SIPS

SIP zu SIPS erweitern

Bei der Einrichtung von Voice-over-IP-Lösungen werden Sicherheitsfragen vielerorts noch immer stiefmütterlich behandelt. Auch die öffentliche Diskussion zum Thema Datenschutz hat bislang kein Umdenken bewirkt. Doch die Fahrlässigkeit kann sich rächen. Sind sensible Informationen erst einmal manipuliert oder interne Telefonnetze gekapert, wird es schwierig, den wirtschaftlichen Schaden zu begrenzen. Dabei gibt es durchaus zuverlässigen Schutz – vorausgesetzt, der Anwender ist bereit, ein wenig in Sicherheitsmaßnahmen zu investieren. 

Ein sehr gutes Beispiel ist der Umgang mit SIP. Das Session Initiation Protocol ist heutzutage das meistverbreitete Protokoll für den Aufbau von Voice-over-IP-Verbindungen. In seiner Standardversion sieht dieses Protokoll keine Verschlüsselung der Verbindungsdaten vor. Es kann jedoch durch Einbettung des Verschlüsselungsprotokolls SSL (Secure Sockets Layer), heute offiziell als TLS (Transport Layer Security) bezeichnet, zu SIPS (Session Initiation Protocol Secure) erweitert werden. Die Mehrzahl der Anwender verzichtet allerdings bisher auf diese Option und nutzt SIP ohne ergänzende Verschlüsselung – sei es aus Desinteresse an Sicherheitsfragen, sei es, weil sie den Aufwand für die Einbettung eines ergänzenden Verschlüsselungsprotokolls scheuen. Solch eine Fahrlässigkeit kann sich schnell rächen. Denn die Gefahren, die bei ungesicherter IP-Telefonie drohen, beschränken sich bei weitem nicht auf die Kaperung eines firmeninternen Telefonnetzes. Vielmehr muss man beim Verzicht auf Verschlüsselungsmaßnahmen auch damit rechnen, dass Telefonate abgehört oder mitgeschnitten werden und so sensible Informationen in falsche Hände gelangen. Professionelle Hacker nutzen hierfür so genannte Sniffer-Programme, die sich legal aus dem Internet herunterladen lassen. Diese Programme sind kostenfrei verfügbar und zumindest für Profis so einfach zu bedienen, dass das Abhören und Mitschneiden kein großes Problem mehr darstellt.

Wer solche Tools nutzt, kann sich Zugriff auf Endgeräte und Voicemail-Boxen verschaffen und erhält zudem umfangreiche Informationen über die Identität der Gesprächsteilnehmer, den aktuellen Gesprächsstatus sowie den Zeitpunkt und die Dauer der jeweiligen Telefonate. Die Möglichkeit, über Sniffer-Programme auf unverschlüsselte Gesprächsdaten zuzugreifen, birgt darüber hinaus noch eine weitere Gefahr. Denn ist ein Hacker über Sicherheitslücken im VoIP System erst einmal in das Netzwerk eines Unternehmens gelangt, kann er diese Lücken für weitreichende Datendiebstähle und Manipulationen nutzen. Das gilt besonders, wenn auf der Basis von Voice-over-IP umfassende UCC-Lösungen realisiert worden sind. Die erforderlichen Kenntnisse vorausgesetzt, kann der Hacker dann E-Mails abfangen oder manipulieren und aus firmeninternen Datenbanken geschäftlich hochsensible Informationen abgreifen. Werden dabei Ergebnisse aus der Entwicklungsabteilung entwendet, geht der finanzielle Schaden schnell in die Millionen.

Daher unser Appell: Treffe Sicherheitsmaßnahmen!