Eine VoIP-Infrastruktur benötigt ein Sicherheitskonzept

Wege zum sicheren VoIP

Da VoIP die normale Netzwerk-Infrastruktur nutzt, weist sie auch dieselben Sicherheitsrisiken auf. Existierende (und künftige) Schwachstellen lassen sich aber auch leicht beheben.

Lauschangriff, Gebührenbetrug oder Denial of Service: Peter Cox, Sicherheitsexperte aus England und Entwickler von SIPtap, ist nicht der Erste, der auf die Gefahren der VoIP-Telefonie hinweist. Wenn also VoIP im Unternehmen als zentrales Kommunikationsmedium zum Einsatz kommen soll, ist es unabdingbar, die VoIP-Komponenten zuverlässig abzusichern.

Dieses Unterfangen ist allerdings nicht trivial und reichlich komplex. Bei klassischen Telefonanlagen reicht es häufig bereits, sie in ausreichend zugangsgeschützten Räumlichkeiten zu installieren. Dagegen ist bei der IP-Telefonie wesentlich mehr zu beachten:

VoIP ist durch alle von den IP-basierten und lokalen Netzen bekannten Mängel und Sicherheitsprobleme gefährdet: Beispiele sind Denial-of-Service-Attacken, Routing-Umlenkungen, Man-in-the-Middle-Angriffe oder das Abhören des Sprachverkehrs durch Sniffing. Dazu kommen auch noch Angriffe, die speziell die VoIP-Protokolle im Visier haben, wie etwa die Manipulation von Call-Routing-Tabellen.

Cyber-Kriminelle erhalten mit VoIP ganz neue Möglichkeiten: Für sie ist es ein Leichtes, die Absenderkennung zu verändern und das System für so genannten Spit (Spam over Internet-Telephony) oder Phishing zu missbrauchen. Hacker-Tools, mit denen sich VoIP-Systeme knacken lassen, sind inzwischen nicht nur in großer Vielfalt verfügbar. Sie lassen sich auch von technisch nur mittelmäßig versierten Angreifern nutzen, die so mit verhältnismäßig geringem Aufwand die entsprechenden Systeme manipulieren können.

Eine aus der IT-Welt bekannte Methode ist beispielsweise das Pharming: Die Gespräche werden über einen Fremdserver geleitet – gänzlich unbemerkt vom Benutzer. Die Hacker können die Telefonate abhören oder SIP-Passwörter abfangen.