Nur durch ein standardisiertes Internet Protokoll, das jedem Internetknotenpunkt von Computer bis Webseite eine eindeutige IP Adresse zuordnet, können Datenpakete im Internet ihren richtigen Weg von A nach B finden. Verbreitet ist noch das alte Internet Protokoll Version 4 (IPv4), dessen Adressraum jedoch beschränkt ist. 2011 vergab die IANA die letzten IPv4 Adressblöcke an die regionalen Adressverwaltungsorganisationen. Im November 2019 wurden für die Region Europa die letzten IPv4 Adressen vergeben. Seit diesem Datum gibt es nur noch recycelte IP Adressen für IPv4. Da das Internet weiter exponentiell wächst, ist daher eine Umstellung auf das neue Internet Protokoll IPv6 unabdingbar und zeitnah umzusetzen und das gilt auch für die IT der Bundesverwaltung und alle ihre Internetdienste, also sowohl für ihre Websiten, die von außen zugänglich sind, als auch für die interne IT.
Bild: Michel Bakni / CC BY-SA (https://creativecommons.org/licenses/by-sa/4.0)
Deshalb entschied schon 2007 die damalige CIO der Bundesregierung, den Umstieg auf IPv6 und als ersten Schritt, die Beschaffung eines ausreichend großen Adressraumes für das neue IPv6 Protokoll. Das war durchaus frühzeitig und klug. So erhielt Deutschland schon 2010 die gewünschten IPv6 Adressen für alle föderalen Ebenen der öffentlichen Verwaltung. Leider ist es damit aber nicht getan, denn die Umstellung von einem Protokoll auf ein anderes ist keine triviale Aufgabe, zum einen, weil es so unendlich viele Dienste und IT-Systeme betrifft (quantitative Herausforderung), als auch weil es ein komplexes Unterfangen ist (qualitative Herausforderung). Wenn man aber die Begriffe „öffentliche Verwaltung Bund“ mit den Begriffen „umfassende, komplexe Umstellung im Bereich IT“ kombiniert, ist ein Desaster vorprogrammiert. Fast jedes große Vorhaben, das mit IT in der Bundesverwaltung zu tun hat, ist irgendwie eine Art BER Flughafen, also planlos, teuer, disfunktional und mit einer sich stets in die Zukunft bewegenden Deadline. Aktuelles Beispiel: die IT Konsolidierung des Bundes.
Deshalb habe ich eine kleine Anfrage an die Bundesregierung gestellt, um zu erfahren, was der Stand der Umstellung von IPv4 auf IPv6 ist, nach welchem Plan die Bundesregierung vorgeht und was dabei die Meilensteine sind, sowie welche Aufwände bereits anfielen, unter anderem durch die notwendige, flächendeckende Evaluierung der IPv6-Fähigkeit der Bundes-IT und all ihrer Dienste.
Die 16 Seiten umfassenden Fragen und Antworten meiner Kleinen Anfrage zur IPv6-Umstellung kann ich für meine Leser*innen leider sehr kurz zusammenfassen:
- Keine Ahnung vom Status Quo: Die Bundesregierung hat offenbar keinerlei Überblick, was der Stand der Umstellung ist
- Keinen Plan für die Umstellung: Die Bundesregierung hat Stand heute auch keinen Plan, wie sie bei der Umstellung vorgehen will
- Kein verbindliches Ziel: Die Bundesregierung kann keinen einzigen verbindlichen Meilenstein für die Umstellung nennen, geschweige denn ein Datum, bis zu dem die Umstellung erfolgt sein soll
- Zu wenig Ressourcen: nur 4 Stellen sind speziell mit diesem Vorhaben befasst
- Ungenügende Governance Strukturen: Die Arbeitsgruppe IPv6 trifft sich 2 mal im Jahr.
Außerdem muss ich leider ergänzen, dass die Bundesregierung dem Auskunftsrecht des Parlaments mit Mißachtung begegnet, denn mehrere Fragen wurden mit hanebüchenen Begründungen nicht angemessen beantwortet. Nachfolgend möchte ich meine Einschätzung im Detail begründen.
Die Bundesregierung hat keine Ahnung vom Status Quo
Ich hatte die Bundesregierung gefragt, welche Hardware und welche Software bereits IPv6-fähig ist, und welche Aufwände bisher anfielen für die Evaluation der IPv6-Fähigkeit. Die Antwort:
„Eine umfassende IST-Analyse und deren Prüfung hat bislang noch nicht flächendeckend stattgefunden. Somit wurden hierfür noch keine Mittel aufgewendet„.
Mit Verweis auf die noch fehlende IST-Analyse wurde mir dann auch keine inhaltliche Antwort auf die Frage nach IPv6-fähiger Hardware und Software gegeben, denn ohne Analyse weiß man die Antwort ja schließlich nicht. Erheiternd könnte man die Formulierung: „keine flächendeckende IST-Analyse“ finden, wenn davon die Rede ist, dass keinerlei Mittel für die IST-Analyse aufgewendet wurden. „Keine Mittel“ würde ich eher übersetzen als: „Es hat bisher keinerlei Ist-Analyse der IPv6-Fähigkeit stattgefunden“. Da irritiert es schon, dass die Bundesregierung trotzdem schon vor vielen Jahren öffentlich erklärte, dass sie prima aufgestellt sei.
Immerhin sagt die Bundesregierung auch, dass (nur) da, wo beschaffte IT Produkte (zufällig) herstellerseitig diese Eigenschaft mitbrächten und da, wo man sie bei Ausschreibungen gefordert hätte, die IPv6-Fähigkeit gegeben sei. Direkt danach der Satz: „Eine Aufschlüsselung bezüglich der Bestandssoftware der gesamten Bundesverwaltung ist somit nicht möglich.“ – die Kausalkette erschließt sich mir nicht und vermutlich auch niemand anderem. Hier weiß die BuReg einfach keine Antwort und deshalb gibt es sie nicht. Selbst da, wo die Bundesregierung eigene Leistungen betonen könnte, schweigt sie sich aus. Man erfährt durch Internetrecherche, aber nicht durch die Antwort auf meine Kleine Anfrage, dass die Netze des Bundes schon seit 2012 IPv6-fähig sind. Die Aussage findet sich im IP und ASN Referenzhandbuch vom September 2019, Seite 9.
Ich hatte die Bundesregierung auch gefragt, wie sie denn die IPv6-Fähigkeit feststellt, aber auch diese Antwort erhielt ich nicht, denn:
„Prüfung und Umsetzung der IPv6-only-Fähigkeit stehen im IPv6-Masterplan des Bundes, der als 1. Entwurf vorliegt und nun abgestimmt wird“
Apropos Masterplan, ich hatte auch danach gefragt, welche IT Systeme denn möglicherweise einen IPv4-Bestandsschutz erfordern, aber das weiß die Bundesregierung nicht…, denn auch diese Erkenntnis ist ebenfalls:
„Gegenstand des noch nicht finalisierten IPv6 Masterplans“
Ich fragte auch danach (Frage 25), welche IT-Systeme seit der Erklärung der Bundesregierung von 2009, ihre IT-Systeme auf IPv6 umstellen zu wollen, denn neu beschafft worden sind, aber nicht IPv6-fähig sind – und welche Mittel dafür (zukunftsfeindlich) ausgegeben worden sind. Die Antwort ist auch hier nicht die erwartete Information, also eine Liste von beschafften IT-Systemen, sondern wieder ein Verweis auf die Ersterwähnung des IPv6 Masterplanes.
Und das bringt mich zum nächsten Abschnitt…
Die Bundesregierung hat keinen Plan für die Umstellung
Schon in den Vorbemerkungen zu ihrer Antwort auf meine Fragen leistet die Bundesregierung einen Offenbarungseid:
„Die IPv6-Migrationsplanung steht noch am Anfang und wird in Kooperation mit den IT-Dienstleistern des Bundes sowie den Ressorts schrittweise voran getrieben“
Unverblümt gibt die Bundesregierung zu, dass es auch 9 Jahre nach der Erklärung der Bundes-CIO, dass die „öffentliche Verwaltung vorbereitet sei“ auf die IPv6-Umstellung, dass sie nicht einmal einen abgestimmten Plan für die Umstellung hat. In ihren Vorbemerkungen schreibt mir die Bundesregierung unmißverständlich:
„Trotz der getroffenene Festlegungen und Einzelvorhaben existiert bislang kein übergreifender Umsetzungsplan für die Einführung von IPv6.“
Aber man arbeitet daran, denn immerhin wurde im Jahr 2019, also geschlagene 8 Jahre nach globaler Vergabe der letzten IPv4 Adressen durch die IANA, das BMI von der Konferenz der IT-Beauftragten der Ressorts damit beauftragt, einen „Masterplan“ für die Umstellung auf IPv6 zu erarbeiten – den Masterplan, der endlich alle Fragen beantworten soll: z.B. wie man feststellt, was überhaupt der Status Quo ist, welche Systeme einen IPv4-Bestandsschutz brauchen und wie man überhaupt die Migration vornimmt. Einen Entwurf dieses eierlegenden-Wollmilchsau-Masterplan soll es bereits geben, aber was drin steht, erfahre ich nicht, denn der Plan ist ja noch in der Abstimmung.
Aber nicht mal der Entwurf scheint hinreichend konkret, denn zur Einrichtung von Testlaboren und Zertifizierungsstellen zur Evaluierung der IPv6-Tauglichkeit erklärt die Bundesregierung lapidar, dass dies noch geprüft wird.
Einen Sense of Urgency scheint es einfach nicht zu geben, denn immerhin enthielt schon die Architekturrichtlinie des Bundes im Stand Sommer 2018 eine klare Ansage inklusive Begründung für die Eile:
„Ein Migrationskonzept auf IPv6 ist daher zeitnah zur Konsolidierung zu erstellen“ (…)
„Die Implikationen der flächendeckenden Einführung von IPv6 sind aufgrund der vielfachen Abhängigkeiten sehr groß und werden dramatisch größer, je länger die Einführung hinausgezögert wird. Neben dem finanziellen Aufwand sind Ressourcenengpässe bei Dienstleistern und Schulungspersonal zu erwarten, so dass eine kurzfristige Umsetzung bei akutem Bedarf nicht realistisch ist.“
Die Bundesregierung hat kein verbindliches Ziel
Üblicherweise gibt es bei großen IT-Vorhaben Meilensteine und ein zeitliches Ziel, also irgend ein Datum bis zu dem man bestimmte Zwischenziele und das finale Ziel – die umfassende IPv6-Fähigkeit der Bundes-IT – erreicht haben möchte. An solchen Zeitplänen hangelt man sich entlang, sie sind wichtig für die Bereitstellung von Ressourcen und von konkreten Umsetzungsmaßnahmen. Sie zeigen auch Abhängigkeiten auf und ermöglichen letztlich die Messung der Zielerreichung. Ich fragte daher die Bundesregierung:
Wie sieht die Strategie der Bundesregierung zur Migration der Bundesbehörden auf IPv6 aus (Frage 21)?
- Wann wurde eine solche Strategie erstellt?
- Welche zeitlichen Meilensteine gibt es?
- Wurden diese Meilensteine in der Vergangenheit verschoben, und wenn ja warum?
Und das sind die Antworten der Bundesregierung:
zu 1: „Der Entwurf des IPv6-Masterplans für die Bundesverwaltung wurde im Jahr 2019 erstellt. In der Sitzung der Konferenz der IT-Beauftragten der Ressorts (KoITB) im Dezember 2019 wurde durch das BMI dieser Entwurf für einen IPv6-Masterplan für die Bundesverwaltung vorgelegt. Dieser befindet sich nach Rücksprache mit den Ressorts in weiterer Abstimmung.“
zu 2: „Mögliche Meilensteine werden im Entwurf des IPv6-Masterplans aus Sicht des BMI für die Bundesverwaltung in Kapitel 9, Abbildung 4 „IPv6 -Roadmap Bund“ skizziert. Konkrete Meilensteine sind insbesondere Gegenstand der weiteren Abstimmung.„
zu 3: „Da bislang keine konkreten Meilensteine für die Bundesverwaltung festgelegt wurden, hat keine Verschiebung stattfinden können.“
Das ist schon krass und da zeigen sich dann doch Unterschiede zu anderen Projekt Fails (Stichwort BER), denn die hatten wenigstens Meilensteine, die man versemmeln konnte. Diese Aussage macht die Bundesregierung schlappe 7 Jahre, nachdem ihre Bundes-CIO 2013 folgendes erklärte:
„Mit den vorliegenden Ergebnissen eines gemeinsamen Forschungs- und Entwicklungsprojektes des BMI, BVA und Fraunhofer Fokus kann die Einführung von IPv6 in der Öffentlichen Verwaltung vereinfacht und beschleunigt werden.“
„Die Ergebnisse stehen in Form von Empfehlungen, Produktprofilen und Leitlinien für die Migration kostenlos zur Verfügung. Unter nebenstehendem Link können diese abgerufen werden.“
Der erwähnte Link ist einer der Links, die ich zu den angepriesenen Materialien gefunden habe, keiner funktionierte, auch dieser nicht. Wer das testen will, klicke HIER.
Aber es besteht Hoffnung (Achtung, Sarkasmus!), denn im „IP und ASN Referenzhandbuch“ der Bundesregierung (Stand September 2019) wird mit Bezug auf eben jene praktischen Ergebnisse angekündigt:
„Die Ergebnisse, ein IPv4 zu IPv6 Migrationsleitfaden, ein Profil zur nachhaltigen Beschaffung von IPv6 tauglichen Komponenten für die öffentliche Verwaltung sowie weitere unterstützende Dokumente werden in Zukunft öffentlich im Internet verfügbar gemacht“
Donnerwetter, es handelt sich um Dokumente, die die Migrationsumsetzung erleichtern und beschleunigen sollen und die seit 7 Jahren vorliegen (!) und es gibt sie immer noch nicht verfügbar im Internet, auch nicht ein halbes Jahr nach dieser Ankündigung. Ich habe eine Vermutung, woran es (unter anderem) liegen könnte, dass dieses wichtige Thema derart schleppend voran kommt.
Zu wenig Ressourcen, ungeeignete Governance Strukturen
Welche Priorität eine Aufgabe bekommt, kann man überall daraus ableiten, wie viele Ressourcen ihrer Erledigung gewidmet werden. Die Umstellung der gesamten Bundes-IT – Hardware, Software und aller Arten IT-Systeme – von IPv4 auf IPv6 wird nach Aussage der Bundesregierung nur marginal durch interne Ressourcen unterstützt. Nimmt man ihre Aussage wörtlich, gibt es nur für den LIR-Aufbau und -Betrieb (also die Verwaltung des neuen IPv6-Adressraums) personelle Ressourcen des Bundes, nämlich 4 Vollzeitäquivalente (siehe Antwort auf meine Frage 39 zu den internen und externen eingesetzten Ressourcen). Mir ist jedoch mindestens eine Person im BMI bekannt, die sich mit den strategischen Fragen der Umstellung selbst befaßt. Ich vermute sie ist bei den 4 VZÄ mitgezählt. Das sind natürlich viel zu wenig Ressourcen, um eine solche Mammutaufgabe zu bewältigen.
Aber es gibt ja nicht nur dediziertes Personal im Bund, sondern seit 2010 auch eine „Arbeitsgruppe IPv6“, in der Vertreter aus Bund, Ländern, Kommunen, DOI, NdB, BSI, BIT, sowie öffentlichem Dienst miteinander arbeiten und seit 2011 zweimal jährlich (!) tagen. Ihr Ziel: IPv6 Knowhow bündeln, Vorschläge für die organisatorische und technische Umsetzung des IPv6 Adressraums erarbeiten, und eine Basis bilden für die Weiterentwicklung des Themas in der öffentlichen Verwaltung. Die ersten Meetings sollen in 2011 stattgefunden haben, das sind dann etwa 18 Meetings in 9 Jahren zur föderalen Abstimmung. Auf meine Frage zur Abstimmung des Bundes mit den Ländern (Frage 17) antwortete die Bundesregierung daher selbstbewußt:
„Im Ergebnis sind die Aktivitäten zur Einführung von IPv6 sehr gut zwischen Bund und Ländern abgestimmt und die Erfahrungen aus den Ländern tragen zur Qualität der Konzepte und Planungen des Bundes signifikant bei.“
Da von den Konzepten und Planungen offensichtlich wenig finalisiert ist, kann ich ihre Qualität nicht wirklich beurteilen. Aber mir fiel noch etwas anderes auf. Ich fragte nämlich auch in Frage 24 nach der Bund-Länder Koordination. Die Antwort:
Bezogen auf IPv6 findet die fachliche Abstimmung in der IPv6-Arbeitsgruppe des BMI statt.
Also wieder die AG IPv6. Rechnen wir mal nach: Es gibt 16 Bundesländer in Deutschland, in der AG IPv6 sollen neben den Ländern aber auch der Bund, Kommunen und Vertreter*innen diverser Institutionen und Projekte mitarbeiten – von BSI bis Netze des Bundes. Diese AG müßte also über den Daumen gepeilt mindestens 20, eher 30 Mitglieder haben. Auf meine Frage 22 zu den Organisationsstrukturen der IPv6-Umstellung gibt die Bundesregierung jedoch an, dass die AG nur 15 Mitglieder hat. Mit anderen Worten, es gibt nicht einmal ein Gremium, in dem alle Bundesländer am Austausch beteiligt sind!
Gefragt hatte ich jedoch nicht nur nach internen, sondern auch nach externen Ressourcen. Da sind seit 2007 bis heute immerhin 4,3 Millionen Euro an ein Forschungsprojekt von Fraunhofer Focus und an diverse Beratungsunternehmen geflossen. Fast die Hälfte entfiel dabei auf das schon mehrfach erwähnte Forschungsprojekt, das 2013 abgeschlossen war und dessen Arbeitsergebnisse vielleicht im Jahre 2020 das Licht der Öffentlichkeit erblicken werden… So kann ich auch nicht beurteilen, ob die Arbeitsergebnisse ihr Geld wert waren oder nicht. Ich kann bestenfalls vermuten, dass sie nach 7 Jahren hoffnungslos veraltet sind.
In meiner Kleinen Anfrage habe ich noch eine Reihe weiterer Themen angesprochen, z.B. Fragen der IT Sicherheit und des Datenschutzes im Zusammenhang mit IPv6. Ich gehe hier nicht auf jede Frage und Antwort ein, denn dieser Text ist auch so schon sehr lang geworden. Ich verweise daher interessierte Leser*innen auf das ganze Dokument mit meinen Fragen und den Antworten der Bundesregierung. Es ist veröffentlicht mit der Drucksachennummer: 19/17389.
Fazit
Alle bisher beschriebenen Sachverhalte haben natürlich miteinander zu tun. Wenn die Bundesregierung keinen Schimmer vom Stand der IPv6-Fähigkeit hat, kann sie auch schwerlich einen klugen Migrationsplan entwickeln. Wenn sie keine ausreichenden Ressourcen bereitstellt und ineffektive Governance Strukturen unterhält, scheitert ein komplexes IT Vorhaben nicht erst bei der Umsetzung, sondern schon bei der Planerstellung. Wenn es aber keine Meilensteine und keine verbindlichen Vorgaben gibt, dann kann die Bundesregierung auch die einfache Frage nicht beantworten, welche IT Systeme für wie viel Geld in den letzten Jahren beschafft worden sind, die nicht IPv6 fähig sind und sie kann auch nicht garantieren, dass bei jeder Ausschreibung die IPv6 Fähigkeit eine zwingende Voraussetzung für die Beschaffung von IT ist (auf meine Frage, ob IPv6 als Anforderung an externe Dienstleister weitergegeben wird, antwortete die Bundesregierung zumindest nur, dass „an einzelne Dienstleister, insbesondere an Hersteller von zertifizierten IT-Sicherheitskomponenten, die Unterstützung von IPv6 als Anforderung gestellt wurde“, und dass die Architekturrichtlinie des Bundes eine „wichtige Grundlage“ sei – Verbindlichkeit klingt für mich anders).
Man darf gespannt sein, was der angekündigte Masterplan IPv6 so alles enthält, mal schauen, wie lange die interne Abstimmung noch dauert. Der Bundesregierung scheint es auf ein paar Jahre mehr oder weniger ja nicht wirklich anzukommen.
