BSI warnt vor mangelnder Sicherheit bei VoIP
Das Bundesamt fĂĽr Sicherheit in der Informationstechnik gibt Empfehlungen zu VerschlĂĽsselung und Trennung von IP-Voice- und IP-Datenleitungen: Die unbedarfte EinfĂĽhrung von Voice-over-IP bringe erhebliche Bedrohungspotenziale.
Die unbedarfte Einführung von Voice-over-IP bringt erhebliche Bedrohungspotenziale mit sich, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der zur Systems vorgestellten Studie VoIPSec. Noch seien keine "spektakulären Angriffe" bekannt geworden, doch dies sei nur eine Frage der Zeit. Spätestens dann werde Sicherheit zu einem zentralen Bewertungskriterium werden. Vorerst aber werde bei VoIP vor allem auf die Kostenvorteile geblickt. Für sichere Systeme müsse aber ein Teil dieser Kostenvorteile aufgegeben werden. Darauf hatten auch Experten bei der RSA-Konferenz in der vergangenen Woche aufmerksam gemacht.
Die VoIPSec-Studie des BSI bietet auf über 130 Seiten einen detaillierten Überblick über Bedrohungen auf Netzwerk-, Middleware- und Endgeräteebene. Geeignete technische und organisatorische Sicherheitsmaßnahmen seien bereits realisierbar, schreibt das achtköpfige Autorenteam. Allerdings "unterstützt nur ein Bruchteil der aktuell auf dem Markt befindlichen Systeme die erforderlichen Sicherheitsmaßnahmen im erforderlichen Umfang". Andererseits seien Abhörtools wie Vomit (Voice over misconfigured Internet Telephones) für SIP beziehungsweise H.323-Plug-ins für den Ethernet-Sniffer Ethereal weit verbreitet. Vomit ermöglicht ein Mitschneiden der Gesprächsinhalte, Etherreal erlaubt das Ausspähen von Ziel- und Quelladresse. Zudem rät das BSI zur Vorsicht bei nicht sauber implementierten Sicherheitsmaßnahmen von Endgeräte-Herstellern, etwa einem IP-Telefon, das zwar eine Verschlüsselung mittels SRTP (Secure Real-time Transport Protocol) erlaubt, die eingesetzten Schlüssel bei der Erstübertragung aber im Klartext übers Netz sendet.
Ingesamt 19 Angriffsvarianten auf Netzwerkebene listet der BSI-Bericht VoIPSec, darunter etwa MAC-, ARP-, IP- und IRDP-Spoofing, Flooding, klassische DHCP-Attacken von einem Schurken-Server oder das Aushungern des DHCP-Servers durch Inanspruchnahme aller verfügbaren IP-Adressen. Je nach Angriffsszenario wird damit die Verfügbarkeit, die Integrität, Authentizität oder Vertraulichkeit von VoIP-Diensten beeinträchtigt, das Opfer muss mit Betriebsstörungen, Identitätsbetrug, Manipulation von Daten oder fehlerhafter Gebührenerfassung rechnen. Auf der Anwendungsebene warnt das BSI vor Viren, Würmern, Trojanischen Pferden und Implementierungsfehlern, eben allem, was dem normalen Computer-Nutzer auch droht.
"Trojanische Pferde können benutzt werden, um private Informationen eines Teilnehmers oder den Gesprächsinhalt während des Gesprächs an einen Angreifer zu übermitteln. Außerdem können Sprachdaten aus dem Gespräch gespeichert und weitergeleitet werden", schreibt das BSI. Eine weitere Angriffsvariante von Malware bestehe darin, das Mikrofon eines VoIP-Endgerätes unbemerkt zu aktivieren und zur Wanze zu machen. Besonders anfällig sind laut dem BSI Softphones. IP-Telefone mit eigener Netzschnittstelle und proprietäre Betriebssysteme seien sicherer. Allerdings wurde auf der RSA-Konferenz auch berichtet, dass Cisco-Telefone ein Problem mit dem Virus Nimda hatten.
In der Frage der Verschlüsselung der VoIP-Signalisierung neigt man beim BSI zu Transport Layer Security (TLS) und S/MIME), da bei IPSec Probleme durch die notwendigen sieben einzelnen Handshakes beim Schlüsselaustausch zwischen den Hosts entstehen können. Auch bei der Verschlüsselung der Gesprächsdaten ist nicht IPSec, sondern SRTP die erste Wahl.
In vier Szenarien macht der Bericht schließlich Vorschläge für den sicheren VoIP-Einsatz im Home-Office, in einem mittleren Unternehmen, bei der Integration eines neuen Standorts, im Campusnetzwerk und der Integration von Firmenstandorten, die mindestens über gut gesicherte MPLS-Verbindungen zu realisieren seien. Zentrales Element der Sicherheitsempfehlungen ist praktisch immer die Trennung von IP-Sprach- und IP-Datennetz. Auch fürs heimische Büro wird zumindest eine redundante Außenanbindung vorgeschlagen, bei der das VoIP-Gateway auch Anschluss ans normale Telefonnetz bietet, um bei Ausfall des IP-Netzes weiterhin telefonieren zu können. Wie schwierig die Herstellung absoluter Vertraulichkeit mit VoIP ist, belegt die Anforderungsliste für die Übertragung von Verschlusssachen über VoIP, die abschreckende zwei Seiten lang ist. Es existierten heute noch keine IP-Telefone, die explizit für Verschlusssachen freigegeben werden, erklärt das BSI; daher müssten "entsprechend freigegebene IP-Verschlüsselungs-Gateways" zum Einsatz kommen. "Hochsicherheits-VoIP" dürfte allerdings nicht eben preiswert werden. (Monika Ermert) / (jk)