Studie

BSI hat Sicherheitsbedenken bei VoIP

Probleme vor allem beim Ausfall der Internetverbindung
Von Thorsten Neuhetzki

Mit der Sicherheit von Voice over IP-Systemen beschäftigt sich die neue Studie "VoIPSEC" des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sie beleuchtet, was bei der Konvergenz von Sprach- und Datendiensten technisch und organisatorisch notwendig ist.

"Mit der Verbreitung neuer Systeme erhöht sich auch das Risiko für Angriffe. Voice over IP bildet hierbei keine Ausnahme", erklärt Dr. Udo Helmbrecht, Präsident des BSI. "Bei der Auswahl eines Systems sollten die realisierten Sicherheitsmaßnahmen im Fokus stehen und nicht nur die Systemfunktionalität", fordert er. Den Vorteilen der VoIP-Technik werde in der Studie daher eine detaillierte Sicherheitsbetrachtung gegenübergestellt. Am Ende sollte die Entscheidung für oder gegen den Einsatz von VoIP-Systemen aber immer zugunsten der IT-Sicherheit ausfallen, betont Helmbrecht.

Im Vergleich zu traditionell installierten Telekommunikationsanlagen (TK) ist der ungesicherte Einsatz von VoIP-Technologie mit deutlich größeren Risiken verbunden. Zu den Sicherheitsrisiken der TK-Welt kommen die der IP-Welt hinzu. Das betrifft in großem Maße die Systemverfügbarkeit. Während früher ein Ausfall der IP-Kommunikation oder der Telekommunikation entweder nur die Datenkommunikation oder nur die Telefonie beeinträchtigt hat, können mit der Zusammenlegung beider Technologien auch beide gestört werden oder ausfallen. Darüber hinaus ist es deutlich einfacher, Kommunikationsinhalte und -beziehungen abzuhören und mitzuschneiden. Das BSI empfiehlt daher bei der Einrichtung eines VoIP-Systems neben organisatorischen und infrastrukturellen Schutzmaßnahmen speziell auf die Verfügbarkeit und die Integrität des Systems zu achten.

Auch die Herstellervereinigung Voice over IP Security Alliance (Voipsa) hat sich mit den Sicherheitsproblemen bei VoIP beschäftigt und eine Liste mit Sicherheitsbedrohungen erstellt. Gefahren sieht die Vereinigung vor allem beim Fälschen von Anrufernummern, das Abhören von Gesprächen sowie Denial-of-Service-Attacken. Nun sollen die Probleme von den Herstellern angegangen werden.

Skype meldet Sicherheitslücke

Während die einen noch vor Sicherheitsgefahren warnen, melden die anderen schon die ersten Lücken. Angreifer können bei Skype einen Pufferüberlauf anhand von manipulierten callto://- und skype://-URLs provozieren. Auch das Importieren von speziell formatierten Visitenkarten stellt demnach eine Bedrohung dar. In der Folge kann der Skype-Client abstürzen. Code einzuschleusen sei bislang noch nicht gelungen. Betroffen sind die Skype-Versionen 1.1.*.0 bis 1.4.*.83. Inzwischen gibt es eine neue Programmversion.