VoIP-Sicherheit: Ein Blick auf die Realität
Die Sicherheit von Voice over Internet Protocol (VoIP) hat in den vergangenen Jahren einige Aufmerksamkeit in der Branchenpresse und der Analysten-Community erfahren. Die Sorge über Gefahren für die Sicherheit von VoIP-Diensten und -Systemen ist zwar berechtigt, doch wurde sie in vielen Fällen übertrieben.
Auch wenn sowohl die TDM-Sprachübertragung als auch VoIP belauscht werden können, ist es wohl einfacher, sich illegalen Zugriff auf VoIP zu verschaffen, ohne Entdeckung befürchten zu müssen; meist genügt es hierzu, ein Paketabfanggerät wie einen Sniffer zu verwenden. Anders als beim Anzapfen eines Analogapparats ist es hierfür nicht erforderlich, eine tatsächliche Wanze anzubringen. Weil die meisten Unternehmen regelmäßig Sniffer zur Überprüfung ihrer Local Area Networks (LAN) einsetzen, fällt ein illegaler Sniffer in einem Schaltkasten oder Datacenter nicht weiter auf. Ein Sniffer kann dafür eingesetzt werden, einen Switch aus der Ferne für das Port-Mirroring zu konfigurieren; jeder Nutzer mit ausreichender Administratorbefugnis (d.h. Passwort) kann damit einfach den Verkehr auf einem Port auf jeden gewünschten Port kopieren und die Daten entwenden.
Da VoIP-Netzwerke durch die drahtlose LAN(WLAN)-Technologie erweitert werden, besteht auch hier die Gefahr, dass Gespräche über Voice over WLAN (VoWLAN) abgehört werden. Viele Unternehmen haben damit begonnen, in großem Umfang WLANs auf Basis des IEEE 802.11-Standards zu installieren. Doch VoIP über ein WLAN laufen zu lassen, verschärft viele der Problemstellungen, die bereits beim Einsatz von VoIP in einem verkabelten LAN bewältigt werden müssen.
Neue Technologien tragen heute in Kombination zu einem erhöhten Sicherheitsrisiko für Großunternehmen bei: Zum einen haben die IP-Telefonie-Anbieter von Großunternehmen die Einführung von Lösungen auf Grundlage des Session Initiation Protocol (SIP) vorangetrieben, zum anderen wurde die Installation von VoIP und Unified Communications jenseits traditioneller Sicherheitsperimeter vorgenommen. In dem Maße, in dem SIP-Verkabelungen für die Verbindung zum öffentlichen Fernsprechnetz eingesetzt werden und Unified Communications auch auf mobile Mitarbeiter über Soft Clients auf ihren drahtlosen Geräten ausgedehnt werden, werden DoS- und DDoS-Attacken zunehmend zu einem gewichtigen Problem.
Und in dem Maße, in dem die Zahl der Anwendungen, die nichts mit Sprache zu tun haben, auf VoIP-Endpoints betrieben werden, in dem Maße werden die Endpoints selbst anfällig für Lauschangriffe. Zudem wird die Einführung von Software-Clients, die multiple Echtzeit- und asynchrone Kommunikationsdienste integrieren und sich mit öffentlichen Diensten (wie Instant Messaging) oder öffentlichen Netzwerken (z.B. über die Konvergenz von Fest- und Mobilfunknetz) verbinden können, zweifellos die Hacker-Communities auf den Plan rufen.
Eine Risikobewertung sollte auch die Gefahr der Systembeeinträchtigung berücksichtigen, einschließlich von verlorenen Daten und/oder Gebührenbetrug. Sie sollte auch untersuchen, welche Gefahren von DoS-Attacken ausgehen, die das Telefonsystem des Unternehmens außer Gefecht setzen, und wie dem internen Missbrauch des Telefonsystems begegnet werden kann. In vielen Unternehmen kann diese Analyse flankierend zu den bestehenden Risikobewertungen erfolgen, die im Hinblick auf die Datendienste durchgeführt wurden. Sobald ein Unternehmen versteht, welchen Risiken es ausgesetzt ist und welche Auswirkung diese Risiken auf den Betrieb haben können, kann ein umfassender Plan erarbeitet werden, wie solche Risiken bestmöglich einzudämmen sind, wobei man sich natürlich darüber im Klaren sein muss, dass niemals alle Risiken eliminiert werden können.