Obwohl seit Jahren vermutet, ignorieren viele Firmen die Möglichkeit, dass neben dem für VoIP-Telefonate eingesetzten SIP-Standard (Session Initiation Protocol) auch VoIP-Systeme selbst zahlreiche Schwachstellen aufweisen könnten. Die Research-Abteilung des auf VoIP-Security spezialisierten Anbieters VoIPshield hat nun in einer Datenbank unzählige Sicherheitslücken dokumentiert, die sich auf konkrete VoIP-Produkte von Cisco, Avaya und Nortel Networks beziehen. Dabei zeigte sich, dass auch Gefahr droht, wenn zur Signalweitergabe nicht SIP sondern ein proprietäres Protokoll wie Ciscos Skinny verwendet wird.
Insgesamt stellte VoIPshield bei den häufig genutzten, IP-basierenden Telefonanlagen (IP-PBX) 144 Schwachstellen fest. Diese sind mehr oder mehr oder weniger gravierend und lassen sich in vier Kategorien unterteilen. Die Möglichkeit, dass Hacker mit Hilfe von DoS-Attacken (Denial of Service) die Qualität der VoIP-Telefonate stark in Mitleidenschaft ziehen und im schlimmsten Fall sogar die komplette PBX lahm legen, ist dabei noch die geringste Bedrohung. Vielmehr können sie über Schlupflöcher laut VoIPshield sogar die Kontrolle über die TK-Systeme oder -Dienste übernehmen, Firmengeheimnisse oder Kundendaten stehlen und schädliche Code-Zeilen in die PBX einschleusen.
Obwohl VoIPshield den betroffenen Herstellern alle entdeckten Schwachstellen schon vor der öffentlichen Bekanntmachung mitgeteilt hatte, ist aktuell nur eine Handvoll davon behoben. In den meisten Fällen arbeiten die Hersteller noch daran, die Lücken zu schließen. Aber auch Unternehmen, die VoIP-Systeme anderer Anbieter einsetzen, können sich laut VoIPshield nicht in Sicherheit wiegen. So erklärte der Dienstleister, dass sich sein erster Bericht auf die drei führenden Player im nordamerikanischen Raum konzentriere. In Zukunft plant das Unternehmen aber auch, Produkte von anderen VoIP-Anbietern wie dem Newcomer Microsoft unter die Lupe zu nehmen.
Bedrohung oder Panikmache?
Über den Sinn solcher Untersuchungen lässt sich freilich streiten. Bei den meisten tatsächlich stattgefundenen VoIP-Attacken, auf die sich Securitiy-Experten beziehen, hielten sich die Auswirkungen in Grenzen. Entweder sollten die Angriffe nur testen, was möglich ist oder sie hatten wie E-Mail-Attacken das Abgreifen von Kontaktdaten zum Ziel.
Auch Rick Dalmazzi, CEO von VoIPshield, ist sich dieses Umstands bewusst. Es sei jedoch besser, eine Schutzstrategie anzuvisieren, solange die Hacker-Community noch ihre Erfahrungen mit VoIP sammelte, erklärt er. Letztendlich versucht er natürlich auch, das von dem drei Jahre alten Security-Dienstleister entwickelte Produkt "VoIPguard" zu verkaufen. In der unmittelbaren Nähe der IP PBX installiert, soll dieses spezielle Intrusion Prevention System (IPS) für VoIP vor externen und internen Bedrohungen schützen. (mb)
Mehr zum Thema?