Mit VoIP hat die Digitalisierung der analogen Welt die Telefonie erreicht. VoIP beschreibt eine Technik, bei der Sprache digitalisiert und in Form von Datenpaketen mit Hilfe des Internet-Protokolls (IP) übertragen wird. In diesem Punkt unterscheidet sich die Technologie nicht nur von der analogen Technik, sondern auch von der digitalen Festnetz-Telefonie (ISDN), wo digitalisierte Sprache kontinuierlich mit einer festen Bandbreite über eine reservierte Leitungsverbindung zwischen den Gesprächspartnern übertragen wird.
Vererbte Schwächen
Unternehmen, die VoIP dauerhaft erfolgreich betreiben wollen, müssen neben hoher Sprachqualität auch die Sicherheit der IP-Telefonie garantieren. Doch das ist gar nicht so einfach. Ein grundlegendes Problem ist, dass gesetzlich vorgeschriebene Standards für herkömmliche TK-Anlagen wie das Telekommunikationsgesetz oder die Telekommunikationsüberwachungsverordnung bei VoIP nicht greifen.
Zudem nutzt die IP-Telefonie Medien, auf die extrem viele Anwender Zugriff haben. Gleichzeitig werden sämtliche Mängel und Sicherheitsprobleme öffentlicher TCP/IP-basierter Netze und lokaler Netzwerke weiter "vererbt". Und auf Grund der meist fehlenden Verschlüsselung können Hacker Gespräche ohne große Probleme belauschen.
Die Methoden und die breite Verfügbarkeit von entsprechenden Tools für einen Angriff auf VoIP-Systeme sind umfangreich und oft denkbar einfach. Den Beratern zufolge braucht es dazu nicht einmal Spezialwissen. Schon interessierte Laien könnten mithilfe entsprechender Werkzeuge eine ungeschützte Sprachkommunikation über IP mithören oder die entsprechenden Systeme manipulieren.
Unerwünschte Gäste sollen draußen bleiben
Da bei den Anwendern kaum ein Bewusstsein für diese Gefahren existiert, bieten die vorhandenen Schwachstellen eine optimale Eintrittsplattform für ungebetene und unerwünschte Gäste, Laut Marco Di Filippo, Geschäftsführer der Visukom Deutschland haben die Hacker ein breites Arsenal an verschiedenen Angriffsmethoden.
Dazu gehören neben dem Abhören von Gesprächen, das Abfangen von Account-Daten (Sniffing), die Manipulation von Header-Informationen (Call-ID-Spoofing), Denial of VoIP-Attacken, sowie die Plünderung von Account-Konten (VoIP Dialer).
Je nach Angriffsszenario wird damit die Verfügbarkeit, die Integrität, Authentizität oder Vertraulichkeit von VoIP-Diensten beeinträchtigt. Opfer von Hacker-Angriffen müssen mit Betriebsstörungen, Identitätsbetrug, Manipulation von Daten oder fehlerhafter Gebührenerfassung rechnen.
Vor diesen und anderen Gefahren warnen unter anderem auch das Industrie-Gremium Voice over IP Security Alliance (Voipsa) sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Hacker, die sich in Telefongespräche schalten, könnten vertrauliche Daten stehlen und Spam- bzw. Spit-Versender (Spam über Internet-Telefonie) ein System mit Denial-of-Service (DoS)-Angriffen überschwemmen.
Mehr Sicherheit in die Infrastruktur bingen
Weit oben auf der "schwarzen" Liste steht auch das so genannte Spoofing, also das Vortäuschen falscher Identitäten zu Phishing-Zwecken. Schwachstellen in den Betrieben sind die Anruf-Server und ihre Betriebssysteme, darüber hinaus Telefone und deren Software sowie die Telefon-Anrufe an sich. Stellt daher ein Unternehmen seine bisherige Telefonanlage auf VoIP-Technik um, muss es auch seine gesamte IT-Sicherheitsinfrastruktur entsprechend anpassen.