computerwoche.de

Archiv

TK-Sicherheit: Wenn der Hacker zweimal klingelt

02.05.2002
Von 
Jürgen Hill ist Chefreporter Future Technologies bei der COMPUTERWOCHE. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Alle Posts des Autors Email: Connect:

Ungeklärte Sicherheitsaspekte

Das Risikopotenzial ist jedoch nicht nur auf die Verknüpfung von klassischer TK-Anlage und IT-Welt begrenzt. Bei der Einführung von VoIP-Systemen - als PBX-Nachfolger - steuern die Anwender nach Ansicht von Christiansen „in Sachen Sicherheit auf ein Tollhaus zu“. Viele technische Vorgaben seien unter Sicherheitsaspekten noch nicht geklärt. Hier sieht er vor allem die Industrie gefordert, standardisierte Sicherheitsmechanismen zu entwickeln.

Diese Sorge teilt man im Lager der IP-Telefonie-Verfechter nicht. Zwar räumt etwa Schumacher von Nortel Networks ein, dass man für VoIP als eine Datennetztechnik auch Hacking-Tools im Internet herunterladen könne - doch die Sicherheit sei letztlich eine Frage der richtigen Netzkonzeption. Erste Schritte in Richtung sichere IP-Telefonie sind für den Nortel-Manager dabei die Segmentierung der Netze mit Switches sowie eine Authentifizierung der IP-Telefone über MAC-Adressen.

Noch deutlicher wird Carsten Queisser, Business Development Manager bei Cisco: „In der öffentlichen TK-Welt bestehen mit VoIP die gleichen Risiken wie durch eine klassische PBX, ansonsten ist die IP-Telefonie sicherer.“ Lediglich auf einige IP-Anlagen der ersten Generation würden die Vorwürfe Christiansens zutreffen. Queisser begründet seine Argumention damit, dass ein potenzieller Lauscher bei der IP-Telefonie, wie sie etwa Cisco implementiert, einen viel höheren Aufwand betreiben müsse als in der klassischen TK-Welt, wo bereits der Kupferdraht zum Abhören reiche.

Bei der IP-Telefonie genüge es dagegen nicht, sich einfach mit einem Sniffer an das Netz zu hängen und den Verkehr zu überwachen. Vielmehr benötige der Angreifer die IP-Adresse des Empfängertelefons - um im Datenstrom überhaupt ein Telefonat zu erkennen - und müsse zudem noch im richtigen Netzsegment sitzen, da der Verkehr durch ein MAC-Adressfiltering in den Switches nicht im gesamten Netz verfügbar sei. Ferner erfordere ein Angriff noch einen leistungsfähigen Rechner, um die verschlüsselten VoIP-Gespräche zu entschlüsseln. Selbst wenn alle diese Voraussetzungen erfüllt seien, so der Cisco-Manager weiter, scheitere ein Angreifer noch an einem effizienten Intrusion Detection System, das bei einem Verdacht auf Manipulation die entsprechende Session sofort beende.

Angesichts dieser Mechanismen ist für Queisser ein entsprechendes Netzdesign vorausgesetzt, die IP-Telefonie intern sicherer als eine klassische TK-Anlage. Nach außen am Gateway beständen aber die gleichen Probleme wie in der klassischen TK-Welt, wobei allerdings die Problematik der Wartungszugänge entfalle, da diese bei den VoIP-Anlagen über VPNs erfolgen.