IPv6 für Unternehmen: Was sich bei der Umstellung ändert

Das Internet läuft seit Jahrzehnten auf IPv4 – einem Adressraum mit rund 4,3 Milliarden möglichen Adressen. Klingt viel, ist aber seit Jahren erschöpft. IPv6 ist der Nachfolger mit faktisch unbegrenztem Adressraum. Was das für Unternehmensnetzwerke konkret bedeutet und worauf IT-Verantwortliche jetzt achten sollten.

Warum IPv4 zur Neige geht

Die IANA (Internet Assigned Numbers Authority) vergab den letzten IPv4-Adressblock bereits 2011 an die regionalen Registrare. Seitdem wird IPv4-Adressraum gehandelt, gespart und durch Technologien wie NAT (Network Address Translation) gestreckt.

NAT ermöglicht es, dass viele interne Geräte hinter einer einzigen öffentlichen IP-Adresse sitzen. Das funktioniert – ist aber technisch gesehen ein Workaround, der Probleme mit sich bringt: komplizierte Konfigurationen, erschwertes Ende-zu-Ende-Debugging, Inkompatibilitäten mit manchen Anwendungen.

IPv6 löst das Grundproblem: Mit 128-Bit-Adressen stehen theoretisch 340 Sextillionen Adressen zur Verfügung – genug für jeden Sensor, jedes Gerät, jede Anwendung, die je ans Netz gehen könnte.

Was IPv6 technisch anders macht

Adresslänge: IPv4-Adressen haben 32 Bit (z. B. 192.168.1.1). IPv6-Adressen haben 128 Bit und werden hexadezimal geschrieben (z. B. 2001:0db8:85a3::8a2e:0370:7334). Die Schreibweise ist ungewohnt, die Funktion dieselbe.

Kein NAT mehr notwendig: Theoretisch kann jedes Gerät eine eigene öffentliche IPv6-Adresse erhalten. NAT als Workaround wird überflüssig – vereinfacht Netzwerktopologien erheblich.

Stateless Address Autoconfiguration (SLAAC): Geräte können sich automatisch IPv6-Adressen generieren, ohne DHCP-Server. Weniger Verwaltungsaufwand, aber auch neue Herausforderungen für die Kontrolle.

IPsec-native: IPv6 wurde mit eingebautem IPsec-Support entworfen – Verschlüsselung auf Netzwerkebene ist von Anfang an mitgedacht.

Sicherheitsimplikationen: Die Firewall wird wichtiger

Hier liegt ein oft unterschätzter Punkt: Ohne NAT ist theoretisch jedes Gerät im Netzwerk direkt aus dem Internet erreichbar – wenn die Firewall das zulässt. Das ist eine fundamentale Veränderung gegenüber IPv4, wo der NAT-Router eine natürliche erste Barriere darstellte.

IPv6 macht Firewalls nicht überflüssig – im Gegenteil. Eine sauber konfigurierte IPv6-Firewall, die Inbound-Verbindungen zu internen Geräten blockt und nur legitimen Datenverkehr passieren lässt, ist Pflicht. Wer IPv6 aktiviert ohne seine Firewall-Regeln anzupassen, öffnet potenzielle Einfallstore.

Was Unternehmen konkret prüfen müssen

Internetanbieter: Unterstützt Ihr ISP IPv6? Die meisten großen Provider haben IPv6 im Angebot, aber nicht alle aktivieren es standardmäßig. Nachfragen lohnt sich.

Firewall/Router: Kann Ihre aktuelle Firewall IPv6 verarbeiten und korrekte Filterregeln für IPv6-Verkehr anwenden? Ältere Geräte können hier ein Problem sein.

Server und Dienste: Sind Ihre internen Server und Dienste IPv6-fähig? Viele moderne Betriebssysteme unterstützen IPv6 nativ, aber Anwendungsserver und spezielle Software müssen geprüft werden.

DNS: Die DNS-Infrastruktur muss AAAA-Records (IPv6-Adresseinträge) unterstützen und korrekt auflösen.

Dual-Stack als pragmatischer Übergangspfad

Niemand muss IPv4 von einem Tag auf den anderen abschalten. Dual-Stack bedeutet, dass Systeme und Netzwerkgeräte beide Protokolle gleichzeitig sprechen. IPv6-fähige Gegenstellen kommunizieren über IPv6, alle anderen weiter über IPv4. Das ermöglicht eine schrittweise Migration ohne harten Schnitt.

Für die meisten Unternehmen ist Dual-Stack der richtige Weg: IPv6 aktivieren, testen, Firewall-Regeln anpassen – und IPv4 parallel weiter betreiben, bis alle Dienste sicher migriert sind.

Sie wollen Ihr Netzwerk zukunftssicher gestalten und wissen nicht, wo Sie mit IPv6 anfangen sollen? Unser Team in Gladbeck unterstützt Sie bei der Analyse und sicheren Einführung. Zu den Managed IT Services von VIOCOM