufolge sind derzeit in den USA 734 Millionen Internet-Haushalte mit durchschnittlich 7,8 angeschlossenen Geräten pro Haushalt.“ Das ist doppelt so viel wie der Durchschnitt von 3,14 Personen pro Haushalt in den USA im Jahr 2015 .

Dies bedeutet, dass die Vorstellung einer einzigen IP-Adresse pro Person (und jetzt auch Sache) angesichts der begrenzten Anzahl öffentlicher IPv4-IP-Adressen, die die Anbieter vergeben müssen, weitgehend unhaltbar ist. Im Allgemeinen verwendet jeder nur eine öffentliche IP pro Haushalt und alle anderen werden über diese kleine Blackbox geleitet.

IP als Mittel zur autoritativen Identifizierung ist tot.

Anmeldeinformationen, seien es Token, Benutzername/Passwort oder eine andere, bislang unentdeckte Methode, sind das beste Mittel zur Identifizierung und damit Authentifizierung von Benutzern. Angesichts des Missbrauchs von IP-Adressen bei zahlreichen Angriffen ist dies heutzutage auch die beste Möglichkeit zum Schutz von Apps. Wenn ich meine IP genauso leicht fälschen kann wie meinen User-Agent, ist es keine gute Idee, sie als maßgebliche Informationsquelle zu betrachten.

Es ist auch nicht für die Verwendung zum Erstellen von Positiv- oder Negativlisten geeignet, da IP-Adressen im Internet ehrlich gesagt in Sekundenschnelle geändert werden können. Es wird regelmäßig festgestellt, dass zig Millionen IP-Adressen an DDoS-Angriffen beteiligt sind. Manche tun dies mit Absicht, andere durch Zufall, weil sie die falsche Site besuchen oder das falsche Gerät kaufen. Die Sperrung anhand der IP-Adresse bereitet Verbrauchern Kopfschmerzen. Die Nutzung der IP-Reputation wird in Zukunft nicht mehr annähernd so effektiv sein wie früher, als das Internet noch jung und unschuldig und voller Menschen mit guten Absichten war. Da das Internet mittlerweile veraltet und überholt ist und es von Angreifern wimmelt, die Ihre Geräte genauso missbrauchen wie alles andere, müssen wir uns nach etwas anderem umsehen.

Wir müssen zur Identität als neuer Firewall übergehen, um den neuen Perimeter, also die Anwendung, zu sichern. Ob durch Föderation oder traditionelles Corporate Identity Management: Um unser grenzenloses Geschäft abzusichern und einer zunehmend mobilen Gruppe von Benutzern – sowohl Unternehmen als auch Privatpersonen – Zugang zu verschaffen, müssen wir uns stärker auf die ID als auf geistiges Eigentum verlassen.

* Interessanterweise gehört die Familie meiner Mutter zu den Arnolds. Sicherlich besteht kein Zusammenhang, aber andererseits …