Citation Hunt

Das unten stehende Wikipedia-Snippet wird von keiner verlässlichen Quelle unterstützt. Kannst du eine finden?

Klicke auf Verstanden!, um zu Wikipedia zu gehen und das Snippet zu reparieren, oder Nächstes!, um ein anderes zu sehen. Viel Glück!

In Seite IP-Telefonie:

"

Durch die Integration der Sprachdatenübertragung in das IP-Netz ergeben sich neue Herausforderungen an die IT-Sicherheit. In seiner Sendung vom 3. Februar 2015 belegte das ARD-Magazin Report, dass Vertreter der Geheimdienste mehrerer Länder, darunter der BND, bereits 2004 zusammen mit VOIP-Anbietern an der Erarbeitung von „VOIP-LI-Standards“ gearbeitet hatten. „LI“ steht für englisch lawful interception, rechtmäßiges Abhören.

Die VoIP-Pakete werden über ein sogenanntes „Shared Medium“ übertragen, also über ein Netz, welches sich mehrere Teilnehmer und unterschiedliche Dienste teilen. Unter gewissen Voraussetzungen kann es Angreifern möglich sein, die Daten auf dem Übertragungsweg abzugreifen und das Gespräch aufzuzeichnen. Es existieren beispielsweise Programme, mit deren Hilfe der Datenstrom aus geswitchten Umgebungen mittels „ARP-Spoofing“ abgegriffen und daraus wieder eine Audiodatei erzeugt werden kann.

Zwar besteht die Möglichkeit, die Übertragung mit Secure Real-Time Transport Protocol (SRTP) zu verschlüsseln, das wird jedoch von den Anwendern nur selten genutzt, da die meisten VoIP-Anbieter es nicht unterstützen. Ein weiterer Grund ist die Unkenntnis über diese Möglichkeit, außerdem kann eine Verschlüsselung die Sprachqualität beeinträchtigen, weshalb sich häufig Anwender zu Gunsten der Sprachqualität gegen die höhere Sicherheit entscheiden.

Das oftmals eingesetzte Session Initiation Protocol (SIP) kann ebenso nicht in allen in der Praxis anzutreffenden Formen als hinreichend sicher betrachtet werden. Es verfügt zwar über Sicherheitsmechanismen (beispielsweise Call-IDs auf der Basis von Hashfunktionen), bietet jedoch Angriffsmöglichkeiten für Denial-of-Service-Attacken.

Ein anderer sicherheitsrelevanter Bereich ist zwar nicht ausschließlich auf diese Technik begrenzt, wird jedoch durch die geringen Kosten, die für die Gespräche anfallen, begünstigt. So besteht die Möglichkeit einer Art von „VoIP-Spam“, auch SPIT („Spam over Internet Telephony“) genannt.

Beim Vishing, dem Pendant zum Phishing, täuschen Kriminelle vor im Namen einer Bank anzurufen, um die Passwörter argloser Kunden zu erschleichen.[1]

Außerdem könnte das Phreaking mit VoIP sozusagen ein Revival erleben. Das Szenario beruht darauf, dass bei der VoIP-Kommunikation die Signalisierung (beispielsweise SIP) von den Sprachdaten (Payload, zum Beispiel RTP) entkoppelt ist. Zwei speziell präparierte Clients bauen über den SIP-Proxy ein Gespräch auf und verhalten sich absolut standardkonform. Nach dem Gesprächsaufbau wird dem SIP-Proxy ein Gesprächsabbau signalisiert. Dieser sieht die Sitzung als beendet an und verbucht das Gespräch. Der RTP-Datenstrom wird von den Clients jedoch aufrechterhalten. Die Gesprächspartner telefonieren kostenlos weiter.

Für den Fall das SIP-Trunk und Internetaccess vom gleichen Provider gebucht werden, kann die Gesprächsqualität durch QoS erhöht werden. Zusätzlich bieten in diesem Fall einige Anbieter einen sogenannten „Voice-Only“-Internetanschluss an, der wiederum nicht über das öffentliche Internet adressierbar ist. Dies bietet eine höhere Sicherheit.[2]

Eine völlig neue Sicherheitsbewertung erfordern VoIP-Telefonanlagen (zum Beispiel im Unternehmenseinsatz) sowie alle weiteren VoIP-Geräte, die netzseitig direkt via VoIP kommunizieren. Zur Vereinfachung ist im Folgenden nur von den Telefonanlagen die Rede. Sinngemäß gelten die Ausführungen prinzipiell für jedes Gerät, das netzseitig direkt per VoIP erreichbar ist.

Während herkömmliche Telefonanlagen nur via ISDN oder Analogleitung von außen erreichbar waren und nur in seltenen Fällen eine Verbindung zum firmeninternen Daten-Netzwerk hatten (zum Beispiel zu Konfigurationszwecken oder CTI), können sich VoIP-Anlagen, die netzseitig auf VoIP aufsetzen, als Einfallstor für neue Arten von Hackerangriffe anbieten.

Um für eintreffende Anrufe erreichbar zu sein, ist es unumgänglich, die von VoIP-Telefonie benötigten Ports in der Firewall zu öffnen und an diesen Ports eintreffende Datenpakete an die Telefonanlage weiterzuleiten. Da solche Pakete (=Anrufe) sowohl unaufgefordert als auch unplanbar eintreffen, müssen diese Ports permanent geöffnet sein und können nicht durch ausgehende Pakete getriggert werden. Die Anlage ist also auf diesen Ports ständig und ungefiltert erreichbar.

Moderne VoIP-Anlagen sind oftmals Bestandteil des lokalen Netzwerks – oder müssen dies sein, wenn auch intern VoIP-Endgeräte benutzt werden. Sollte es nun einem potentiellen Angreifer beispielsweise durch die Übertragung von manipulierten VoIP-Datagrammen gelingen, die Telefonanlage unter seine Kontrolle zu bringen, hätte er dadurch auch Zugang zum gesamten lokalen Netz erreicht. Üblicherweise werden Router, Gateways, Server und ähnliche Komponenten auf derartige Schwachstellen überprüft, wohingegen dieser Aspekt bei herkömmlichen Telefonanlagen praktisch keiner Beachtung bedurfte. Zukünftig werden VoIP-Telefonanlagen unter sicherheitstechnischen Aspekten ebenso einzustufen und entsprechend abzusichern sein wie andere netzseitig exponierte Geräte.