Suchen

So werden IP-Telefonanlagen nicht zum Einfallstor für Hacker Schwieriger abzuhören als die Kanzlerin

Autor / Redakteur: Heike Cantzler, Oliver Wittig / Susanne Ehneß

Sicheres Telefonieren ist längst nicht mehr nur ein Thema für Agenten-Thriller: Spätestens seit den Enthüllungen um das abgehörte Kanzlerinnen-Handy ist jedem bewusst, wie verwundbar moderne Kommunikation sein kann.

Firma zum Thema

(Bild: Snom)

Dabei sind es nicht mehr nur die Gesprächsinhalte selbst, die belauscht werden können. IP-basierte Kommunikation ist auch ein potenzielles Einfallstor, um alle anderen Formen digitaler Kommunikation wie SMS oder eMails abzuschöpfen, und darüber hinaus ein Sprungbrett für den Angriff auf das zugrundeliegende Netzwerk.

Das Abhören von Telefonaten zu verhindern, ist damit in den meisten Fällen nicht länger das einzige Ziel. Es ist vielmehr ein Bestandteil einer umsichtigen und umfassenden IT-Sicherheitsstrategie, die alle Geräte berücksichtigt.

Bildergalerie

Abhören leicht gemacht

Analoge Telefonate oder Gespräche über ISDN abzuhören ist ein Kinderspiel: Der Täter braucht nur einmal Zugang zur TAE-Dose, der ISDN-Anlage oder einem Telefon, um Gespräche mitlauschen zu können. Es reicht aus, einen Telefonhörer zu tauschen, und das Telefon ist zu einer Wanze umfunktioniert, mit der auch alle Gespräche im Raum mitgehört werden können.

Bei ISDN-Leitungen wiederum wird ein digitaler Datenstrom übertragen. Es muss lediglich der gewünschte Übertragungskanal im Menü des Geräts eingestellt werden, und schon hört man die Gespräche einfach mit. Doch solche Lausch-Aktionen bleiben immer ausschließlich auf den Sprachverkehr beschränkt.

Während Eindringlinge bei der analogen und ISDN-Telefonie also schlimmstenfalls Gespräche abhören können, eröffnen Voice-over-IP (VoIP)-Installationen neue Missbrauchsmöglichkeiten: Über das Einfallstor VoIP-Endgerät können sich Hacker Zugriff auf das gesamte Netzwerk verschaffen, und damit auch auf alle dort übertragenen und gespeicherten Daten. Denn im Gegensatz zur analogen Telefonie, GSM oder ISDN werden die Gespräche über dasselbe Medium übertragen wie der restliche Datenverkehr.

Das heißt: Prinzipiell sollte jeder darauf achten, dass die vorhandenen IT-Installationen sicher sind – Privatpersonen, Stichwort Onlinebanking, besonders aber Unternehmen und öffentliche Einrichtungen oder Großbanken mit Zugriff auf Milliardensummen und unzählige Kundendaten. Angegriffen und abgehört werden ausnahmslos alle, das lehren die neuesten Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

IP-Telefonie

Der Unterschied ist jedoch der Aufwand, der betrieben wird, um die Daten von Privatpersonen auf der einen und Banken oder Regierungseinrichtungen auf der anderen Seite zu knacken. Dementsprechend unterscheiden sich auch die Maßnahmen, mit denen die Betroffenen ihre Infrastruktur schützen sollten.

Da die Telefoniedaten im Unternehmen einerseits über dasselbe Netzwerk übertragen werden wie der gesamte übrige Datenverkehr, andererseits für externe Telefonate aber auch eine Verbindung in das Internet bestehen muss, eröffnet IP-Telefonie Angreifern einen weiteren Angriffsweg auf die IT.

In der Regel sind IP-Telefone besser geschützt als so mancher PC. Sind die IP-Endgeräte oder die IP-Telefonanlage aber schlecht gesichert, ermöglichen sie den Zugriff auf das gesamte Netzwerk. Unternehmen sollten deshalb bereits bei der Auswahl ihrer IP-Lösung – egal, ob dabei die PBX im eigenen Haus steht oder in der Cloud gehostet wird – darauf achten, dass der Hersteller gewisse Sicherheitsstrukturen und regelmäßige Sicherheitsupdates für seine Geräte bietet. Ob das Sicherheitskonzept eines Anbieters im Ganzen schlüssig ist, können Firmen in den entsprechenden Fachmedien oder im Internet leicht recherchieren.

Sicherheit anwenden

Doch das beste Sicherheitskonzept nutzt nichts, wenn Anwender die vorhandenen Möglichkeiten dann in der Praxis nicht nutzen. Gelingt es einem Angreifer, in das System einzudringen, kann er mit den Telefonen so ziemlich alles machen, was er will, etwa das Mikrofon des Telefons einschalten und damit sämtliche Gespräche im Raum mithören.

Dagegen kann man sich schon allein durch das Befolgen aller Sicherheits- und Konfigurationsanweisungen schützen. Deshalb ist der erste Schritt zu mehr Sicherheit in der IP-Telefonie die standardmäßige Einrichtung von Passwörtern in der IP-Anlage, den Telefonen und sonstigen verbundenen Geräten.

Grundsätzlich sollten Administratoren alle verfügbaren Mechanismen, wie etwa auch Porteinschränkungen oder die Zuteilung von Zufallsports per Telefonat auf Endgeräten und PBX nutzen. Denn jedes System ist nur so sicher, wie es konfiguriert wurde.

Fünf Sicherheitsstufen

Angelehnt an die Empfehlungen des BSI lassen sich fünf Sicherheitsstufen definieren, die eskalierende Maßnahmen beinhalten, um die eigene Kommunikationsinfrastruktur abzusichern:

  • Bereits die Einrichtung von Passwörtern ist eine oft vernachlässigte, aber nicht zu unterschätzende erste Hürde für das unbefugte Eindringen.
  • Darüber hinaus empfehlen sich die Installation einer geeigneten Firewall und die Auswahl von Geräten, die von vornherein über verschiedene Sicherheitsfunktionen verfügen. Speziell Geräte, die schon IPv6- unterstützen, sollten überprüft und abgesichert werden. Was oft vergessen wird: Endgeräte können über IPv6 leichter direkt erreicht werden, weshalb die Firewalls so konfiguriert werden sollten, dass sie IPv6 ausdrücklich mitfiltern.
  • Die IP-Endgeräte selbst sollten ihre Verbindungen verschlüsseln: Das SIP-Protokoll (Session Initiation Protocol) für das Bereitstellen eines IP-basierten Kommunikationswegs lässt sich über das Verschlüsselungsprotokoll TLS (Transport Layer Security) zusätzlich gegen unbefugten Zugriff absichern – und wird dann auch als SIPS bezeichnet. Die Gesprächsdaten selbst können über das SRTP (Secure Real-Time Transport Protocol) verschlüsselt werden. Sind diese Features bereits im Endgerät implementiert, lässt sich die Kommunikation gut schützen.
  • Alternativ kann diese Sicherheit auch von einer zentralen Stelle, unabhängig von den einzelnen Anwendungen und Endgeräten, gewährleistet werden. Die Vorteile eines zentralen Ansatzes liegen in der einmaligen Implementierung, dem geringeren Wartungsaufwand und der Möglichkeit, auch die Kommunikation von Software anderer Hersteller zu sichern, auf die sonst kein Einfluss besteht. Eine solche zentral bereitgestellte Sicherung ist beispielsweise ein Virtual Private Network (VPN). Typische Anwendungsfälle sind die Verbindung einzelner Außendienstmitarbeiter mit dem Netzwerk einer Firma, die Verbindung einer Filiale mit einem Rechenzentrum oder die Ver-bindung örtlich verteilter Server oder Rechenzentren untereinander.

Eine Umsetzung aller dieser Maßnahmen bietet bereits ein für viele Bedürfnisse ausreichendes Maß an Sicherheit, das sich nur mit relativ hohem Aufwand knacken lässt und die meisten Hacker abschrecken dürfte.

Dennoch gibt es Fälle, in denen diese Sicherheitsvorkehrungen nicht ausreichen, weil das Sicherheitsbedürfnis außerordentlich groß ist, etwa bei Krankenhäusern, Banken, Behörden oder Regierungseinrichtungen. Für diese Anwendungsfälle stehen hochsichere Kommunikationslösungen bereit (siehe Beispiel im Infokasten).

Anbindung mobiler Endgeräte

Den größten Schwachpunkt in der Kommunikation stellt derzeit die Anbindung mobiler Endgeräte, insbesondere von Smartphones, dar. Sie sind auf der einen Seite mit dem Internet verbunden, auf der anderen Seite oft mit dem firmeninternen Server, was sie zu einem exponierten Einfallstor für Angreifer macht.

Auf der diesjährigen CeBIT wurde nun eine bezahlbare Verschlüsselung auch für Handys vorgestellt, eine Sprachverschlüsselung ähnlich wie im Kanzlerinnen-Handy. Da die App jedoch softwarebasierend ist, dürfte ihre Anfälligkeit um einiges größer sein als bei einer zusätzlichen Sicherung mittels Hardware.

Die Verbindung Smartphone/Netzwerk/IP-Telefon sicher zu gestalten, ist zweifellos eine der großen Aufgaben der nächsten Zeit.

Darüber hinaus gilt immer eines: Absolute Sicherheit gibt es nicht! Das hat beispielsweise auch der Bug namens „Heartbleed“ Anfang des Jahres erneut offenbart. Was aber nicht bedeutet, dass man hilflos im Strudel der Hacker untergehen muss. Vernünftiges Handeln gepaart mit einigen Grundregeln sorgt schon heute für ein gehöriges Maß an Sicherheit.

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

(ID:43149106)