Sicherheitsallianz für VoIP gegründet

Eine Gruppe von Unternehmen hat eine Sicherheitsallianz für VoIP gegründet. Die VoIP Security Alliance (VOIPSA) will mit einer Politik der Information und Prophylaxe den Gefahren die Stirn bieten, die der Telefonie über das Internet im weltweiten Netz drohen. Denn VoIP basiert technologisch wie das Internet auf dem Internet Protokoll und hat damit auch die großen Probleme geerbt, die das weltweite IP-Netz heimsuchen: Hacker und Spam. Bewusstsein für mögliche Risiken zu schaffen, Information zur sicheren Implementation von VoIP zu verbreiten und die Gefahren effektiv abzuwehren, sind die Zielsetzungen der VOIPSA. Mailing-Listen, thematische Diskussionsgruppen, Sponsoring von Forschungsprojekten und die Entwicklung und Bereitstellung von Sicherheitstools sollen die Instrumente im Kampf gegen potentielle Bedrohungen sein. Die Gründungsmitglieder dieser international ersten rein auf die VoIP-Sicherheit fokussierten Organisation sind VoIP-Hersteller wie Alcatel und Siemens, Sicherheitsunternehmen wie Symantec, aber auch Universitäten und Unternehmensberatungen.

Bislang noch keine Hacker-Angriffe auf VoIP-Rechner

Sicherheitsexperten warnen schon seit längerem, dass der Missbrauch der VoIP-Technologie unvermeidbar wäre, und verweisen auf nachgewiesene Schwachstellen in VoIP zugrunde liegenden Protokollen wie SIP und H.323. Das amerikanische National Institute of Standards and Technology (NIST) veröffentlichte gerade vergangene Woche einen Bericht, in dem sie Behörden und Unternehmen dringend zur Vorsicht bei der Implementation von VoIP-Technologie warnt.

Zwar sind bislang noch keine Hacker-Angriffe auf VoIP-Rechner vorgekommen, doch die theoretische Möglichkeit besteht. Mit zunehmender Verbreitung der Technologie wird auch das Interesse der Malware-Schreiber erwachen, befürchten Sicherheitsexperten. VoIP-Rechner könnten dann genau wie Internet-Rechner das Ziel beispielsweise von DoS-Attacken werden. Die VoIP-Infrastrukur ganzer Unternehmen könnte auf diese Weise in die Knie gezwungen werden, was fatal für Unternehmen wäre, die ihre Telefon-Kommunikation auf VoIP-Netze umgestellt haben.

Louis Mamakos, Technologie-Leiter bei Vonage, dem größten VoIP-Anbieter in den USA, wiegelt allerdings ab. Vonage, das der VOIPSA noch nicht beigetreten ist, habe eine Menge Zeit investiert, sein System sicher zu machen. Die VoIP-Infrastruktur wäre verteilter organisiert als die von DoS-Angriffen geknackten Internet-Server. Zudem wäre es extrem schwierig, in den per Authentifizierung geschützen VoIP-Traffic einzubrechen. "Ich bin mir nicht sicher, ob VOIPSA die Lösung für ein Problem ist, das wir noch gar nicht haben", sagt Mamakos.

Spit und Spam sind technisch verschieden

Auch die befürchteten Spit-Angriffswellen sind bislang ausgeblieben. Spit steht für Spam over Internet Telephony und bedeutet den massenhaften automatisierten Versand unerwünscher Audio-Werbebotschaften auf VoIP-Telefone und -Mailboxen. Auf technischer Ebene funktioniert Spit aber nicht wie Spam, was die Abwehr von Spit Angriffen erleichtern könnte.

Spam benötigt keine Authentifizierung und die eigentliche Versand-Quelle ist kaum zu ermitteln. Bei VoIP hingegen wird eine nachvollziehbare End-to-End-Verbindung aufgebaut, die den Anrufer leicht lokalisierbar macht. Auf diesen technischen Unterschieden basiert beispielsweise das automatisierte Anti-Spit-System beim zentralen Internetknoten DE-CIX in Frankfurt an der Schnittstelle zwischen öffentlichem Telefonnetz und Internet-Telefoniediensten.