Kommentar: VoIP-Security

VoIP erfordert zusätzliche Sicherheitsfunktionen

11. Juli 2014, 14:30 Uhr | Mathias Hein, freier Consultant in Neuburg an der Donau
Kolumnist: Mathias Hein
© funkschau

Neue Exploits gegen VoIP tauchen ständig im Internet auf. Diese Angriffe zeigen die Verwundbarkeit der VoIP-Systeme und die Notwendigkeit für zusätzliche Sicherheitsmechanismen.

Hacking-Werkzeuge zum Angriff auf die VoIP-Ressourcen und zum Mithören von VoIP-Gesprächen gehören noch nicht zum Standard der Skript-Kiddys . Es stehen jedoch bereits Werkzeuge zum automatischen Auffinden von Sicherheitslücken in den Implementierungen des Session-Initiation-Protocol zur Verfügung. Es ist daher nur noch eine Frage der Zeit, bis eine leicht zu bedienende Hacker-Software im Internet zur Verfügung steht.

Das eigentliche Sicherheitsproblem liegt nicht in der VoIP-Technologie, sondern in deren Implementierung. Legt man die traditionellen Anforderungen der Datenkommunikation an die Netzwerksicherheit zugrunde, dann ist VoIP so sicher wie jedes andere TCP/IP-Protokoll. Ein Großteil der bekannten VoIP-Schwachstellen hat ihre Ursache darin, dass die VoIP-Technologie noch relativ neu ist und die hierfür genutzten Protokollcodes nicht mit dem Augenmerk auf die Sicherheit entwickelt wurden.

Bei der Open-Source-PBX "Asterisk" sind beispielsweise VoIP-Angriffe bekannt, die sich eines Fehlers (Pufferüberläufe) im System bedienen. Das grundlegende Problem sind nicht die spezifischen Schwachstellen, sondern die fehlende Reife der Software. Da die Entwicklung dieser Systeme immer unter Druck stehen, wird zwar die Funktionalität des Systems geprüft, aber zusätzliche Tests in Sachen Sicherheit bleiben oftmals auf der Strecke. Das Problem wurde bereits von allen Herstellern adressiert und gegen die bekannten Exploits wurden die entsprechenden Gegenmaßnahmen entwickelt. Darüber hinaus veröffentlicht die VoIP Security Alliance (www.voipsa.org) eine Reihe von Testwerkzeugen, mit denen die VoIP-Anbieter die Sicherheit ihrer Systeme überprüfen können.

Eine der Binsenweisheit besagt, dass VoIP weniger sicher ist als die herkömmliche Telefonie. Begründet wird dies damit, dass VoIP auf der Basis des IP-Protokolls aufbaut und somit anfällig für Hacker-Angriffe sein soll. Die einzige Sicherheit, die die herkömmliche Telefonie zu bieten hatte, war der physische Zugang. Als Anschlusskomponenten wurden nur spezielle Geräte zugelassen und die Kommunikation erfolgte in einem geschlossenen Netz. Trotzdem konnte jeder technisch gewandte Nutzer das System manipulieren beziehungsweise missbrauchen. VoIP-Systeme sind grundsätzlich nicht unsicherer oder unsicherer als klassische Telefonsysteme.

VoIP-Anlagen stellen in der Praxis nichts anderes als in ein Netzwerk eingebundene Clients und Server dar. Daher sind diese Komponenten den Attacken oder Abhörangriffen ausgesetzt. Diese Systeme sind den gleichen Bedrohungen wie alle anderen im Unternehmen vernetzten Computer ausgesetzt. Durch die Vermischung von Anwendungen und dem reinen Informationstransport sind jedoch keine präzisen Unterscheidungen mehr möglich.

Anbieter zum Thema

zu Matchmaker+

  1. VoIP erfordert zusätzliche Sicherheitsfunktionen
  2. 20 Tipps zur VoIP-Sicherung
  3. Tipp 11 bis 20 zur VoIP-Sicherung

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu connect professional

Weitere Artikel zu Server, Datacenter

Matchmaker+