Stellen Sie sich vor: Ihre Voice-Mailbox ist voll - doch es sind keine Nachrichten von Freunden oder Kollegen. Der Speicherplatz wird stattdessen belegt von automatischen Anrufen, die garantiert echte Rolex-Uhren, Arznei- und Potenzmittel oder billige Kredite versprechen.Noch ist dieses Szenario zwar Zukunftsmusik, doch mit der Verbreitung der IP-Telefonie könnte die unter dem Namen "Spit" (Spam over Internet Telephony) bekannte Spam-Variante Wirklichkeit werden.
Unerwünschte Nachrichten rücken auch bei VoIP das Thema Sicherheit immer stärker in den Mittelpunkt. Ein Beleg dafür ist die Gründung der
VoIP Security Alliance (VoIPSA) in diesem Frühjahr. Mehrere Hersteller haben sich in diesem Gremium zusammengeschlossen, um anstehende Probleme zu lösen. Auch Anwender fragen sich, welche Angriffspunkte die neue TK-Welt bietet. Es gibt eine Reihe von Ansatzpunkten, an denen VoIP Möglichkeiten für Angriffe, Missbrauch oder Störungen bietet.
Gefahr von Lauschangriffen
Da wäre neben Spit die Gefahr des Abhörens zu nennen. Ähnlich wie in klassischen TK-Netzen können Übeltäter ohne weiteres Gespräche belauschen oder aufzeichnen. Sie benötigen dazu nur den physischen Zugang zum Netz, am besten am Management-Port eines Switches. Mit im Internet frei verfügbaren Tools wie "Ethereal" oder "Cain & Abel" lassen sich Datenpakete mitschneiden, in denen die Sprachkommunikation enthalten ist, und das Gesagte per Mausklick als Audiodatei abspeichern. Christian Louis, Security Consultant bei einem großen deutschen Systemhaus, ergänzt: "Es wäre möglich, mit Hilfe eines auf einem Client installierten Agenten beziehungsweise eines Trojaners Gespräche abzuhören oder mitzuschneiden. Das ist ein Kinderspiel."
Gefahr droht zudem in Gestalt von Denial-of-Service (DoS)-Attacken, die entweder die IP-TK-Anlage oder aber das komplette Sprachnetz lahm legen können. Dabei wird das Netz mit einer Unmenge von Anfragen oder aber speziellen Datenpaketen geflutet. In Fachkreisen werden beispielsweise nicht der Norm entsprechende SIP-Pakete (Session Initiation Protocol) als Gefahr diskutiert. In der VoIPSA-Mailing-Liste warnt ein Diskussionsteilnehmer: "Solange man nicht auf ein genau definiertes SIP-Profil besteht und sämtliche Nachrichten ausfiltert, die dem nicht entsprechen, existiert eine bedeutende Schwachstelle, die Attacken durch missgebildete SIP-Pakete oder -Sequenzen nach sich ziehen kann."
Ein anderer Diskutant weist darauf hin, wie einfach es ist, mit einem Hacker-Tool wie "Ettercap" und der Erweiterung "Etterfilter" die VoIP-Infrastruktur mit Techniken wie beispielsweise ARP Cache Poisoning (Adress Resolution Protocol) oder ARP Flooding zu stören.
Verwundbar sind aber auch die IP-Telefonie-Server selbst. Sie basieren auf Windows und Linux. Zwar härten Hersteller die Software, indem sie nicht benötigte Dienste entweder deaktivieren oder aber komplett entfernen. Dennoch bleibt ein Restrisiko. Die Sicherheitsexperten von
Internet Security Systems (ISS) haben erst vor kurzem vor mehreren Schwachstellen in Ciscos "Call Manager" gewarnt. Diese könnte ein Angreifer ausnutzen, um durch das Senden spezieller Datenpakete einen Speicherüberlauf zu provozieren. Er könnte die Kontrolle über den TK-Server übernehmen.
Neel Mehta, Team Leader der ISS-Forschungseinheit X-Force, bezeichnete die Fehler zwar als "sehr schwerwiegend", jedoch nicht Cisco-spezifisch. Auch andere Hersteller von IP-Telefonie-Servern hätten mit derartigen Problemen zu kämpfen. Ein Blick in die Bug-Track-Liste des Open-Source-VoIP-Servers
Asterisk bestätigt dies.
Daneben warnen Spezialisten davor, dass sich im VoIP-Umfeld Angreifer in eine Konversation einschalten könnten (Man-in-the-Middle-Attack), um diese zu manipulieren. Auch der gezielte Missbrauch von Services ist möglich: Dabei hackt sich ein Angreifer unter falscher Identität in das VoIP-System und kann dann auf Kosten von Dritten Dienste in Anspruch nehmen.
Von Firewalls kaum zu entdecken
In einem anderen Szenario versuchen Übeltäter, Attacken gegen die IT-Infrastruktur eines Unternehmens in einem Sprach-Daten-Strom zu verstecken. Für Firewalls oder andere Abwehr-Software wäre ein derartiger Angriff nur sehr schwer zu bemerken. Marius Nacht, Gründer und Senior Vice President von
Check Point Software, erklärt: "Um solche Attacken zu erkennen, müssen der Sprachstrom gründlich inspiziert und eventuell die einzelnen Pakete zusammengesetzt werden. Das kann jedoch zu Latenzproblemen innerhalb der Kommunikation führen und Verzögerungen verursachen."
Verkompliziert wird dies zusätzlich, wenn das Unternehmen die IP-Kommunikation verschlüsselt. Dann müsste die Firewall den Datenstrom ohne Zeitverlust dechiffrieren, überprüfen, eventuell zusammensetzen, wieder verschlüsseln und weitersenden, ohne die von der
International Telecommunication Union (ITU) geforderte Latenz-Obergrenze von 150 Millisekunden zu überschreiten. Wie die Geräte das leisten sollen, weiß Check Point nicht.
Kommunikation lahm legen
Angesichts dieser Angriffsmöglichkeiten schlagen die Anbieter von Sicherheitslösungen Alarm.
Symantec etwa warnt, dass erfolgreiche Angriffe "Unternehmen lahm legen, die für die Produktivität benötigte Kommunikation zum Stillstand bringen und aufgebrachte Kunden, Gewinneinbußen und Imageschäden nach sich ziehen" könnten. Experte Nacht kritisiert: "Kein Hersteller kümmert sich heute um VoIP-Sicherheit, alle sind damit beschäftigt, dass die Anrufe überhaupt zustande kommen."
Das stimmt allerdings nicht. Anbieter wie
3Com,
Cisco oder
Avaya bemühen sich durchaus um den Security-Aspekt der IP-Telefonie. Das starke Interesse an entsprechenden Lösungen beweist auch die VoIPSA: Deren Mitgliederliste liest sich wie das Who’s who der Netz-, Security und TK-Branche. Auch Fachmann Louis ist sich sicher: "Die Sicherheit von VoIP innerhalb von Unternehmensnetzen haben Hersteller wie Cisco oder Avaya bereits gut im Griff."
Sicherheits-Check
Ein Test der IDG-Techniklabors bestätigt das: Die Kollegen hatten im vergangenen Jahr mehrere VoIP-Hersteller gebeten, ihre Produkte einem Sicherheits-Check zu unterziehen. Nur Cisco und Avaya nahmen die Herausforderung an. Beide Anbieter bauten ihre Telefonanlagen im Labor samt den von ihnen dafür vorgesehenen Sicherheitseinrichtungen auf. Anschließend versuchte eine Gruppe von Hackern drei Tage lang, die Systeme zu manipulieren beziehungsweise zu sabotieren. Mit nur mäßigem Erfolg.
So gelang es ihnen nicht, die Cisco-Anlage mit dem "Call Manager 4.0" als Herzstück auch nur ansatzweise zu stören. "Secure like a rock", lautete das Urteil der Experten. Avaya schnitt nicht ganz so gut ab: Die Hacker schafften es in einem Szenario des Herstellers, eine Schwachstelle auszunutzen und so das Registrieren von IP-Telefonen beim zentralen "G650 Media Gateway" zu verhindern. Das kommt jedoch nur dann vor, wenn ein IP-Telefon neu eingesteckt wird beziehungsweise umzieht. Die Avaya-Lösung wurde wegen der nur geringen beziehungsweise temporären Art der Beeinträchtigung als "widerstandsfähig" eingestuft, die zweithöchste von insgesamt vier Kategorien.
Unverkrampft sehen auch die Analysten von
Gartner die Sicherheit der IP-Telefonie. Sie gehen sogar so weit, VoIP-Security für eines von fünf derzeit am meisten überbewerteten IT-Sicherheitsthemen zu erklären. Die Spezialisten begründeten ihren Standpunkt auf dem "IT Security Summit" in Washington im Juni damit, dass Attacken auf IP-Telefonie-Systeme rar sind. Außerdem ähnelten die Schutzmaßnahmen für IP-Telefonanlagen denen, die in klassischen TK-Umgebungen zur Verfügung stehen. Für Lawrence Orans, Principal Analyst bei Gartner, steht fest: "Die Vorteile der IP-Telefonie überwiegen gegenüber den Sicherheitsrisiken."
Diese Einschätzung bestätigen Erkenntnisse von
Cybertrust. Wie Artur Heil, Head of Operations Central Europe, berichtet, registrieren die Experten jedes Jahr etwa 4.000 neue Schwachstellen innerhalb unternehmenskritischer Software. Seit 2002 verzeichneten die Experten jedoch gerade einmal 35 Sicherheitslücken im VoIP-Umfeld.
SO SICHER WIE HERKÖMMLICHE TELEFONIE
Bei der Diskussion um die Sicherheit der neuen Technik sollte man zusätzlich bedenken, dass auch die traditionellen Telefonsysteme Schwachstellen besitzen, die Angreifer ausnutzen können. Thomas Boele, Marketing Manager bei 3Com Deutschland, erklärt: "Die klassische TK-Welt basiert auf ‘Security by Obscurity’." Die Technik der Geräte sei sehr proprietär, die Anlagen zum Teil so kompliziert zu bedienen, dass sich nur wenige damit wirklich auskennen. Boele ist - wie auch Berater Louis - überzeugt davon, dass VoIP sicherer sein kann als herkömmliche Telefonie.
Anwender, die VoIP im Unternehmen einsetzen wollen, sollten allerdings ein paar Empfehlungen beherzigen. So sollten von Anfang an der Schutz der Telefonie bedacht und entsprechende Konzepte entwickelt werden. Dazu gehört das - zumindest logische - Trennen des Daten- und des Sprachverkehrs. Das kann beispielsweise mit Hilfe von virtuellen LANs (VLANS) geschehen. Das ist eine Vorraussetzung, um angestrebte Dienstequalitäten und die Verfügbarkeit zu garantieren. Zusätzlich sollten sämtliche Bereiche mit DoS-Abwehrmechanismen ausgestattet sein, um das Fluten von Netzsegmenten mit störenden Inhalten verhindern zu können.
Sprache verschlüsseln
Zum Schutz vor ungebetenen Lauschern könnten Anwender Verschlüsselungsmaßnahmen implementieren. Sicherheitsexperte Louis: "VoIP ist letztlich nur eine Anwendung wie andere auch, die man durch Maßnahmen wie Verschlüsselung vor solchen Gefahren schützen kann." Das kann zum Beispiel mit einem Standard wie
Secure Real Time Protocol (SRTP) geschehen, den jedoch "nicht alle Hersteller benutzen". Leider stellt er auch für Anwender eine Herausforderung dar: "Um Verfahren wie SRTP mit höchstmöglicher Sicherheit verwenden zu können, muss eine Public Key Infrastructure (PKI) vorhanden sein", betont Louis. Dadurch verkompliziere sich der VoIP-Einsatz."
Alternativ könnten IPsec-VPNs für mehr Abhörsicherheit sorgen. An einer weiteren Lösung des Problems arbeitet derzeit Phil Zimmermann, der Vater des E-Mail-Verschlüsselungsverfahrens "Pretty Good Privacy" (PGP). Er hat
ein Verfahren entwickelt, mit dem sich IP-Telefonie auch ohne eine PKI realisieren lässt. Zimmermann will die Technik als eigene Lösung auf den Markt bringen, aber auch anderen Herstellern anbieten, damit diese sie in ihre eigenen Produkte integrieren können.
Außerdem empfiehlt sich, eine leistungsfähige Zugangskontroll- und Authentifizierungslösung für das VoIP-System zu installieren. So lassen sich unbefugte Zugriffe vermeiden. Der Zugang zu Wartungs- beziehungsweise Management-Zwecken sollte über
IPsec oder
Secure Shell (SSH) erfolgen.
Das National Institute of Standards and Technology (NIST) rät in dem lesenswerten Report Security Considerations for Voice over IP Systems (englischsprachiges PDF) sogar dazu, möglichst keine Fernwartung zu benutzen und stattdessen nur von physikalisch sicheren Systemen auf die VoIP-Server zuzugreifen.
Probleme beherrschbar
Befolgt man diese und andere Maßnahmen, die detailliert in dem NIST-Bericht nachzulesen sind, dann sollte dem sicheren Einsatz der IP-Telefonie im Unternehmen nichts im Wege stehen. Experte Louis resümiert: "Unternehmen, die VoIP einführen wollen, sollten sich durch Sicherheitsfragen nicht abschrecken lassen. Gerade im Unternehmensumfeld lässt sich das Thema gut kontrollieren."
VoIP-Gefahren
- Abhören von Gesprächen mittels Tools wie Ethereal.
- Denial-of-Service-Attacken gegen die TK-Anlage.
- unberechtigtes Benutzen von IP-Diensten.
So wird VoIP sicher
- Daten und Sprache im Netz zumindest logisch voneinander trennen.
- Heikle Übertragungen verschlüsseln.
- Starke Zugangskontroll- und Authentifizierungssysteme installieren.
- Technische Lösungen implementieren, um Denial-of-Service-Attacken, ARP Cache Poisoning und ARP Flooding zu verhindern.
- IP-Telefonieanlagen vor Missbrauch der Administratorfunktion schützen.
- Standard-Passwörter für VoIP-Anlagen und Telefone ändern.
- Softphones wo möglich vermeiden.
- Regelmäßig neue Patches für die Systeme einspielen.
Fazit
Sicherheitsprobleme bei VoIP lassen sich nicht leugnen, aber in ähnlicher Form plagten sie bereits die klassische TK-Welt. Auch dort ließen sich Gespräche abhören, TK-Anlagen hacken oder Telefonieservices missbrauchen. Unternehmen sollten sich Gedanken um den Schutz dieser Umgebung machen, sich jedoch durch Sicherheitsbedenken nicht von VoIP abhalten lassen.
* Der Autor des Artikels, Martin Seiler, ist Redakteur der
deutschen COMPUTERWOCHE, einer Schwesterpublikation der Computerwelt.
Mit freundlicher Genehmigung von
Computerwelt.at