Gespräche werden abgehört

Die Sicherheitsbedrohungen bei VoIP

26. Mai 2010
Von Peter  Wirnsperger und Malko Steinorth
Unbefugte können VoIP-Gespräche leicht abhören oder auf Firmenkosten telefonieren. Doch aus Kostengründen installieren Firmen keine Sicherheitsmaßnahmen. Dabei gibt es genug Sicherheitskonzepte, meinen Peter Wirnsperger und Malko Steinorth von Deloitte.
Peter Wirnsperger ist Senior Manager bei Deloitte.
Peter Wirnsperger ist Senior Manager bei Deloitte.

Vor rund 50 Jahren entstand in den USA ein Hackersport: Phreaking (Zusammensetzung von phone und freak), kostenloses Telefonieren durch Manipulation des Telefonnetzes. Der Anrufer kommuniziert dabei über das Telefonnetz direkt mit dem Vermittlungsrechner.

In moderneren Telefonnetzen wurde dies unterbunden, die Signalisierung zwischen den Vermittlungsrechnern läuft über einen eigenen Kanal. Das Vermittlungsnetz ist für die Gesprächspartner nicht erreichbar - der Nutzer hat nur ein einfaches Endgerät, die Intelligenz ist im Netz. Dies führte jahrelang zu einem stabilen Netz mit nahezu unglaublichen Verfügbarkeitsraten.

Bedrohungen im VoIP-Umfeld

VoIP revidiert elementare Designentscheidung des traditionellen Telefonnetzes, womit auch wesentliche Sicherheitselemente neu betrachtet werden müssen. Im VoIP-Umfeld trägt nun das Endgerät die Intelligenz, die Signalübertragung erfolgt wieder über dasselbe Medium wie die Nutzdaten und der Phreaker hat ein neues Spielfeld. Für den Anwender entstehen Gefahren vom Abhören von Telefongesprächen bis hin zum Telefonieren auf Kosten eines fremden Anschlussinhabers.

Typische Bedrohungen im VoIP-Umfeld

1. Unerlaubtes Abhören fremder Telefongespräche

2. Zugriff auf fremde Voice-Mailboxen

3. Umleiten fremder Telefonverbindungen

4. Manipulation fremder Gespräche
(Beenden, Einspielen von Gesprächsfetzen)

5. Telefonieren auf Kosten anderer

6. Unerlaubtes Abgreifen von Verbindungsdaten

7. Nicht-Verfügbarkeit des Telefondienstes

Die Bewertung dieser Bedrohungen muss jedes Unternehmen für sich selber durchführen: Einige stellen die Vertraulichkeit andere die Verfügbarkeit in den Vordergrund. Wichtig ist, dass die jeweiligen Risiken sowohl den Entscheidern, als auch den Anwendern bekannt sind.