Telekommunikation 08.04.2005, 18:38 Uhr

Internet-Telefonie – die unterschätzte Gefahr aus dem Hörer  

Die Formel „mal so richtig kostengünstig übers Internet telefonieren“ hat einen Boom ausgelöst. Auf der CeBIT 2005 präsentierten zahlreiche Anbieter neue Lösungen. Doch gilt es den Schutz der kritischen Infrastruktur nicht zu vernachlässigen, begleitende Schutzmaßnahmen sind gefordert.

Das Telefonieren über das internetbasierte Protokoll – Voice over IP (VoIP) genannt – liegt zwar im Trend, stellt jedoch auch hohe Anforderungen an die IT-Sicherheit. „Je nach benutzter Software liegen die Daten von Mitarbeitern und Geschäftspartnern unverschlüsselt auf der Festplatte und können von Spyware und Trojanischen Pferden ausspioniert werden“, weiß Raimund Genes, President of European Operation beim Antivirenhersteller Trend Micro Deutschland GmbH.

„Um VoIP in vollem Umfang nutzen zu können, müssen eingehende Verbindungen erlaubt werden, was zu einem Aufweichen der Firewall-Policy führen kann“, gibt Genes zu bedenken. In der Tat kann sich die allzu leichtfertige Implementierung einer VoIP-Lösung schnell rächen, etwa durch Spyware, die unbemerkt alle Telefonate mitprotokolliert. Zahlreiche derzeit auf dem Markt verfügbare Lösungen kommunizieren über öffentliche Netze und bieten deshalb oft keinerlei Verschlüsselungsmechanismen an, wodurch Abhörversuchen aus dem Internet Tür und Tor geöffnet ist.

Vollends aus dem Ruder läuft das System, wenn die Software quasi unbemerkt auch noch das Übertragen von Dateien erlaubt und damit Malicious Code ins Netzwerk gelangt. „Sichere Kommunikation ist dringend erforderlich, da sich Voice over IP viel leichter mitschneiden lässt, als herkömmliche Telefonate“, gibt Sebastian Schreiber, Geschäftsführer der auf IT-Schwachstellentests spezialisierten Syss GmbH zu bedenken.

Gefragt sind zum einen die Hersteller von Telefonen und Serverprodukten. Aber auch Provider und Dienstleister müssen neue Konzepte entwickeln. Die Snom Technologies AG in Berlin setzt etwa auf ein selbst entwickeltes Produkt und legt dabei viel Wert auf die sichere Kommunikation. Bereits in der Entwicklung habe man das Produkt intensiv auf eventuelle Schwachstellen untersucht, erläutert Geschäftsführer Christian Stredicke: „Wir machen unsere Kunden auf die verwundbaren Stellen aufmerksam und erklären, wie man sich am besten dagegen schützt.“

Technisch gesehen hält Snom die beiden derzeit gängigen VoIP-Standards Secure Real-Time Protocol (SRTP) und Session Initiation Protocol (SIP) zwar für ausreichend, offeriert seinen Kunden aber auch zusätzliche Schutzmaßnahmen, etwa eine „Trust-Relationship-Software“. Damit kann der Kunde überprüfen, ob ein Sprach- bzw. Datenpaket aus einer vertrauenswürdigen Quelle stammt. „Das machen wir ganz pragmatisch anhand der IP-Adressen“, so Stredicke.

Die Anbieter von VoIP-Dienstleistungen wappnen ihre technischen Infrastrukturen gegen den drohenden Missbrauch. „Die Kommunikation innerhalb eines Unternehmens sollte grundsätzlich nur über mit IPsec abgesicherten VPN-Tunneln zwischen den Unternehmensstandorten erfolgen“, sagt Ralf Koenzen, Geschäftsführer der Lancom Systems GmbH in München. Damit könne man unbefugtes Mithören von Gesprächen verhindern.

Lancom kündigt eine Gateway-basierte Lösung an, welche eine optimale Integration der vorhandenen TK-Infrastruktur in zentrale VoIP-Anlagen und öffentliche Netze ermögliche. „Das Gateway entscheidet automatisch, ob Telefonanrufe über das ISDN-Netz, über einen öffentlichen SIP-Anbieter oder einen geschützten VPN-Tunnel direkt in die Zentrale gelangt“, sagt Koenzen.

Auch die Großen der IT-Branche wie Netzwerkspezialist Cisco haben die Risikozone Voice over IP mittlerweile längst im Visier. Siemens Communication stellte auf der CeBIT ein neues Produkt vor, eine SIP-basierte Lösung für Geschäftskunden. Diese garantiere auf der Basis einer verschlüsselten Sprachinformation im IP-Netz eine sichere Kommunikation sowohl im Firmennetz, als auch an verteilten Standorten und Filialen.

Trotz der Bemühungen um ausreichend Schutz auf dem boomenden VoIP-Markt geben Experten keine Entwarnung. Trend Micro-Experte Raimund Genes sieht schon neues Unheil heraufziehen, etwa durch Telefon-Spam (Spit). „Vollautomatisierte Anrufe von Direktvermarktungsfirmen sind technisch möglich und für den Verursacher außerdem kostenlos.“ Dagegen schütze analog zur E-Mail-Nutzung ein sinnvoller Umgang mit der VoIP-Kennung (ENUM) sowie für die jeweiligen Anrufer separat geführte Black- und Whitelists.

Denkbar sind künftig aber auch spezielle Würmer, die sich über VoIP-Netzwerke verbreiten. Wichtig ist nach Auffassung von Experten auch ein verschlüsselter Datenverkehr analog zur E-Mail-Nutzung, in vielen Unternehmen noch immer kein Standard. „Die Telefone sind ja nichts anderes als ein kleiner, billiger PC mit einem normalen Betriebssystem“, sagt Sicherheitsexperte Sebastian Schreiber.

Es sei durchaus möglich, dass ein herkömmlicher Wurm auch ein VoIP-Telefon befalle. Da erste Anbieter wie Purtel.com mit SIP-Mobile bereits die Internet-Telefonie vom Handy aus anbieten, genießt ein sorgsamer Aufbau der IT-Infrastruktur eine umso höhere Priorität. Es gilt also mit proaktiven Konzepten rechtzeitig auf den VoIP-Boom zu reagieren – bevor Viren ihn ersticken. LOTHAR LOCHMAIER

Single Point of Failure? Die VoIP-Risiken

–  Denial of Service (DoS) Attacken – Angriff auf Sprachkommunikation

– Call Interception – Mitlesen von Sprachpaketen

– Signal Protocol Tampering – Manipulation von Gesprächen

– Presence Theft – Vortäuschen eines Benutzers

– Toll Fraud – Unerlaubtes Aufbauen von Gesprächen

– Call Handling OS – Nicht gehärtete Betriebssysteme, auf denen die VoIP Dienste laufen

– Insbesondere DoS Attacken und das Betriebssystem, auf dem die IP-Telefone und auch die zentrale Vermittlungssoftware laufen, sind zentrale Risikozonen

– Selbst neue Handy-Betriebssysteme wie Symbian kennen schon über 30 bekannte Viren

Ein Beitrag von:

  • Lothar Lochmaier

Themen im Artikel

Stellenangebote im Bereich Softwareentwicklung

AGCO GmbH-Firmenlogo
AGCO GmbH Softwareentwickler (m/w/d) elektronische Steuergeräte Marktoberdorf
Northrop Grumman LITEF GmbH-Firmenlogo
Northrop Grumman LITEF GmbH Softwareingenieur (m/w/d) Produktentwicklung Freiburg
TECCON Consulting&Engineering GmbH-Firmenlogo
TECCON Consulting&Engineering GmbH Softwareentwickler (m/w/d) Java / Spring / Hibernate / Maven keine Angabe
h.a.l.m. elektronik GmbH-Firmenlogo
h.a.l.m. elektronik GmbH Application Engineer (m/w/d) Solarzellen EL-Qualitätskontrolle mittels Machine-Learning Frankfurt am Main
Bertrandt Services GmbH-Firmenlogo
Bertrandt Services GmbH Software Entwickler (m/w/d) keine Angabe
Bertrandt Services GmbH-Firmenlogo
Bertrandt Services GmbH Embedded Software Entwickler (m/w/d) keine Angabe
Fraunhofer-Institut für Hochfrequenzphysik und Radartechnik FHR-Firmenlogo
Fraunhofer-Institut für Hochfrequenzphysik und Radartechnik FHR Entwicklungsingenieur*in Radar Software-Framework TIRY-System: Tracking and Imaging Radar Wachtberg bei Bonn
EschmannStahl GmbH-Firmenlogo
EschmannStahl GmbH Ingenieur für Automatisierungstechnik (M/W/D) Reichshof-Wehnrath
Wolf GmbH-Firmenlogo
Wolf GmbH Entwicklungsingenieur (m/w/d) Softwareentwicklung Mainburg
Torqeedo GmbH-Firmenlogo
Torqeedo GmbH Entwicklungsingenieur Embedded Software (m/w/d) für elektrische Antriebssysteme Gilching

Alle Softwareentwicklung Jobs

Top 5 IT & T…

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.