Die IP-Adresse als Identität ist eine lahme Sicherheit

Es ist auch weitgehend wirkungslos

Das Internet funktioniert größtenteils dank DNS. Die Möglichkeit, eine Site einer IP-Adresse zuzuordnen – was für die Weiterleitung von Anfragen und Antworten über das Internet erforderlich ist – macht das Internet letztlich nutzbar. Die Mehrheit der Benutzer ist sich der IP-Adressierung wahrscheinlich überhaupt nicht bewusst. Weil cheese.com einfach viel leichter zu merken ist.

Doch diese Verbindung einer einzigartigen Identität mit einer IP-Adresse hat sich mittlerweile so tief in unser Gedächtnis eingebrannt, dass wir dazu neigen, sie auch auf andere Bereiche der Technologie anzuwenden. Selbst wenn es völlig wirkungslos ist.

Wie Sicherheit.

Damals waren IP-Adressen ziemlich feste Größen. Die Routen waren flexibel und die IP-Adressen blieben größtenteils dort, wo sie zugewiesen wurden. Heutzutage sind IP-Adressen jedoch wie Süßigkeiten. Sie werden häufiger verteilt und weitergegeben, als SPAM in meinem Posteingang landet.

Durch die Cloud wurde das Netzwerk zur Ware. IP-Adressen gehören mir nur, solange die Ressource, der sie zugewiesen wurden, in Betrieb ist. Auch der Mobilfunk hat dazu beigetragen, dass IP-Adressen zu nahezu bedeutungslosen Oktetten wurden. Eine schnelle Suche ergibt eine Reihe technischer Dramen, bei denen ein legitimes Unternehmen, das eine App in einer öffentlichen Cloud betreibt, automatisch von Deny-Listen blockiert wurde, weil der vorherige Zuweisungsberechtigte dieser IP-Adresse sie unsachgemäß verwendet hat.

Wenn man noch das moderne, vernetzte Zuhause mit seiner wachsenden Zahl internetabhängiger Geräte berücksichtigt, ist es völlig wertlos, IP-Adressen einzelnen Dingen oder Personen zuzuordnen.

Herkömmliche Sicherheit, die auf IP-Adressen basiert – normalerweise durch Denylists und Blockieren – versagt angesichts dieser Flexibilität.

Daher überrascht es nicht, wenn in einem Bericht darauf hingewiesen wird, dass die Fähigkeit bösartiger Bots, ihre IP-Adressen zu ändern, ihre Identifizierung und Blockierung erschwert. Insbesondere jene Bots, die sich an ein Mobilgerät angeschlossen haben.

Die Verwendung von IP-Adressen als Grundlage zur Identifizierung von irgendetwas – Geräten, Bots, Benutzern – ist nachlässig. Zwar handelt es sich dabei um die am einfachsten zu extrahierenden Daten, sie sind jedoch auch die am wenigsten vertrauenswürdigen.

Das ist nichts Neues. Die Informationssicherheitsbranche predigt bereits seit Jahren, dass traditionelle, signaturbasierte Techniken uns nicht mehr schützen können. Das liegt daran, dass sie auf der Annahme basieren, dass schlechte Schauspieler erkennbar sind und wir wissen, wie sie aussehen. Das stimmt zwar, trifft aber nur auf die Angriffe von gestern zu. Für den morgigen Angriff hilft es uns nicht wirklich, da wir keine Ahnung haben, wie dieser aussehen wird.

In Kombination mit der zunehmenden Nutzung von End-to-End-Verschlüsselung für alle möglichen Anwendungen – auch Schadsoftware – bleibt bei herkömmlichen Sicherheitsoptionen nur noch zu erahnen, ob eine bestimmte Interaktion legitim oder böswillig ist. Signaturbasierte Lösungen werden durch die Verschlüsselung blind gemacht und sind somit kaum mehr als Unebenheiten im Kabel. Ohne die Möglichkeit, den Datenverkehr zu überwachen, ist die Sicherheit im Internet eine aussterbende Technologie, über die Bots höhnisch die Nase rümpfen, wenn sie auf dem Weg sind, sich zwischen Ihren Ressourcen einzunisten.

Der Aufwand ist minimal, wenn man Endpunkte nur anhand von IP-Adressen identifiziert. In Verbindung mit Informationen wie dem User-Agent aus einem HTTP-Header (bei dem es sich um eine Benutzereingabe handelt und die selbst von Natur aus nicht vertrauenswürdig ist) sind die Erfolgsverbesserungen kaum messbar. Angesichts der Rechenleistung, die uns heute zur Verfügung steht, gibt es keinen Grund, warum wir uns nicht innerhalb weniger Mikrosekunden Zeit nehmen könnten, um aus Verbindungen und Interaktionen ein breiteres Spektrum an Merkmalen zu extrahieren, aus denen wir wenn schon nicht die Identität, so doch zumindest die Absicht ableiten können . 

Die alleinige Verwendung von IP-Adressen oder Signaturen reicht nicht aus, um Apps und Netzwerke vor Infiltrationen zu schützen. Um das Schlechte wirksam vom Guten zu trennen, müssen Verhaltensanalyse, Challenge-Response-Prinzip und gründliche Prüfung zusammen eingesetzt werden.