VoIP-SicherheitSicherheit beim Telefonieren über das Internet
Bei der Internet-Telefonie ist SIP (Session Initiation Protocol) weit vor H.323 das von der Mehrzahl der VoIP-Anbieter genutzte Kommunikations-Protokoll. Das Problem bei SIP ist jedoch, dass dieses Protokoll bezüglich Abhörsicherheit und Authentifizierung keine inhärenten Sicherheits- und Verschlüsselungsfunktionen bietet. Mit allgemein zugänglichen Netzwerk-Tools (Sniffer) können die Datenpakete der IP-Sprachübertragung abgefangen und mitgeschnitten werden, anschließend wieder zusammengesetzt und als Audiodateien abgespeichert werden.
Hacker, die es auf das Abhören von VoIP-Telefonaten abgesehen haben, müssten allerdings zuerst den oder die Server, über die die VoIP-Kommunikation läuft, kapern. Angesichts der Professionalisierung in der Szene der Internet-Kriminellen dürften die Versicherungen, das Kapern eines Servers sei kompliziert und stelle eine zu hohe Hürde dar, mit Vorsicht genossen werden. Auch hat der Nutzer keine Garantie, dass ein neugieriger VoIP-Administrator oder -Anbieter keinen Sniffer auf seinem System implementiert hat.
Sicherheits-Protokolle sind nicht standardmäßig implementiert
Kritiker werfen VoIP-Anbietern deshalb vor, Fragen der Sicherheit und
Verschlüsselung zu vernachlässigen. Protokolle wie SRTP (Secure Real-Time
Transport Protocol) bieten Funktionen zur Verschlüsselung von
VoIP-Sprachübertragungen zum Schutz vor unbefugtem Abhören sowie Funktionen zur
Authentifizierung der Gegenstelle, um Fälschungen der Absender-Adresse (Spoofing) vorzubeugen. Nur hat kaum ein Anbieter ein solches Sicherheits-Protokoll
standardmäßig implementiert. Dem Nutzer, der ja selbst keinen Einfluss auf die
Vorgänge auf Netzwerkebene hat, bleibt also nur das Vertrauen und die Hoffnung,
dass sein Anbieter kompetent genug ist, seine Systeme vor Hacker-Angriffen zu
schützen. Notfalls sollte man bei dem ausgewählten Provider gezielt nachfragen,
bevor man sich dort für ein VoIP-Konto anmeldet.
Es gibt jedoch Ausnahmen: Der Internet-Telefonie-Anbieter Skype nutzt nicht das SIP-Protokoll, sondern setzt auf eine hauseigene Technologie, bei der Skype-Telefonate immer verschlüsselt übertragen werden. Jüngst klagte beispielsweise BKA-Präsident Jörg Ziercke, dass die deutsche Polizei Skype-Telefonate nicht abhören könne, da sie die verwendete Verschlüsselung bisher nicht knacken konnte. Zudem bieten einige wenige Anbieter von VoIP-Telefonen wie etwa Snom Geräte, die Verschlüsselung mit SRTP unterstützen. Für solche abgesicherten Telefonate müssen allerdings alle Gesprächsteilnehmer SRTP-fähige Geräte einsetzen.
Bundesregierung will verschlüsselte VoIP-Telefonate abhören
Allerdings: Auch wer auf verschlüsselte Internet-Telefonie beispielsweise mit Skype setzt, ist vor staatlich sanktioniertem Abhören durch Sicherheitsorgane nicht sicher. Gerade in der vergangenen Woche teilte das Bundesinnenministerium in einer Antwort auf eine FDP-Anfrage mit, die Technik zu Abhören von verschlüsselten Internet-Telefonaten sei dem geplanten "Bundestrojaner" für Online-Durchsuchungen ähnlich. Im vergangenen Monat hatte die Meldung, das bayerische Landeskriminalamt habe Internet-Telefonate belauscht, für einigen Medienwirbel gesorgt. Das bayrische Justizministerium dagegen verteidigte das Abhören von Internet-Telefonaten bei strafrechtlichen Verfahren.
Weitere Sicherheitsrisiken für VoIP-Nutzer
Die Liste weiterer möglicher Angriffe auf VoIP-Systeme ist lang: Denial-of-Service-Angriffe (DoS) können VoIP-Systeme in die Knie zwingen, SIP-Accounts können gekapert und beispielsweise für Anrufe zu Premium-Rufnummern missbraucht werden, oder Anruf-Guthaben können weiterverkauft werden. Über VoIP-Sicherheitslücken kann Schadsoftware auf PCs installiert werden, und mit Rufnummern-Spoofing können Internet-Kriminelle die VoIP-Rufnummer eines Nutzers vortäuschen und für ihre betrügerischen Zwecke einsetzen.
Nutzer der Internet-Telefonie sollten deshalb, so wie dies auch bei der Internet-Nutzung angeraten ist, im Falle des Bekanntwerdens von VoIP-Sicherheitslücken umgehend die von den Herstellern bereitgestellten Sicherheits-Patches installieren, um sich vor Angriffen zu schützen. Gegenwärtig sind massive Angriffe auf VoIP-Systeme zwar nicht bekannt, es exististieren jedoch einige Proof-of-Concept-Nachweise, beispielsweise für VoIP-Router, durch die eine zukünftige Ausnutzung durch Internet-Kriminelle zumindest in den Rahmen der Möglichkeit gerückt wird.