VoIP stellt IT-Security auf eine schwere Probe

17.08.2007
Trotz ständig neuer Schwachstellen bewerten Experten Voice over IP (VoIP) nicht als chronischen Unsicherheitsfaktor im Unternehmen. Die Technik muss jedoch sorgfältig überwacht werden.

Das Problem liege nicht in der VoIP-Technik, sondern ihrer Implementierung, erklärte Barrie Dempster, Senior Security Consultant bei Next Generation Security Software (NGSS) der US-Schwesterpublikation Network World. "Wird die traditionelle Logik der Netzabsicherung auf VoIP übertragen, kann man es so sicher wie jedes andere Protokoll machen."

Ein Großteil des Rufs, anfällig zu sein, kommt daher, dass die VoIP-Technik noch relativ neu ist und bei der Erstellung des Codes nicht unbedingt die Sicherheit im Vordergrund stand – ein Problem, das viele neue Technologien plagt. So verweist Dempster auf Wege, die Open-Source-basierende IP-Telefonanlage (IP PBX) Asterisk anzugreifen, unter anderem mit Buffer Overflow. Diesen und anderen Schwachstellen könnte man aber Herr werden, indem man den Code für nicht benötigte Features entfernt und die genutzten Funktionen regelmäßig einer Sicherheitsüberprüfung unterzieht. "Das Problem sind nicht die spezifischen Schwachstellen selbst", so Dempster. "Es ist der Reifegrad der Software. Es wurden einfach noch nicht genügend Sicherheits-Checks vorgenommen."

Das Problem ist weit reichend bekannt und entdeckte Schwachstellen wurden inzwischen veröffentlicht, um Gegenmittel zu entwickeln. So stellt etwa die VoIP Security Alliance (Voipsa) auf ihrer Website eine Reihe von Hacker-Tools zur Verfügung und bewirbt sie als Testwerkzeuge, mit denen Nutzer überprüfen können, ob ihre VoIP-Ausrüstung realen Attacken standhält.

Abgesicherte VoIP-Systeme seien nicht unüberwindbar, erklärt Peter Thermos, CTO des Security-Beraters Palindrome Technologies. Er verweist auf Schwachstellen im Media Gateway Control Protocol (MGCP), die es ermöglichten, Anrufe umzuleiten oder abzubrechen. Daneben gebe es eine Sicherheitslücke in dem von Phil Zimmermann entwickelten VoIP-Verschlüsselungsprotokoll ZRTP, da dieses nicht die Töne der Tasten beim Eingeben von Nummern verschlüssele. Auf diese Weise könnten via VoIP übermittelte Kreditkartennummern ausgekundschaftet werden, so Thermos.

Das Problem mit MGCP erfordere letztendlich eine Korrektur des Protokolls, bis dahin könnten Nutzer sich damit behelfen, unautorisierten Zugang zu den von MGCP verwendeten Ports zu blockieren, erklärt der Sicherheitsspezialist. Das Problem bei ZRTP habe die Implementierung des Protokolls betroffen und sei mit einem Patch behoben worden.