COMPUTERWOCHE: Traditionelle Telefonsysteme waren nie besonders sicher, dennoch waren sie nicht Ziel massenhafter Angriffe. Beim Thema VoIP haben es Anwender nun auf einen Schlag mit der kompletten Hackerszene zu tun. Kaufen sich Unternehmen, die auf VoIP umstellen, den Teufel im Sack?
DI FILIPPO: Ganz so "schwarz" würde ich das nicht darstellen. Prinzipiell sollte bei VoIP zwischen den Techniken Internet-Telefonie und Enterprise-Telefonie unterschieden werden. Gehen wir von der weit verbreiteten Internet-Telefonie aus; erben wir auf Grund des homogenen Protokolls in der Tat die "Altlasten" der TCP/IP-Technologie mit all ihren Nachteilen und Angriffsmöglichkeiten. Gleichzeitig haben wir natürlich auch die gleichen globalen Gegner, die das Internet mit sich bringt. Bei der Enterprise-Telefonie wird allerdings der potenzielle Täterkreis auf Insider und Mitarbeiter beschränkt, ebenso haben Administratoren wie Betreuer direkten Einfluss auf die Security der VoIP-Infrastruktur.
COMPUTERWOCHE: Mit welcher Art von Kriminellen haben wir es bei VoIP zu tun?
DI FILIPPO: Gruppen, die Sprachnetzwerke kompromittieren, bezeichnen wir als Phreaker, ein Kunstwort aus "Phone" und "Hacking". Üblicherweise wird in der medialen Berichterstattung unter dem Begriff "Hacker" pauschal eine Person bezeichnet, die unbefugt in fremde ICT-Systeme eindringt. Oftmals wird jedoch zwischen "Hackern", "Crackern" und "Script Kiddies" unterschieden. Während "Hacker" dabei als experimentierfreudige Programmierer angesehen werden, die sich aus technischem Interesse mit Sicherheitslücken in ICT-Systemen auseinander setzen, werden unter "Crackern" Personen verstanden, die sich aufgrund krimineller Energie der Schwachstellen von ICT-Systemen bedienen, um dadurch rechtswidrige Vorteile oder gesellschaftliche Aufmerksamkeit beziehungsweise Anerkennung zu erlangen.
Bei "Script Kiddies" handelt es sich meist um Täter, die ohne umfangreiches Hintergrundwissen und aus Neugier weitestgehend vorgefertigte Angriffstools aus dem Internet gegen willkürlich ausgewählte oder besonders exponierte Ziele anwenden.
Cracker, die über privilegiertes Wissen über die Organisation verfügen, die sie angreifen wollen, werden als Insider bezeichnet. Oft handelt es sich bei Insidern um frustrierte beziehungsweise ehemalige Mitarbeiter einer Organisation, die ihr erworbenes Wissen über betriebsinterne Sachverhalte dazu nutzen, der Organisation Schaden zuzufügen. Die Gefahr, die von Insidern ausgeht, ist dabei als besonders hoch einzuschätzen, da sie mit der technischen und organisatorischen Infrastruktur vertraut sind und vorhandene Schwachstellen möglicherweise bereits kennen.
COMPUTERWOCHE: Welches Interesse haben Kriminelle, Telefonate abzuhören oder auf Daten zuzugreifen? Welcher Schaden kann Unternehmen dabei entstehen?
DI FILIPPO: Neben den bereits beschriebenen Tätergruppen stellt auch die Wirtschaftsspionage eine ernst zu nehmende Bedrohung dar: Ziel der Wirtschaftsspionage ist es, von Betriebsgeheimnissen wie innovativen technischen Konzepten, Strategien und Ideen, die einen Wettbewerbsvorteil bedeuten, Kenntnis zu erlangen und zum eigenen Vorteil zu verwenden.
Nehmen wir mal das Beispiel TGV: Eine mehr oder weniger bekannte Tatsache ist, dass Siemens von Alstom ausgestochen wurde, was das Angebot der Hochgeschwindigkeitsbahn in Südkorea betraf.
Wie man munkelt, haben die Franzosen das Angebotsfax der Deutschen abgefangen und daraufhin ihr TGV-Angebot deutlich abgeändert, so dass dieses zum Zug kam.
Würde es sich hier bei dem geschädigten Unternehmen nicht gerade um einen Global Player handeln, so wären die Verluste existenzbedrohend gewesen.
COMPUTERWOCHE: Im Live-Hacking auf dem VoIP-Kongress der Computerwoche demonstrierten Sie, wie Hacker an Daten von VoIP-Anwendern kommen, Gespräche abhören und auf Kosten der Anwender telefonieren. Wie funktioniert das?
DI FILIPPO: Hier sind mehrer Szenarien vorstellbar. Auf dem VoIP-Kongress bin ich wie folgt vorgegangen:
Zuerst wurde mittels ARP-Spoofing der gesamte Datenverkehr mitgeschnitten. Die daraus ermittelten Daten konnten so mit entsprechenden Werkzeugen bearbeitet werden. Weiterhin bieten Tools wie Etherreal beziehungsweise Wireshark, Cain&Abel die Möglichkeit, den RTP-Stream direkt in eine Audiodatei umzuwandeln. Als kleiner "Nebeneffekt" können hier auch noch die Zugangsdaten mitgelesen werden, die dem Angreifer die Nutzung des abgehörten Accounts ermöglichen. Anschließend wurde die Vorgehensweise mit einer eigens programmierten Applikation (als Trojaner) automatisiert. Die so ermittelten Daten wurden zu einer entfernten Datenbank übermittelt.
COMPUTERWOCHE: Was passiert bei VoIP bei einer Denial of VoIP-Attacke?
DI FILIPPO: Im eigentlichen Sinne bedeutet Denial of VoIP soviel wie die VoIP-Infrastruktur unzugänglich zu machen beziehungsweise außer Betrieb zu setzen. Der Ursprung von Denial of VoIP leitet sich aus dem "altbekannten" Denial of Service ab.
Auf den VoIP-Bereich übertragen bedeutet ein DoVoIP-Angriff in der Regel, dass ein entferntes Hard- beziehungsweise Softphone außer Betrieb gesetzt wird.
Bei diesen Attacken wird die VoIP-Infrastruktur im Internet oder lokalen Netzwerk überlastet. CPU, RAM oder Netzwerk werden so stark beansprucht, dass die Device ihre Aufgabe nicht mehr korrekt erfüllen kann oder abstürzt, und deshalb vorübergehend anderen Nutzern nicht zur Verfügung steht.
COMPUTERWOCHE: Wie schützt man sich dagegen?
DI FILIPPO: Grundsätzlich ist ein wirksamer Schutz auf Protokollebene beziehungsweise in der Kommunikationsschicht möglich, jedoch sehr aufwendig, da in der Sprachkommunikation kaum heuristische Regelmäßigkeiten auftreten. Betrachten wir mal den RTP-Stream, der für die Übertragung von Sprachdaten verantwortlich ist. Wie kann hier beispielsweis der Inhalt geprüft werden, wenn alleine in der deutschen Sprache für ein und dasselbe Wort mehrere Dialekte existieren? Das gleiche gilt auch für SPAM beziehungsweise SPIT, wie er im VoIP genannt wird. Auch hier wird der Abgleich mit charakteristischen Merkmalen nur unter enorm aufwendigen Bedingungen möglich sein.
COMPUTERWOCHE: Wo liegt Ihrer Erfahrung nach das größte Sicherheitsrisiko bei VoIP-Anwendungen in Unternehmen?
DI FILIPPO Eine große Bedrohung bildet die Möglichkeit, von PSTN-Netzwerken in Datennetze vorzudringen. In diesem Fall sind alle Schutzvorkehrungen wie Firewalls, IDS und andere an den äußeren Schnittstellen wirkungslos, da der Angreifer an diesen vorbeigeht. Wer denkt, dass man hier physikalischen Zugang zu TK-Anlage oder Verteilerkasten haben muss, der irrt. Über die sogenannten Fernwartungszugänge, die jede TK-Anlage besitzt, ist es möglich, Gespräche zu belauschen, umzuleiten und selbst kostenlos zu führen. Da eine Großzahl der Hersteller "Masterpasswörter" in den TK-Systemen hinterlegen beziehungsweise benutzen, ist hier ein Zugriff sehr leicht möglich.
COMPUTERWOCHE: Das bedeutet, auch wenn über VoIP telefoniert wird, besteht dieses Sicherheitsrisiko?
DI FILIPPO: Natürlich, da die VoIP-Infrastrukturen mittelbar mit den IT-Infrastrukturen verankert sind. Nicht umsonst spricht man hier von einer Konvergenz zur ICT-Infrastrukur, die die "Altlasten" der IT erbt.
COMPUTERWOCHE: In Ihrer Präsentation führen Sie aus, dass bei VoIP die Qualitätsparameter in puncto Sicherheit und Verfügbarkeit verglichen zum klassischen PSTN noch lange nicht erreicht sind. Was ist bei VoIP anders?
DI FILIPPO: Die Liste der Unterschiede ist breit gefächert. Sehen wir mal von den technischen Unterschieden komplett ab, dann bleibt, dass zum Beispiel kein weltweit einheitlicher Standard vorhanden ist, die VoIP-Provider ihre Dienstleistungen zum größten Teil ohne Sicherheitsstandards - zum Beispiel SIPS, SRTP - anbieten und das Routing von Notrufnummern inklusive der Standortermittlung nicht bei allen Anbietern möglich sowie keine Notrufgarantie vorhanden ist - zum Beispiel bei deaktiviertem Account.
Zudem ist und bleibt VoIP immer abhängig von anderen Infrastrukturen wie Strom und Internet. Das Abhören und die Manipulation von Gesprächen und Nachrichten ist jederzeit mit einfachen Mitteln wie mit unserer hierfür zur Demonstration entwickelten Software RingAll möglich, ohne große Investitionen wie beim PSTN. Letztendlich erfüllen viele VoIP-Angebote momentan nicht die gesetzlich vorgeschriebenen Standards wie beispielsweise den §108 des Telekommunikationsgesetzes und die Lawful Interception der Telekommunikationsüberwachungsverordnung.
COMPUTERWOCHE: Sie bemängeln, dass Sicherheitsvorkehrungen oft nur punktuell gemacht werden, wie beispielsweise über eine Firewall, andere Zugangsmöglichkeiten aber vernachlässigt werden. Warum tun sich deutsche Unternehmen mit ganzheitlichen Sicherheitslösungen so schwer?
DI FILIPPO: Die Angriffstechnik über die "Telefonleitung" ist zwar schon seit den 60-Jahren bekannt und wird auch praktiziert, wird jedoch von vielen Unternehmen in ihrer Bedeutung unterbewertet. Die Telefonhacker, die sogenannten Phreaker, haben ihre Popularität mit der weltweiten Vernetzung durch das Internet verloren, da hier Infrastrukturen ohne große Telefonkosten und unterschiedliche Einwahlen zugänglich gemacht wurden.
Es ist zwingend erforderlich, den Verantwortlichen die Gefahr wieder ins Bewusstsein zu rücken.
COMPUTERWOCHE: Bei der VoIP-Einführung dominieren oft die Argumente für Arbeitsprozessoptimierung und Kosteneinsparungen. Werden Sicherheitsaspekte dadurch vernachlässigt?
DI FILIPPO: Ja, und das kann fatale Folgen haben, denn die Einführung von VoIP kann die gesamte Sicherheitsarchitektur einer Firma "ad absurdum" führen. Der erfolgreiche Umstieg auf VoIP setzt die Konzipierung und Umsetzung rigoroser VoIP-Security-Maßnahmen voraus.
COMPUTERWOCHE: Was raten Sie den Anwendern?
DI FILIPPO: Wie in meiner Einleitung bereits erwähnt, sollte man sich nicht von "Geiz ist geil"-Angeboten in den Medien blenden lassen und auf die Internet-Telefonie momentan noch verzichten. Primär sollten die Vorteile von VoIP mit der gewissenhaften Planung und Umsetzung einer Enterprise-Lösung realisiert werden.
COMPUTERWOCHE: Eines der lästigsten IT-Sicherheitsthemen sind SPAMs. Bei VoIP geht es um Sprache. Können Anwender zumindest dieses Thema bei ihren Sicherheitsvorkehrungen ausgrenzen?
DI FILIPPO: Keinesfalls. Durch VoIP haben Phisher und Spammer wieder neue "Munition" erhalten. Denn nichts ist leichter als die Absenderkennung zu verändern oder das Messaging-System für SpIT - das steht für Spamming over Internet-Telefonie - und Phishing zu missbrauchen.
COMPUTERWOCHE: Wie funktioniert das?
DI FILIPPO: Ich möchte dies anhand des Beispiels SIP erklären: Die Einfachheit und dadurch gute Funktionalität des SIP-Protokolls ist gleichzeitig auch seine Schwachstelle. So können mit einfachen Programmierkenntnissen SIP-Header ohne großen Aufwand generiert werden, welche Systeme kompromittieren können.
COMPUTERWOCHE: Können Sie uns bitte ein Beispiel für einen konkreten Angriffsfall nennen, mit dem Sie in Ihrer Beratertätigkeit konfrontiert waren?
DI FILIPPO: Natürlich: Mit der oben genannten Methode ist es zum Beispiel möglich, unendlich viele Invite-Anfragen an eine VoIP-Infrastruktur in kürzester Zeit abzusetzen. Das Ergebnis ist, dass die Systeme die Anfragen nicht mehr ordentlich verarbeiten können und so ein Denial of VoIP hervorgerufen wird. In unserem Fall hat man versucht, den VoIP-Server vor solchen Angriffen zu schützen, vergaß jedoch die Anfälligkeit der Endgeräte, also Hard- und Softphones, die dem Angriff schutzlos ausgeliefert waren.
COMPUTERWOCHE: Wie hoch war der Schaden, der dabei entstand?
DI FILIPPO: Abgesehen von den Kosten für die Wiederinstandsetzung war dieser Angriff mit hohen Ausfallkosten des Callcenters versehen. Für das Callcenter kam auch noch ein Imageverlust sowie ein wirtschaftlicher Schaden für das beauftragende Unternehmen durch fehlende Auftragseingänge hinzu.
COMPUTERWOCHE: Wie gut oder weniger gut sind derzeit installierte VoIP-Netze in deutschen Unternehmen aus Ihrer Erfahrung heraus geschützt?
DI FILIPPO: Viele kleine und mittlere Unternehmen verlassen sich schutzlos auf die Internet-Telefonie. In großen Unternehmen ist der Einsatz von Enterprise-Lösungen durch die gewachsene Struktur schon durch die betreuenden Systemhäuser gewährleistet. Aber auch hier werden oft gravierende und bekannte Fehler in der Umsetzung gemacht wie beispielsweise das Beibehalten von Standardpasswörtern oder Nichteinspielen von Sicherheitsupdates.
COMPUTERWOCHE: Gibt es einen 100-prozentigen Schutz?
DI FILIPPO: Nein, einen 100-prozentigen Schutz kann es nie geben. Man kann aber die Messlatte so hoch legen, dass unerfahrene oder neugierige Angreifer erst gar nicht in Versuchung kommen beziehungsweise abgeschreckt werden, die eigene Telefoninfrastruktur anzugreifen.
COMPUTERWOCHE: Wieviel Schutz ist notwendig, wieviel Risiko ist kalkulierbar?
DI FILIPPO: Die Frage kann technisch-mathematisch aber auch philosophisch beantwortet werden: Das System muss so sicher sein, dass ein Angreifer, dem 100 Millionen US-Dollar für einen Einbruch zur Verfügung stehen, mit einer Wahrscheinlichkeit unter eins zu zwei hoch 32 innerhalb eines Jahres in das System eindringen kann, selbst wenn man einen technischen Fortschritt von jährlich 30 Prozent im Betrachtungszeitraum ansetzt, oder einfach ausgedrückt: Sicherheit ist keine Technologie sondern ein Prozess, der erst durch eine Technologie realisiert wird.
COMPUTERWOCHE: Herr Di Filippo, wir danken Ihnen für das Gespräch.