Telefonieren mit dem Voice-over-IP System ist für den privaten Nutzer keine Zukunftsmusik mehr, sondern bereits jetzt Bestandteil des Alltags. Die Frage nach der Sicherheit des Internet- Telefonierens stellt sich dabei kaum jemand. Doch diese Frage wird angesichts der Tatsache, dass Voip auch vermehrt im Geschäftsleben eingesetzt wird, immer wichtiger.
VoIP gewinnt an Bedeutung
Von der Prophezeiung, die Internet-Telefonie werde das konventionelle Telefonnetz verdrängen, ist man zwar noch ein Stück weit entfernt. Aber zu einer ernsthaften Konkurrenz ist Voice over IP (VoIP) inzwischen durchaus herangewachsen. Vor allem Unternehmen holen kräftig auf. Laut einer Studie des Wirtschaftsprüfungsunternehmens Deloitte telefonierten in Deutschland bereits 2005 ca. 500.000 Menschen regelmäßig über das Internet. Über zwölf Prozent aller internationalen Telefonate aus Deutschland liefen 2006 über VoIP, und bereits 14 Prozent der deutschen Unternehmen nutzen die neue Form der Kommunikation. Für 2007 werden bereits 15 Millionen VoIP-Anschlüsse erwartet, laut einer Studie des Marktforschungsinstituts IDC. Tendenz: stark steigend.
Für die Unternehmenskommunikation galt die Sprachqualität bei VoIP lange Zeit als qualitativ schlecht und damit unbrauchbar. Man fürchtete, Kunden zu verlieren oder längerfristig nicht erreichbar zu sein, bis in den letzten Jahren immer mehr positive Beispiele die Runde machten. Die Verbindungen waren nicht nur zuverlässig und gut – Firmen, die den Schritt gewagt hatten, sparten dank VoIP auch Kosten – zumindest wenn VoIP effektiv eingesetzt wurde.
Mit Einführung der VoIP-Technologie lassen sich Arbeitsprozesse schneller und effektiver umsetzen, was zu erheblichen Kosteneinsparungen führen kann. Allerdings werden die Sicherheitsaspekte angesichts dieser Kostenvorteile oft in Unternehmen vernachlässigt. Durch die Integration der Sprachdatenübertragung in das IP-Netz ergeben sich aber unbestritten neue Herausforderungen an die IT-Sicherheit. VoIP-Pakete werden über ein sogenanntes „Shared Medium“ übertragen, also über ein Netz, das sich mehrere Teilnehmer und unterschiedliche Dienste teilen. Unter gewissen Voraussetzungen kann es Angreifern möglich sein, Daten auf dem Übertragungsweg abzugreifen und das Gespräch aufzuzeichnen. Es existieren beispielsweise Programme, mit deren Hilfe der Datenstrom auch aus geswitchten Umgebungen mittels „ARP-Spoofing“ abgegriffen und daraus wieder eine Audiodatei erzeugt werden kann.
Sicherheit bei VoIP
Sicherheit und Schutz der Privatsphäre sind grundsätzliche Voraussetzungen für den Einsatz von Voice-over-IP (VoIP), denn vergleicht man sie mit der konventionellen Telephonie, so ist schnell zu erkennen, dass der ungesicherte Einsatz von VoIP-Technologie mit deutlich größeren Risiken verbunden ist – schließlich erben VoIP-Systeme die typischen Sicherheitsrisiken der IP-Welt, und darüber hinaus behalten sie die meisten aus der TK-Welt. Leider sind Anwender dieser Technik für das Thema VoIP-Sicherheit noch nicht ausreichend sensibilisiert, was sich jedoch schnell ändern kann, wenn Angriffe Netze und Systeme von Unternehmen oder Providern empfindlich kompromittieren. Die Fülle von Angriffstools nimmt zu.
Eine VoIP-Infrastruktur muss mit äußerster Sorgfalt implementiert und eingeführt werden, da hierdurch nicht nur die Sicherheitsrisiken der Datennetze geerbt werden, sondern auch das Datennetz durch das VoIP-Netz neue Verwundbarkeiten übertragen bekommt. Daher ist eine spezifische und ganzheitliche Absicherung des Unternehmensnetzes ist vonnöten. Dass hierzu Standard-Netzwerksicherheit eingesetzt werden muss liegt auf der Hand. Hierfür existieren nicht nur ausgereifte Konzepte, Werkzeuge und Produkte, sondern auch Erfahrungen und Best-Practices. Jedoch reicht dies nicht aus. VoIP verlangt zusätzlich neue Techniken und spezifische Maßnahmen.
Will man VoIP-Kommunikation absichern, so ist eine gründliche Betrachtung diverser Faktoren vonnöten. Maßnahmen, die durch den Dienstleister durchgeführt werden müssen und solche, die dem Anwender ermöglicht sind, sind ganzheitlich zu betrachten. Schließlich ist ein VoIP-Netz in ein bestehendes Netz zu integrieren und darf dieses dabei nicht beeinflussen. Die Maßnahmen zur Absicherung betreffen eine Vielzahl von Komponenten wie die im Datennetzbereich klassisch eingesetzten Komponenten wie z.B. VLANs und Firewalls als essentielle Bestandteile. Insbesondere Firewalls müssen VoIP unterstützen, d.h. VoIP-aware sein. Des Weiteren sind Verschlüsselung und Authentifizierung unabdingbar, da VoIP-Daten typischen Gefahren wie Sniffing, Spoofing und DoS ausgesetzt sind. Ebenso ist die Wahl der richtigen VoIP-Technik entscheidend für die erreichbare Sicherheit.
Welches Sicherheitslevel durch welches Protokoll oder durch spezielle Sicherheitsprotokolle abgebildet werden können ist eine komplexe Fragestellung und bedingt eine profunde Analyse und ganzheitliche Betrachtung des Topologie, je nach dem, ob es sich um ein SIP- oder H.323-basiertes VoIP-Netz handelt. Die Kombination von Verschlüsselung und Authentifizierung spielt dabei eine wesentliche Rolle.
Einige Technologien und Lösungen sind noch relativ neu oder haben in Produkten noch keine ausreichende Unterstützung erfahren. Auch haben Administratoren, aufgrund der Komplexität, teilweise Schwierigkeiten im Einsatz. Schutzmaßnahmen werden durch die Implementierungen in den Endgeräten und Netzkomponenten bestimmt. Bei all der Absicherung darf die Dienstgüte (Quality-of-Service) nicht unberücksichtigt bleiben -Schutz und Qualität des Netzes müssen ausbalanciert.
Der auf VoIP-Netze zu erweiternde Schutz des Netzes sollte durch regelmäßige Analysen des Traffics, System- und Nutzungsverhalten sowie Kontrollen auf Einhaltung der Security-Policies gewährleistet werden. Ein fortlaufendes Monitoring des Systemverhaltens mittels IDS/IPS ist unabdingbar, da VoIP-Systeme naturgemäß exponiert aufgestellt werden müssen. Die wachsende Verbreitung von VoIP-Diensten reaktiviert nämlich eine Gruppe von Angreifern, die sogenannten Phreaker, die bereits zu Zeiten der analogen Telefonie auf kostenlose Gespräche abzielten und bei der flächendeckenden Einführung dieser Technologie sich erneut Chancen ausrechnen.
Zur Analyse der Sicherheitsrisiken eines bestehenden VoIP-Netzwerkes können Tools eingesetzt werden, um auf Schwachstellen zu überprüfen. Da VoIP-Kommunikation auch Angriffen ausgesetzt ist, die nicht für IP-Telefonie spezifisch sind, können hierfür auch generelle Netzwerkanalysewerkzeuge zum Einsatz kommen. Um VoIP-spezifische Schwachstellen untersuchen zu können, kommen spezielle Tools wie z.B. SiVuS (SIP Vulnerability Scanner – ein Security-Scanner für VoIP, in Frage.
Die folgende Abbildung fasst noch einmal in Kürze grundlegende Best-Practice-Maßnahmen für typische Risiken bzw. Gefahren zusammen.
Wie jedes Projekt zur Absicherung von Netzen und Diensten verlangt VoIP substanziellen technischen und finanziellen Aufwand, was die Kostenvorteile von VoIP relativiert und damit das Hauptargument zur Einführung dieser Technik gegebenenfalls in Frage stellen kann. Dieser Sachverhalt muss frühzeitig in die Sicherheitspolitik eines Unternehmens einbezogen werden. Selbstverständlich ist eine begleitete professionelle Einführung in die VoIP-Technik, Schulung und Sensibilisierung der Mitarbeiter Voraussetzung.
Fazit
Fakt ist, dass VoIP am Markt immens an Bedeutung gewinnt. Doch mit zunehmender Verbreitung häufen sich Berichte über eine mangelhafte Sicherheit von VoIP-Installationen und -Netzwerken. Wie eine effiziente Absicherung aussieht, beschreibt das Buch „VoIP Security – Konzepte und Lösungen für sichere VoIP-Kommunikation – 3-446-41086-4, Hanser Verlag, 2007 Hier werden Gefahren diskutiert, entsprechende Sicherheitsmechanismen und -standards zur Absicherung der VoIP-Kommunikation vorgestellt und Gegenmaßnahmen, Konzepte sowie Handlungsempfehlungen präsentiert.
