Voice over IP: Teure Sicherheit
Artikel erschienen in Swiss IT Magazine 2005/21
Hauptgrund für den Einstieg in die VoIP-Telefonie ist für viele Firmen immer noch der Kostenvorteil, den diese aufstrebende Technologie verspricht. Tiefere Kosten lassen sich nicht nur bei den Telefonaten erzielen, sondern auch mit der Konvergenz der Technologien: Läuft die Telefonie über das Datennetz, kann auf das herkömmliche Telefonnetz getrost verzichtet werden. Sinkende Kosten für Infrastrukturverwaltung, niedrigere Gesprächs- und Betriebskosten – Unternehmensberatungen errechnen auf dieser Grundlage gerne Einsparungen von bis zu 30 Prozent, Manager-Augen beginnen zu leuchten. Solche Einsparungen im zweistelligen Prozentbereich lassen sich allerdings nur im Idealfall erzielen, wenn beispielsweise das Unternehmensnetzwerk für VoIP nicht aufgerüstet werden muss.
Problematisch an solchen Kostenberechnungen ist zudem, dass ein wesentlicher Aspekt meist vollkommen vernachlässigt wird: die Sicherheit. Tatsächlich ist Voice over IP aber höchst anfällig für Angriffe und bietet eine Vielzahl möglicher Angriffspunkte, wie verschiedene aktuelle Studien darlegen. So hat etwa das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in der über 130 Seiten umfassenden Studie VoIPSec folgende hauptsächliche Schwachpunkte identifiziert:
Sicherheitsmassnahmen sind oft nicht sauber in die Geräte implementiert. So gäbe es IP-Telefone, die zwar eine Verschlüsselung erlauben, die Schlüssel aber im Klartext austauschen.
Nur die wenigsten Geräte unterstützen die erforderlichen Sicherheitsmassnahmen. Abhörtools wie VoMIT (Voice over Misconfigured Internet Telephones) dagegen seien weit verbreitet.
Detailliert werden 19 verschiedene Angriffsvarianten auf Netzwerkebene dargestellt, von Spoofing-Arten über Flooding bis zu DHCP-Attacken. Dazu kommen die üblichen Cyber-Bösewichte wie Viren, Würmer und Trojaner, die eine VoIP-Anlage bedrohen können.
Zwar seien bisher, so das BSI, noch keine spektakulären Angriffe auf VoIP-Systeme bekanntgeworden, es sei aber nur noch eine Frage der Zeit, bis es zu solchen komme. Die beschriebenen Angriffsszenarien könnten etwa die Verfügbarkeit oder die Integrität der Anlage kompromittieren, aber auch die Authentizität und die Vertraulichkeit der Telefonate beeinträchtigen. Als mögliche Folgen beschreibt das BSI Betriebsstörungen, Identitätsbetrug, Datenmanipulation oder fehlerhafte Gebührenerfassung. Möglich seien auch der Mitschnitt von Sprachdaten oder die Verwandlung eines VoIP-Geräts in eine Wanze durch unbemerkte Aktivierung des Mikrofons.
Zu ähnlichen Resultaten kam auch die VoIPSA (Voice over IP Security Alliance), eine erst im vergangenen Februar gegründete Allianz von über 50 Herstellern wie 3Com, AT&T, Nokia, Siemens oder Verisign, die die Verbesserung der Sicherheit von VoIP zum Ziel hat. In einem Arbeitspapier beschreibt die Fachgruppe Threat Taxonomy der VoIPSA rund 60 Gefahrenpotentiale für VoIP-Netze, -Endgeräte und -Anwender. Dabei unterscheidet die Gruppe zwischen verschiedenen Angriffsklassen wie «Soziale Angriffe» (beispielsweise Identitätsdiebstahl, Telefonterror, Spim), «Lauschangriffe», «Gesprächskontrolle und
-modifikation» (zum Beispiel Rufumleitung oder aktive Gesprächsmanipulation), «Beabsichtigte Service-Störungen» (darunter etwa DoS-Attacken, Flooding, Spoofing und Hijacking) sowie «Unbeabsichtigte Service-Störungen»
(etwa durch Stromausfälle oder Überbelastung der physischen Ressourcen).
Für Unternehmen ist diese Verletzlichkeit höchst brisant. Während ein herkömmliches Telefonnetz eine Zuverlässigkeit von bis zu 99,999 Prozent erreicht (entspricht einer Downtime von jährlich ca. 5 Minuten), kommen aktuelle VoIP-Netze laut BSI auf eine Verlässlichkeit von gerade mal 97-98 Prozent – damit liegt die kumulierte Downtime bereits bei sieben bis zehn Tagen jährlich. Was es für eine Firma bedeutet, während bis zu zwei Arbeitswochen jährlich ungeplant von sämtlichen geschäftsrelevanten Kommunikationskanälen abgeschnitten zu sein, braucht wohl nicht näher erläutert zu werden.
Tatsächlich gibt es Möglichkeiten, um die Sicherheit und damit auch Zuverlässigkeit von VoIP-Netzen zu erhöhen. So hat das BSI in seinem Papier vier Beispielszenarien entwickelt, in denen Vorschläge für sicherere Kommunikation in verschiedenen Umgebungen vom Home-Office bis zum Campusnetzwerk gemacht werden. Im Zentrum steht dabei immer die konsequente Trennung von Daten- und Telefonnetz. Mit einem ausführlichen Massnahmenkatalog zeigt das BSI auch ein Beispiel für ein hochverfügbares VoIP-Netz für «Verschlusssachenkommunikation» mitsamt Verschlüsselungsgateways in Hochsicherheitsräumen.
In Sachen Vertraulichkeit – und damit Verschlüsselung – schlägt das BSI den Einsatz von Transport Layer Security (TLS) und S/MIME vor, insbesondere, weil das bekannte IPSec für den Austausch der Schlüssel zwischen den Hosts sieben Handshakes benötigt, was zu Qualitätsproblemen führen kann. Deshalb schlagen die Autoren der Studie auch für die Verschlüsselung des eigentlichen Gesprächs SRTP statt IPSec vor.
Überhaupt steht und fällt die gesamte VoIP-Kommunikation mit der zumindest ausreichend hohen Gesprächsqualität – und die wird durch Verschlüsselung praktisch ausgeschlossen, wie Experten warnen. So gebe es zwar mehrere Verschlüsselungsalgorithmen, ein vernünftiges Schlüsselmanagement dagegen fehle, und die Latenzzeiten für die benötigten Handshakes seien zu lang, war etwa an der RSA Security Conference zu hören.
Aus demselben Grund eignen sich auch herkömmliche Sicherheitstechnologien wie Firewalls, Intrusion-Detection- und -Protection-Systeme nicht als Schutz gegen VoIP-Angriffe: Sie benötigen für die Inspektion der Datenpakete Zeit und Ressourcen und würden dadurch die Sprachqualität dramatisch verschlechtern.
Zusammenfassend lässt sich feststellen, dass eine deutliche Verbesserung der Sicherheit von VoIP wohl nur mit einem Sammelsurium von Massnahmen zu erreichen ist. Die konsequente Trennung von Daten- und Telefonnetz bedeutet aber das Aufgeben vieler Vorteile der Konvergenz und die spezielle Absicherung des Telefonnetzes kostet zusätzlich viel Geld – der oft beschworene Kostenvorteil von VoIP kann sich so schnell ins Gegenteil verwandeln.