RSA-Konferenz: Sicherheit kann Kostenvorteile von VoIP auffressen

In die Sicherheit von Voice over IP muss noch deutlich mehr investiert werden: "Für Unternehmen ist VoIP im Internet noch nicht 'ready for primetime'", warnte Tim Mather vom Symantec auf der RSA Security Conference. VoIP habe alle Sicherheitsprobleme der IP-Welt wie Denial-of-Service-Angriffe-, Man-in-the-Middle-Attacken oder Wurmbefall geerbt und noch ein paar neue dazubekommen. Unternehmen könnten wohl den Ausfall entweder des Daten- oder des Sprachnetzes für kurze Zeit noch halbwegs verschmerzen, meinte Mather. Nutzer von Voice over IP aber sind beim Ausfall des IP-Netzes in der Regel gleich von beiden Kommunkationskanälen abgeschnitten. VoIP so abzusichern wie das gute alte Telefon werde einiges von den Kostenvorteilen auffressen, mit denen heute für VoIP geworben wird. "Trotzdem", meinte Mather, "werden die alten Carrier verschwinden."

Vertraulichkeit und Verfügbarkeit seien die beiden größten Herausforderungen für VoIP, sagte Mather. Mit dem seit langem bekannten VoMIT (Voice over Misconfigured Internet Telephones) lassen sich Gespräche übers Netz mitschneiden, weil bei SIP grundsätzlich alles im Klartext gesendet wird. Verschlüsselungsalgorithmen gebe es zwar, ein effektives Schlüsselmanagement aber fehlt nach Ansicht von Mather. Das führe dazu, dass Verschlüsselung und ausreichend hohe Sprachqualität sich praktisch ausschlössen. Zwar stünden prinzipiell SSL oder TLS und auch IPSec für die Verschlüsselung der Inhalte zur Verfügung, die Latenzzeiten würden aber, zumindest im Internet, durch die notwendigen Handshakes zu lange. Denn anders als bei normalen IP-Paketen ließen sich Sprachpakete nicht einfach "nachsenden". "Da ist ein Geschäftsmodell", findet Mather, "und man wundert sich eigentlich, dass noch niemand in die Lücke gesprungen ist."

Bei Cisco arbeite man aber sehr wohl an VoIP-Sicherheit, sagte Eric Vyncke, VoIP-Experte bei Cisco in Belgien. Man habe auf die Vomit-Angst der Kunden unter anderem dadurch reagiert, dass man jedes IP-Telefon frei Haus schon mit einem von Cisco ausgestellten Zertifikat liefere. Die Kompromittierung des Unternehmensnetzes durch DHCP-Spoofing oder ARP-Attacken werde damit zumindest abgeschwächt. Wer Cisco als Zertifizierungsstelle traue, spare durch die integrierten Schlüssel Zeit: Er müsse keine eigenen Schlüssel zuweisen. Allerdings, gestand Vynche, nutzten derzeit nur fünf Prozent der Cisco-Kunden die Schlüssellösung.

Die Verschlüsselung der Sprachdaten selbst kann dagegen, von den Latenzzeiten einmal abgesehen, auch zu einem anderen Problem führen. Wenn beide Nutzer hinter einer Firewall sitzen, werden die TLS-verschlüsselten Pakete ausgefiltert.Im Rahmen der IETF arbeitet Cisco daher in der Midcom-Arbeitsgruppe an einem Konzept, die Sprachdaten über einen vertrauenswürdigen Server in der Mitte zu übergeben. Das Prinzip ist der Lösung beim proprietären Internet-Telefoniedienst Skype nicht unähnlich: Auch dort werden Gespräche, die zwischen Nutzern mit zwei Firewalls stattfinden, schlicht über einen so genannten Supernode -- etwa in einer Universität -- geroutet. Skype hat neben dem Firewall-Problem offensichtlich auch das Verschlüsselungsproblem nicht schlecht gelöst: Zwar wiegen Mather und andere Experten abschätzig die Häupter wegen des proprietären Ansatzes, die Antwort auf berichtete Lecks bei Skype lautet aber grundsätzlich: "nichts bekannt"- Mather hält allerdings eine Änderung der Skype Unternehmensstrategie nach dem Kauf durch eBay für nicht unwahrscheinlich.

Sicherheits-Guru Bruce Schneier meinte zudem, er halte SpIT (Spam over Internet Telephony) für ein großes Problem. Daneben sei der Desktop und nicht so sehr das Netz der Hauptangriffspunkt: Verschlüsselung für die Kommunikationswege gebe es, das Ausspionieren am Trojaner-infizierten Rechner sei wesentlich gefährlicher. Mit Blick auf die von Verfolgungsbehörden laut gewordenen Forderungen, auch verschlüsselten VoIP-Verkehr abzufragen, kommentierte Schneier: "Sie wollen es ganz leicht haben. Im Grunde geht es ihnen mit den Forderungen vor allem darum, dass die Provider die entsprechenden Kosten übernehmen sollen." (Monika Ermert) / (jk)