Die IP-Adresse als Identität ist eine lahme Sicherheit

Es ist auch weitgehend wirkungslos

Das Internet funktioniert größtenteils dank DNS. Die Möglichkeit, eine Site einer IP-Adresse zuzuordnen – was für die Weiterleitung von Anfragen und Antworten über das Internet erforderlich ist – macht das Internet letztlich nutzbar. Die Mehrheit der Benutzer ist sich der IP-Adressierung wahrscheinlich überhaupt nicht bewusst. Weil cheese.com einfach viel leichter zu merken ist.

Doch diese Verbindung einer einzigartigen Identität mit einer IP-Adresse hat sich mittlerweile so tief in unser Gedächtnis eingebrannt, dass wir dazu neigen, sie auch auf andere Bereiche der Technologie anzuwenden. Selbst wenn es völlig wirkungslos ist.

Wie Sicherheit.

Damals waren IP-Adressen ziemlich feste Größen. Die Routen waren flexibel und die IP-Adressen blieben größtenteils dort, wo sie zugewiesen wurden. Heutzutage sind IP-Adressen jedoch wie Süßigkeiten. Sie werden häufiger verteilt und weitergegeben, als SPAM in meinem Posteingang landet.

Die Cloud hat das Netzwerk zur Handelsware gemacht. IP-Adressen bleiben Ihnen nur so lange, wie die Ressource, der sie zugewiesen wurden, aktiv ist. Auch Mobilität hat dazu beigetragen, IP-Adressen weitgehend bedeutungslos zu machen. Eine einfache Suche zeigt, wie legitime Unternehmen mit Apps in einer öffentlichen Cloud automatisch auf Sperrlisten landen, weil der vorherige Nutzer derselben IP-Adresse sie missbräuchlich eingesetzt hat.

Wenn man noch das moderne, vernetzte Zuhause mit seiner wachsenden Zahl internetabhängiger Geräte berücksichtigt, ist es völlig wertlos, IP-Adressen einzelnen Dingen oder Personen zuzuordnen.

Herkömmliche Sicherheit, die auf IP-Adressen basiert – normalerweise durch Denylists und Blockieren – versagt angesichts dieser Flexibilität.

Daher überrascht es nicht, wenn in einem Bericht darauf hingewiesen wird, dass die Fähigkeit bösartiger Bots, ihre IP-Adressen zu ändern, ihre Identifizierung und Blockierung erschwert. Insbesondere jene Bots, die sich an ein Mobilgerät angeschlossen haben.

Die Verwendung von IP-Adressen als Grundlage zur Identifizierung von irgendetwas – Geräten, Bots, Benutzern – ist nachlässig. Zwar handelt es sich dabei um die am einfachsten zu extrahierenden Daten, sie sind jedoch auch die am wenigsten vertrauenswürdigen.

Das ist nichts Neues. Die Informationssicherheitsbranche predigt bereits seit Jahren, dass traditionelle, signaturbasierte Techniken uns nicht mehr schützen können. Das liegt daran, dass sie auf der Annahme basieren, dass schlechte Schauspieler erkennbar sind und wir wissen, wie sie aussehen. Das stimmt zwar, trifft aber nur auf die Angriffe von gestern zu. Für den morgigen Angriff hilft es uns nicht wirklich, da wir keine Ahnung haben, wie dieser aussehen wird.

Da mittlerweile alles – auch Malware – Ende-zu-Ende-Verschlüsselung nutzt, müssen herkömmliche Sicherheitslösungen raten, ob eine Interaktion legitim oder bösartig ist. Verschlüsselung macht signaturbasierte Lösungen blind, sodass sie kaum mehr als unbeachtete Hindernisse im Datenstrom darstellen. Ohne Einsicht in den Datenverkehr verliert die Sicherheit direkt im Netzwerk zunehmend an Bedeutung, während Bots unbehelligt passieren und sich in Ihren Ressourcen einnisten.

Der Aufwand ist minimal, wenn man Endpunkte nur anhand von IP-Adressen identifiziert. In Verbindung mit Informationen wie dem User-Agent aus einem HTTP-Header (bei dem es sich um eine Benutzereingabe handelt und die selbst von Natur aus nicht vertrauenswürdig ist) sind die Erfolgsverbesserungen kaum messbar. Angesichts der Rechenleistung, die uns heute zur Verfügung steht, gibt es keinen Grund, warum wir uns nicht innerhalb weniger Mikrosekunden Zeit nehmen könnten, um aus Verbindungen und Interaktionen ein breiteres Spektrum an Merkmalen zu extrahieren, aus denen wir wenn schon nicht die Identität, so doch zumindest die Absicht ableiten können . 

Die alleinige Verwendung von IP-Adressen oder Signaturen reicht nicht aus, um Apps und Netzwerke vor Infiltrationen zu schützen. Um das Schlechte wirksam vom Guten zu trennen, müssen Verhaltensanalyse, Challenge-Response-Prinzip und gründliche Prüfung zusammen eingesetzt werden.