Anwender, die VoIP im Unternehmen einsetzen wollen, sollten allerdings ein paar Empfehlungen beherzigen. So sollten von Anfang an der Schutz der Telefonie bedacht und entsprechende Konzepte entwickelt werden. Dazu gehört das - zumindest logische - Trennen des Daten- und des Sprachverkehrs. Das kann beispielsweise mit Hilfe von virtuellen LANs (VLANS) geschehen. Das ist eine Vorraussetzung, um angestrebte Dienstequalitäten und die Verfügbarkeit zu garantieren. Zusätzlich sollten sämtliche Bereiche mit DoS-Abwehrmechanismen ausgestattet sein, um das Fluten von Netzsegmenten mit störenden Inhalten verhindern zu können.

Sprache verschlüsseln

Zum Schutz vor ungebetenen Lauschern könnten Anwender Verschlüsselungsmaßnahmen implementieren. Sicherheitsexperte Louis: "VoIP ist letztlich nur eine Anwendung wie andere auch, die man durch Maßnahmen wie Verschlüsselung vor solchen Gefahren schützen kann." Das kann zum Beispiel mit einem Standard wie Secure Real Time Protocol (SRTP) geschehen, den jedoch "nicht alle Hersteller benutzen". Leider stellt er auch für Anwender eine Herausforderung dar: "Um Verfahren wie SRTP mit höchstmöglicher Sicherheit verwenden zu können, muss eine Public Key Infrastructure (PKI) vorhanden sein", betont Louis. Dadurch verkompliziere sich der VoIP-Einsatz."

Alternativ könnten IPsec-VPNs für mehr Abhörsicherheit sorgen. An einer weiteren Lösung des Problems arbeitet derzeit Phil Zimmermann, der Vater des E-Mail-Verschlüsselungsverfahrens "Pretty Good Privacy" (PGP). Er hat ein Verfahren entwickelt, mit dem sich IP-Telefonie auch ohne eine PKI realisieren lässt. Zimmermann will die Technik als eigene Lösung auf den Markt bringen, aber auch anderen Herstellern anbieten, damit diese sie in ihre eigenen Produkte integrieren können.