Die unsägliche Rufnummer lautete 5199362832664. Teilweise jede Stunde gingen von dort Anfang September bei einer Vielzahl von Nutzern Anrufe ein. Oft blieben sie in den Netzen der Provider unregistriert. Es handelte sich um die erste Attacke auf deutsche VoIP-Nutzer. Der Angriff zielte offenkundig direkt auf die Hardware der Kunden, um kostenpflichtige Rückrufe zu provozieren. Bei fehlerhaften Konfigurationen von Asterisk-Anlagen sollen diese aber automatisch erfolgt sein.
So ein Fall ist in jedem Fall ein Alarmsignal. UC bringt zwar ein erstaunliches Potenzial mit sich. Aber leider auch noch einen wunden Punkt: "Per Definitionem öffnet man durch UC seine Infrastruktur und strebt nach Collaboration", sagt der Analyst Ted Ritter von Nemertes Research. "Man vernetzt sich über die eigenen Unternehmensgrenzen hinaus mit Handelspartnern und Kunden." Der Theorie nach erhöht das die Anfälligkeit: gegenüber Lauschangriffen, fehlgeleiteter Kommunikation und Diebstahl von Telefonverbindungen beispielsweise mit dem Ziel eines Steuerbetrugs.
Wohlgemerkt ist dies bislang vor allem in der Theorie so. In Wirklichkeit seien bislang nur wenige dieser theoretischen VoIP-spezifischen Attacken begangen worden, so David Endler, Chef der Voice Over IP Security Alliance. Aber auch wenige Angriffe lösen Unsicherheit bei den Anwendern aus.
Steria Mummert beobachtet deshalb eine hauptsächlich auch durch Sicherheitsbedenken hervorgerufene Zurückhaltung der Firmen bei der Internet-Telefonie. Zwar ist die Nachfrage danach in den deutschen Privathaushalten nach wie vor ungebrochen. Auf Seiten der Unternehmen deutet sich aber zumindest eine vorübergehende Flaute an.
Die Zahl der VoIP-Anwender ist hier in diesem Jahr zwar um 0,3 Prozent-Punkte auf 33,5 Prozent gestiegen. Genauso wächst aber die Zahl der Firmen, die der Internet-Telefonie eine deutliche Absage erteilen. 39,3 Prozent sagen, dass sie VoIP derzeit nicht einsetzten und dies auch in der Zukunft nicht planten. Das entspricht gegenüber dem Vorjahr einem Anstieg um 1,6 Prozent-Punkte.
Steria Mummert: Auf Firewalls achten
Bislang habe das Thema Sicherheit bei den Planungen eine untergeordnete Rolle gespielt, so Steria Mummert. "Trotz eines ähnlichen Bedrohungsszenarios schätzten Unternehmen die Risiken von VoIP deutlich geringer ein als beim klassischen Datenverkehr", heißt es in der Studie. Doch nun beginnen die Firmen, hier sensibler und vorsichtiger zu handeln. Und das offenbar aus gutem Grund. Schon im vergangenen Jahr habe sich die Zahl der VoIP-Risiken verdoppelt. "Für 2008 gehen Sicherheitsexperten von einer weiteren Zunahme um bis zu 50 Prozent aus", so Steria Mummert.
Konkret bedeutet das, dass potenzielle Kunden die VoIP-Kostenvorteile länger gegen die eventuellen Risiken abwägen. Ein Verzicht auf die relativ sichere und vor allem fortschrittliche Technologie erscheint aber auch nicht unbedingt als wünschenswert. Die IT-Abteilungen seien gefordert, das Unternehmensnetz ganzheitlich abzusichern. Insbesondere die eingesetzten Firewalls müssten VoIP unterstützen. Bei der Sprachübertragung würden künftig Verschlüsselungs-Techniken eine größere Rolle spielen, schreiben die Berater.
Sie schieben indes eine Warnung hinterher: "Erhöhte Sicherheitsmaßnahmen dürfen allerdings nicht zu Lasten der Netzqualität gehen. Die Verfügbarkeit und Zuverlässigkeit der Sprachkommunikation ist in Unternehmen unverzichtbar. Der Ausfall der Telefonanlage kann gravierende Folgen für die Geschäftsprozesse haben." Einige CIOs gingen deshalb schon dazu über, ihr IP-Netz vom klassischen Telefon-Netz zu trennen. Damit bannen sie gleich zwei Gefahren: Hacker-Angriffe und das Risiko einer Server-Überlastung. "Dieses Vorgehen geht allerdings zu Lasten der Kostenersparnisse durch VoIP", so Steria Mummert. "Wichtigste Herausforderung für Unternehmen ist somit, sichere Daten- und VoIP-Netze ohne Qualitätseinbußen zu gewährleisten."
Die Berater befragten für die Studie "IT-Security 2008" 468 IT-Verantwortliche aus Deutschland.