Sicherheitsrisiken beim Einsatz von Voice over IP (VoIP)
Vorbemerkung
Voice-Over-IP, also Telefonieren mittels Internet-Techniken, ist eine Technologie, die in den letzten Jahren auch im privatem Bereich immer populärer geworden ist. Wir nehmen an dieser Stelle Stellung zum Einsatz von Voice-Over-IP im unternehmensinternen Netzwerk, bei dem externe Gespräche über eine Schnittstelle des Unternehmens via Festnetz geführt werden. Das ist z.Z. (2006) die übliche Lösung in Unternehmen. Im Unterschied dazu werden Telefongespräche im privaten Bereich durch das Internet geführt und können auf dem Weg von A nach B prinzipiell abgehört werden. Diese privaten Gespräche sind daher mit sehr viel größeren Risiken behaftet als der Einsatz in der oben beschriebenen Weise.
Abhören der VoIP-Verbindung
Die Gefahr des unberechtigten Abhörens von VoIP-Gesprächen existiert auch in Unternehmensnetzwerken. In der Regel werden Gespräche unverschlüsselt übertragen. Da die Gespräche nach extern über eine Schnittstelle ins Festnetz geleitet werden, sind potenzielle Haupttäter illoyale Mitarbeiter, zum Beispiel der Systemadministration, die heimlich entsprechende Abhör-Programme installieren. Der Ehrlichkeit halber sei festgehalten, dass auch Gespräche im herkömmlichen Telefonnetz des Unternehmens üblicherweise nicht abhörsicher sind und heimlich belauscht werden können. Das Risiko der Sabotage von Festnetzen ist ggf. deswegen geringer, weil es weniger Menschen im Unternehmen gibt, die über das nötige "Festnetz"-Wissen verfügen. Informatioen über VoIP sind frei im Internet verfügbar, es kennen sich einfach mehr Menschen mit der VoIP-Technik aus als mit herstellerspezifischer Telefonanlagen-Programmierung.
Die VoIP-Software braucht als Basis ein Betriebssystem. Einige Hersteller setzen für den VoIP-Server ein proprietäres Betriebssystem ein, um Hackern Angriffsszenarien zu erschweren.
IP-Spoofing
Unter Spoofing versteht man das Vortäuschen einer fremden Identität. Ein Angreifer übermittelt dem Angerufenen z.B. eine gefälschte Rufnummer. Dieses Szenario ist durch den Einsatz von VoIP-Techniken durch die Angreifer einfacher geworden. Auf der "Opferseite" ist allerdings irrelevant, ob via VoIP oder auf herkömmlichen Weg telefoniert wird. Die gefälschte Telefonnummer wird in beiden Fällen übermittelt. Telefonprovider arbeiten zur Zeit an Lösungen, um Anrufe mit gefälschten Anruferangaben zu erkennen und zu unterbinden.
Passwort-Klau, Fremdnutzung der Telefonummer und Firewall
Im Bereich der privaten IP-Telefonie kann ein Hacker durch den Diebstahl von Login und Benutzerkennwort den heimischen (VoIP)-Telefonanschluss für seine Zwecke nutzen. Bei der Nutzung von VoIP im Unternehmenskontext ist dies kaum vorstellbar. Der Firmenanschluss selbst ist über Passworte hinaus durch mehrere Sicherheitssysteme geschützt.
Auszuschliessen sind Angriffsszenarien allerdings nicht. Ein Firewall-System muss daher entsprechende Angriffe abwehren. Konfigurationsfehler oder Sicherheitslücken können zu Problemen führen.
Wahrscheinlicher ist das Knacken oder Ausprobieren von persönlichen Kennwörtern von Mitarbeitern. Wenn für private Telefongespräche z.B. ein besonderes Kennwort eingegeben werden muss, kann ein geknacktes Passwort für den betreffenden Mitarbeiter zu unangenehmen Folgen führen. Ein Risiko, dass allerdings auch in herkömmlichen Telefonnetzen besteht.
SPIT (Spam over Internet Telephony)
Nervende Werbeanrufe sind schon jetzt ein Ärgernis. In Zeiten, in denen Telefonanrufe per FlatRate und Internet-Telefonie immer günstiger oder sogar kostenlos werden, können Anrufe von Telefonrobotern ein großes Problem von morgen werden. Zwar sind Werbeanrufe ebenso wie der SPAM-Versand per eMail in Deutschland verboten, doch leider kommt man an die Hintermänner der Werbemafia kaum heran. - Sie verstecken sich hinter Servern in den abgelegenen Teilen der Internetwelt. Auf eine Lösung wartet die Branche. Noch kann man zum Glück konstatieren, dass vollelektronische Telefonanrufe sich offenbar noch nicht in Deutschland durchgesetzt haben. Doch auch wenn wir es in Zukunft mit mehr SPIT zu tun bekommen sollten, so ist dies ebenfalls ein Problem, dass auch Unternehmen mit herkömmlichem Telefonnetz betreffen würde.
Fazit
Alles in allem sollte man die Sicherheitsbedenken beim Einsatz von VoIP im Unternehmen nicht überbetonen. Bestehende Gefahren sollten nicht verniedlicht werden, man sollte jedoch berücksichtigen, dass sie oftmals auch herkömmliche Telekommunikations-Architekturen betreffen. Zum Glück liegt es im ureigenen Interesse des Unternehmens, hier saubere Lösungen zu finden, von denen dann auch die Beschäftigten profitieren.
Betriebs- und Personalräte werden sich mit den Sicherheitskonzepten nur am Rande herumschlagen müssen. Sie sollten sich das vom Unternehmen vorgenommen Sicherheitskonzept erläutern lassen. Im weiteren gilt es, bei der Konfiguration der Anlage darauf zu achten, dass die Persönlichkeitsrechte der Mitarbeiter gewahrt werden - eine Aufgabe, die sich bei VoIP- gleichermaßen wie bei herkömmlichen Telefonanlagen stellt.