VoIP-Security überfordert Admins
Hersteller versprechen viel, die Anwender geben sich sorglos. Doch herkömmliches IP-Wissen genügt nicht für den sicheren Umgang mit VoIP.
“Das Problem beim Einrichten der VoIP-Anlage mit der vorhandenen IP-Kompetenz ist, dass die Schwierigkeiten unterschätzt werden”, sagt Christoph Skornia, Technical Manager bei dem Firewall-Ausrüster Checkpoint Software. Seiner Erfahrung nach gibt es bei VoIP im Gegensatz zur bekannten Client-Server-Struktur eben nicht nur zwei, sondern drei Geräte, die kommunizieren: Endgerät oder Soft Phone, Vermittlungsstelle und wieder ein Endgerät. Das macht den Unterschied zur E-Mail-Security aus: VoIP führt eine zusätzliche Komplexitätsebene ein und erhöht die Zahl der möglichen Fehlerquellen.
“Mit der üblichen IP-Kenntnis kommt man auch deshalb nicht weit, weil gerade bei VoIP die Sicherheit und Verfügbarkeit eng zusammenhängen”, sagt er. Vielen Anwendern, so Skornia, sei nicht bewusst, dass sie die Themen Security und Bandbreite gleichwertig zu sehen haben, um Telefonie in Echtzeit führen zu können. Anwendern, die das nicht beachten, knicken die Netze also schon auf Server-Ebene ein. Skornia: “Anstöpseln und loslegen stimmt nur, wenn die neuen Bedingungen beachtet werden.” Er verweist darauf, dass bei den Anwendern psychologisch ein großes Vertrauen in Telefonie herrsche. Doch gerade diese nur gefühlte Sicherheit, die nichts mit der Realität zu tun hat, bezeichnet er als das eigentlich Gefährliche. Die Annahme der Sicherheit führe erst zu den Schäden. Er rechnet noch mit vielen Angriffen in Deutschland und anderswo, bis sich das Security-Bewusstsein ändert.
Der Feind in meinem Netz
Skornia hat bisher selten erlebt, dass den Kunden die Security ihrer eigenen, neuen VoIP-Anlage im Detail bekannt ist. Aber: “Die Kunden haben viel Nachholbedarf und ganz offene Ohren, wenn wir die Gefahren aufzeigen.” Und wie begegnet ihnen die Branche? Technisch, so sagt er, ist die gesamte benötigte Security-Palette vorhanden, um VoIP wirklich marktreif und sicher zu machen. Allerdings, betont er, gehe dies nicht im Plug&Play-Verfahren sondern nur über viel Beratung und Anpassung der bestehenden Architektur. Von Commodity sei VoIP-Sicherheit noch ein ganzes Stück entfernt. Und er warnt die User: “Es ist schön, Early Adopter zu sein, innovativ zu sein und der Branche voranzuschreiten – aber die Konsequenz ist, dass man genug Luft einbauen muss, um vor unangenehmen Überraschungen sicher zu sein.”
Generell gilt: Je stabiler und sicherer das Datennetz war, das ja weiter verwendet werden muss, desto besser funktioniert auch die zusätzliche Anforderung für VoIP. Aber obgleich die Security-Lücken dieselben sind, sind die Mittel dagegen doch nicht dieselben. Zum Wohle der Herstellerbilanzen gibt es Einzellösungen, die gezielt einzelne Angriffe blockieren. Aber Mittelchen gegen Mithörer über seit Jahren bekannte Techniken, wie die Unix-Abhörsoftware Vomit, gibt es erst wenige. Einige Hersteller empfehlen sogar hinter der Hand, wirklich sicherheitsbedürftige Telefonate grundsätzlich anders auszulegen.
Doch wie soll diese Entscheidung getroffen werden? Und warum hat das Unternehmen dann überhaupt IP-Telefone angeschafft? Meist wegen der Funktionen, sagt der freie US-VoIP-Berater Tom Keating – und er trifft damit den Nagel auf den Kopf. “Wir lieben zwar das neueste Feature unter Vonage oder Packet oder CallVantage, aber VoIP Security ist leider nicht halb so sexy wie das.”
Er rät dazu, den Datenverkehr grundsätzlich zu verschlüsseln. Ein Virtual Private Network (VPN) allein sichert zwar den Weg, den die Sprachdaten nehmen, aber die Ende-zu-Ende-Sicherheit wird nicht gewährleistet, daher sollte seiner Ansicht nach nur ein kodierter Sprachstrom über das VPN laufen.
Nicht ohne meinen TK-Admin
Damit nicht genug: Ein VoIP-Endgerät ohne speziell eingerichtete Aufmerksamkeit durch die Firewall zu betreiben, hält er für mehr als gefährlich. Selbst eine Authentifizierung mit Name und Passwortschutz vor dem Gebrauch kann keine Gewähr sein – im Gegenteil, seiner Erfahrung nach werden solche Mechanismen gerne, oft und meist erfolgreich gehackt. Sie genügen also keineswegs. Außerdem sollten serverbasierte IP-PBXs (Public Branch Exchanges) separat gegen Viren aller Art und DoS-Attacken geschützt sein und es sollten alle Funktionen, die nicht unbedingt benötigt werden, heruntergefahren sein. Das Problem dabei ist, dass sich die Anwender oft nicht über die in den Tiefen der Programme freigeschalteten Funktionen, wie den Master Key, im Klaren sind und diese Gefahren gar nicht sehen.
Also: Jeder einzelne verwendete Port sollte abgesichert sein, jeder verwendete Proxy-Server kann Ziel einer aus dem IP-Netz bekannten Spoofing, VoIP-Spam- oder Denial-of-Service-Attacke werden. Die Firewall schützt meist nur die Datenpakete. Wegen der Echtzeit-Notwendigkeit bei Sprachanwendungen müssen schließlich wieder Löcher in die Security-Appliance gebohrt werden. Denn die Nutzer sind es gewohnt, dass ein Telefon funktioniert. Abstürze, die beim PC schon an der Tagesordnung sind und mit einem Schulterzucken hingenommen werden, stoßen bei einer seit Generationen bekannten Technik auf wenig Verständnis. Die Entscheidung steht: Wer ein kostengünstiges, einfaches VoIP ohne viel Security-Krimskrams will, muss sich auch der Gefahren bewusst sein. Die Alternative ist wohl, dass die First Mover tief in die Tasche greifen – und dafür bekommen sie das TK-Gegenstück zu einem gepanzerten Rolls Royce.