VoIP-SicherheitSicherheit beim Telefonieren über das Internet
Sniffing, Spoofing und DoS-Angriffe, Vishing und SPIT - die Liste der Angriffsszenarien bei der Internet-Telefonie (VoIP) ist lang. Schon vor zwei Jahren hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer 130 Seiten starken Untersuchung [Link entfernt] vor den Sicherheitsgefährdungen bei der Internet-Telefonie gewarnt und weit mehr als ein Dutzend verschiedene Angriffsmöglichkeiten auf Netzwerk- und Anwenderebene ausgemacht. Experten wie der Bundesbeauftragte für Datenschutz, Peter Schaar, warnen, mit zunehmender Verbreitung der Internet-Telefonie wachse auch die Attraktivität als Angriffsziel für Hacker und Internet-Kriminelle.
Doch was ist von diesen Warnungen zu halten? Müssen die Nutzer der Internet-Telefonie ähnliche Zustände wie bei der Internet-Nutzung, die ja bekanntlich durch Viren, Würmer und Trojanische Pferde oder Phishing ein beständiges Spiel mit dem Feuer ist und deren Basis-Anwendung E-Mail längst im Schatten der Plage Spam steht, fürchten? Die Meinungen sind kontrovers. Gegen die warnenden Stimmen stehen andere Experten-Meinungen, die behaupten, die Bedrohungen seien eher theoretisch, die technischen Hürden seien sehr hoch und die Verbreitung der Angriffe vergleichsweise niedrig.
Zum Themenspecial Internet-Telefonie gibt teltarif.de einen Überblick über die Sicherheits-Risiken beim Telefonieren über das Internet und erklärt, was VoIP-Nutzer beachten sollten, um sich vor potenziellen Gefahren zu schützen.
Vishing als telefonisches Pendant des Phishing
Die prominentesten der im Zusammenhang mit der Sicherheit der VoIP-Telefonie
genannten Bedrohungen sind Vishing und SPIT. Vishing als Zusammensetzung der
Begriffe Voice und Phishing ist das telefonische Pendant des Phishing. Anstatt
fingierte E-Mails, beispielsweise der Postbank
oder eBay, zu verschicken, machen sich die Internet-Betrüger die niedrigen
Kosten der Internet-Telefonie und die Möglichkeit, Telefonnummern massenhaft
automatisiert anzuwählen, zu Nutze.
Mit automatisierten Anrufen wählen die Internet-Betrüger VoIP-Rufnummern an und erklären per Bandansage zum Beispiel, die Sicherheitsvorkehrungen der Bank seien geändert worden, auf dem Nutzer-Konto seien ungewöhnliche Bewegungen beobachtet worden oder die Kreditkarte wäre missbraucht worden und es sei nun notwendig, durch Eingabe der Benutzerdaten, das Konto wieder freizuschalten. Die Rufnummern und Informationen darüber, bei welchem Bankinstitut der Angerufene ein Konto besitzt, erhalten die Betrüger entweder aus dem Internet oder aus zwielichtigen Quellen. Diesen Angriffen sind theoretisch auch Nutzer von Festnetzanschlüssen ausgesetzt, allerdings bevorzugen die Vishing-Betrüger wegen der niedrigeren Kosten VoIP-Anschlüsse. Das Heimtückische am Vishing ist, dass Bankinstitute ihre Nutzer vor Phishing-Angriffen warnen und erklären, per E-Mail würden nie persönliche Daten abgefragt und man solle sich auf die telefonische Kontaktaufnahme verlassen.
Abwehrmaßnahme: Einfach den Telefonhörer auflegen
Da die Eingabe von Zugangsdaten vom Telefonbanking her bekannt ist, können arglose Nutzer hier in die Falle gehen. Das Vishing ist streng genommen keine Sicherheitslücke in VoIP-Systemen, sondern eine Form des sogenannten "Social Engineering", bei der Unaufmerksamkeit oder Vertrauenseligkeit - Stichwort "Nutzer-Schwachstelle" - mit Hilfe von VoIP-Systemen ausgebeutet werden. Die einfache Abwehrmaßnahme gegen Vishing-Angriffe ist das Auflegen des Telefonhörers bei suspekten Bandansagen.
Höchste Vorsicht ist jedoch bei einer speziellen Vishing-Variante, von der einige wenige Fälle bekannt sind, angesagt. Hier nutzen die Betrüger nicht automatisierte Ansagen, sondern rufen persönlich an und geben sich als Mitarbeiter einer Bank aus. Es sollte also auch bei persönlichen Anrufen, bei der die Eingabe von Kontodaten verlangt wird, die Berechtigung der Anfrage gegebenenfalls durch einen eigenen Anruf beim Kreditinstitut überprüft werden.
Die gleiche Abwehrmaßnahme gilt für unerwünsche Werbeanrufe via VoIP. Beim SPIT (SPAM over Internet Telephony) werden per automatisiertem Anruf verführerische Werbeangebote unterbreitet. Während vor einigen Jahren durch SPIT-Vorkommnisse in den USA befürchtet wurde, SPIT könne sich zur Plage der Internet-Telefonie auswachsen, wird mittlerweile die Gefahr von Werbeanrufen per VoIP zumindest in Deutschland als eher gering eingestuft.