Frau am Telefon

Deutsche Telekom AG liefert mehr als zwei SIP-Kanäle

Ich wollte es erst gar nicht glauben, aber seit Mitte Januar erhalten Geschäftskunden weitere SIP-Kanäle, die zusätzlich bestellt werden können. Der Tarif lautet: Deutschland LAN IP Voice/ Data Premium.

Bisher war mit dem Magenta1-Tarif nur zwei SIP-Kanäle buchbar. Erst mit dem neuen Tarif kann ein Geschäftskunde auch weitere SIP-Kanäle (bis zu acht) erhalten. Das ist sehr wichtig, wenn der Kunde vorher zwei ISDN-Mehrgeräte-Anschlüsse hatte und nun auf IP migriert wird. Bei diesem Anschluss handelt es sich um einen IP-Mehrgeräteanschluss, also KEIN Anlagenanschluss. Auf der Homepage der Telekom gibt es dazu weitere Informationen

Kupferdraht

Hybrid-Anschluss mit der DTAG lief unzuverlässig

Ein Geschäftskunde, in dem Fall eine Apotheke wurde mit einem neuen DSL-Anschluss ausgestattet bzw. der alte ISDN-Anschluss aufgrund der VOIP-Umstellung migriert (Umstellung von ISDN auf IP). Da der Kunde zu weit von der Vermittlungsstelle entfernt sitzt (3,5 km vom DSLAM entfernt bei einem Querschnitt der Kupferader von 0,4 mm2) und max. nur 2 MB ankommen, hat die Telekom zusätzlich den Internet-Traffic über das LTE-Netz geschaltet.

In der Theorie sieht das folgendermaßen aus: über das Festnetz-DSL soll die VOIP-Telefonie stattfinden, und über die leistungsstärkere LTE-Leitung der Internet-Traffic (Surfen, Video-Dienste im Internet) des Kunden. Der von der Telekom bereitgestellte Router kann auch beide DSL-Arten realisieren. Aufgrund der großen Leitungslänge und des geringen Querschnitts der Kupferader hat der Telekom-Router sporadisch nicht aufsynchronisiert, d.h. statt der 2 MB sind beim Kunden nur 1,8-1,9 MB erreicht worden. Was zur Folge hatte, das der Router nicht ordnungsgemäß funktioniert. Denn bei diesem Hybrid-Anschluss benötigt der Router mindestens 2 MB, um am DSLAM aufzusynchronisieren. Somit war einen schlechte bis gar keine VOIP-Telefonie möglich. Über einen Netzwerkport des Routers wurde eine COMpact 3000 VOIP als kleine Telefonzentrale genutzt, die jedoch aufgrund der zu geringen Bandbreite (siehe oben) nicht stabil lief bzw. die VOIP-Gespräche immer wieder abbrachen. Laut der Telekom hätte der Kunde gar nicht diesen Tarif erhalten sollen (zu große Entfernung vom DSLAM und zu geringer Querschnitt).

Erst vor Ort konnte der Netzbetreiber durch einen ausgebildeten Service-Techniker dem Geschäftskunden helfen. Es müssen neue Leitungen mit einem größeren Querschnitt installiert werden. Dann funktioniert auch der Anschluss problemlos. Es liegt nicht immer an der Hardware, sondern auch im Einzelfall an der gelieferten Leitung vom Provider.

IP-Leistungsmerkmale

IP-Leistungsmerkmale

Die Leistungsmerkmale bei IP-Produkten sind für Privatkunden laut der Telekom noch nicht vollständig nutzbar. In der nachfolgenden Tabelle haben wir die Verfügbarkeit der wichtigsten Merkmale festgehalten: 

Merkmale Beschreibung Status
Notruf Verbindungen zu 110 und 112 möglich; Anschrift und Rufnummer des Anrufers wird übermittelt verfügbar
Internetzugang Zugang zum Internet nach Ipv4 verfügbar
Sprachbox kostenlos; Entgegennahme von Anrufen und Speicherung für bestimmten Zeitraum; Benachrichtigung über eingegangene Nachrichten durch Anruf/SMS  verfügbar
 CLIP Rufnummern-Anzeige des Anrufers  verfügbar
 010-Sperre abgehende Wählverbindungen, die über anderen Verbindungsnetzbertreiber hergestellt werden sollen, werden auf Wunsch gesperrt verfügbar
 Anschlusssperre auf Wunsch möglich verfügbar
 Telefax Telefonverbindungen zur Vermittlung von Telefax  verfügbar 
 CW Anklopfen  verfügbar
 CH Makeln; Verbindung halten und eine weitere Verbindung aufbauen (Rückfrage) oder anklopfenden Teilnehmer annehmen verfügbar 
 MCID Identifikation böswilliger Anrufe  verfügbar
ACR eingehende Anrufe mit unterdrückter Rufnummer abweisen verfügbar
Rufnummernsperre auf Wunsch möglich verfügbar
Call-by-Call fallweises Auswählen des Telefonieanbieters verfügbar
CLIR2 ständige Rufnummern-Übermittlung mit fallweiser Unterdrückung verfügbar
CLIR3 permanente Rufnummern-Unterdrückung verfügbar
CFU Anrufweiterschaltung sofort (Inland) verfügbar
CFB Anrufweiterschaltung bei Besetzt (Inland) verfügbar
3PTY 3er Konferenz verfügbar
AWS PIN PIN für Steuerung der Anrufweiterschaltung, Schutz vor unberechtigter Bedienung verfügbar
Datenübermittlung Telefonverbindungen zur Vermittlung von Datenkommunikation verfügbar
CFNR Anrufweiterschaltung innerhalb von 20s, wenn sich der Angerufene nicht meldet verfügbar
CFNL Anrufweiterschaltung von einem Teilnehmer (A) zum Teilnehmer (B) auf einen frei wählbaren Teilnehmer (C), wenn Teilnehmer B nicht registriert ist verfügbar
CFU/CFB/CFNR automatisches Umleiten eines Anrufs zu einem anderen Ziel; sofortige Anrufweiterschaltung (CFU), Anrufweiterschaltung bei Nichtmelden (CFNR) und Weiterschaltung im Besetztfall (CFB) verfügbar
Abweisen weitergeleiteter Verbindungen weitergeleitete Anrufe werden automatisch gelöscht verfügbar
CCBS Rückruf bei Besetzt in Realisierung
CCNR Rückruf bei Nichtmelden in Realisierung
CCNL Rückruf bei Nichtregistriert in Realisierung
CD Anrufweiterschaltung nach Rufzustellung / während der Rufphase nicht verfügbar
AOCD Tarifinformation während der Verbindung nicht verfügbar
AOCE Tarifinformation nach der Verbindung nicht verfügbar
AOCS Tarifinformation vor der Verbindung nicht verfügbar
Verschlüsselung

Schutz durch Verschlüsselungsprotokolle

Es gibt viele Bedrohungsszenarien, aber die größte Gefahr stellen weder Auslandsgeheimdienste noch Wirtschaftsspionage-Attacken aus Übersee dar. Vielmehr belegen zahlreiche Studien, dass der Angreifer zumeist im eigenen Unternehmen sitzt. Die Beweggründe, die zum Abhören von Gesprächen oder zum Datendiebstahl führen, sind dabei ganz unterschiedlicher Natur. Die Hoffnung, sich durch Gewinnung sensibler Informationen Vorteile im innerbetrieblichen Konkurrenzkampf zu verschaffen, kann ebenso eine Rolle spielen wie Revanchegelüste entlassener oder bei Beförderungen übergangener Mitarbeiter.

Nutznießer sind im letzteren Fall oft unmittelbare Konkurrenten des betroffenen Unternehmens. Interne Angreifer sind für Betriebe aber nicht nur ein wettbewerbstechnisches, sondern auch ein psychologisches Problem. Denn sie nutzen aus, dass viele Gesprächsteilnehmer nichts von der Angreifbarkeit ihrer VoIP-Verbindung ahnen und so vertrauliche Inhalte gutgläubig weitergeben. Stellt sich dann heraus, dass solche Inhalte wiederholt bei der falschen Person gelandet sind, kann in einem Betrieb schnell ein Klima allgemeinen Misstrauens entstehen. Unternehmen, die sich eine offene Betriebskultur erhalten möchten, zugleich aber auch Sicherheit für ihre Kommunikation und ihre Datenbestände wünschen, kommen deshalb nicht umhin, gezielte Sicherheitsvorkehrungen zu treffen. Das bedeutet einen gewissen Investitionsaufwand, der sich aber schnell bezahlt macht. Denn im Vergleich zu den Schäden, die durch Abhören, Datendiebstähle oder Firmennetzübernahmen, aber auch durch nachhaltige Störungen des Betriebsklimas entstehen können, sind die Ausgaben für Sicherheitsmaßnahmen letztlich eher gering.

Bei jeder VoIP-Einrichtung sollte zunächst die Abschirmung des Telefonie-Servers durch Firewall, Virenscanner und Passwörter Standard sein. Will man die Hürden für potenzielle Angreifer so hoch wie möglich setzen – nicht zuletzt mit Blick auf interne Attacken, die hinter der Firewall stattfinden – führt darüber hinaus kein Weg daran vorbei, die VoIP-Kommunikation auch durch gezielte Verschlüsselungen abzusichern: VoIP-Security. Dabei ist es letztlich entscheidend, nicht nur den Verbindungsaufbau, sondern auch die Audiodaten des Gesprächs mit Hilfe eines entsprechenden Verschlüsselungsprotokolls zu codieren. Verschlüsselt man nur einen dieser beiden Datenströme, lässt sich dieser trotzdem über den unverschlüsselten zweiten Datenstrom anzapfen. Die Verschlüsselung der Verbindungsdaten durch SSL beziehungsweise TLS muss deshalb im Interesse der Datensicherheit um eine Codierung der Gesprächsdaten via SRTP (Secure Real- Time Transport Protocol), die verschlüsselte Variante des Gesprächsdatenprotokolls RTP (Real-Time Transport Protocol), ergänzt werden. SRTP kodiert die Sprachdaten mit Hilfe eines Algorithmus vom Typ AES (Advanced Encryption Standard), während bei TLS neben AES auch andere Algorithmen wie zum Beispiel RSA (Rivest, Shamir, Adleman) oder Camellia zum Einsatz kommen.

Anwender, die den Grundsatz beherzigen, beide Verschlüsselungen zu kombinieren, können mit Voice-over-IP letztlich genauso sicher telefonieren wie mit den klassischen Analog- oder ISDN-Anschlüssen. Unliebsame Überraschungen beim Erhalt der Telefonrechnung stehen dann so wenig zu befürchten wie folgenreiche Abgriffe geschäftskritischer Informationen.

SIPS

SIP zu SIPS erweitern

Bei der Einrichtung von Voice-over-IP-Lösungen werden Sicherheitsfragen vielerorts noch immer stiefmütterlich behandelt. Auch die öffentliche Diskussion zum Thema Datenschutz hat bislang kein Umdenken bewirkt. Doch die Fahrlässigkeit kann sich rächen. Sind sensible Informationen erst einmal manipuliert oder interne Telefonnetze gekapert, wird es schwierig, den wirtschaftlichen Schaden zu begrenzen. Dabei gibt es durchaus zuverlässigen Schutz – vorausgesetzt, der Anwender ist bereit, ein wenig in Sicherheitsmaßnahmen zu investieren. 

Ein sehr gutes Beispiel ist der Umgang mit SIP. Das Session Initiation Protocol ist heutzutage das meistverbreitete Protokoll für den Aufbau von Voice-over-IP-Verbindungen. In seiner Standardversion sieht dieses Protokoll keine Verschlüsselung der Verbindungsdaten vor. Es kann jedoch durch Einbettung des Verschlüsselungsprotokolls SSL (Secure Sockets Layer), heute offiziell als TLS (Transport Layer Security) bezeichnet, zu SIPS (Session Initiation Protocol Secure) erweitert werden. Die Mehrzahl der Anwender verzichtet allerdings bisher auf diese Option und nutzt SIP ohne ergänzende Verschlüsselung – sei es aus Desinteresse an Sicherheitsfragen, sei es, weil sie den Aufwand für die Einbettung eines ergänzenden Verschlüsselungsprotokolls scheuen. Solch eine Fahrlässigkeit kann sich schnell rächen. Denn die Gefahren, die bei ungesicherter IP-Telefonie drohen, beschränken sich bei weitem nicht auf die Kaperung eines firmeninternen Telefonnetzes. Vielmehr muss man beim Verzicht auf Verschlüsselungsmaßnahmen auch damit rechnen, dass Telefonate abgehört oder mitgeschnitten werden und so sensible Informationen in falsche Hände gelangen. Professionelle Hacker nutzen hierfür so genannte Sniffer-Programme, die sich legal aus dem Internet herunterladen lassen. Diese Programme sind kostenfrei verfügbar und zumindest für Profis so einfach zu bedienen, dass das Abhören und Mitschneiden kein großes Problem mehr darstellt.

Wer solche Tools nutzt, kann sich Zugriff auf Endgeräte und Voicemail-Boxen verschaffen und erhält zudem umfangreiche Informationen über die Identität der Gesprächsteilnehmer, den aktuellen Gesprächsstatus sowie den Zeitpunkt und die Dauer der jeweiligen Telefonate. Die Möglichkeit, über Sniffer-Programme auf unverschlüsselte Gesprächsdaten zuzugreifen, birgt darüber hinaus noch eine weitere Gefahr. Denn ist ein Hacker über Sicherheitslücken im VoIP System erst einmal in das Netzwerk eines Unternehmens gelangt, kann er diese Lücken für weitreichende Datendiebstähle und Manipulationen nutzen. Das gilt besonders, wenn auf der Basis von Voice-over-IP umfassende UCC-Lösungen realisiert worden sind. Die erforderlichen Kenntnisse vorausgesetzt, kann der Hacker dann E-Mails abfangen oder manipulieren und aus firmeninternen Datenbanken geschäftlich hochsensible Informationen abgreifen. Werden dabei Ergebnisse aus der Entwicklungsabteilung entwendet, geht der finanzielle Schaden schnell in die Millionen.

Daher unser Appell: Treffe Sicherheitsmaßnahmen!