Wie sicher ist IP-Telefonie wirklich?
IP-Telefonie wird zum Standard in der Kommunikation. Allerdings haben Nutzer immer wieder Bedenken wegen der Sicherheit dieser Technik. Sind die Systeme richtig konfiguriert, so gibt es jedoch keine neuen Angriffsvektoren. Durch Verschlüsselung kann IP-Telefonie sogar sicherer sein als herkömmliches Telefonieren.
Eine der Grundlagen unseres Wirtschaftslebens verabschiedet sich: Die klassische, analoge Telefonie, die seit über 100 Jahren Wirtschaft und Gesellschaft geprägt hat, geht unwiderruflich ihrem Ende entgegen. Die QSC AG hat die Umstellung auf IP-basierte Netze schon vor knapp zehn Jahren durchgeführt. Nun zieht auch die Deutsche Telekom nach; sie ist zur Zeit dabei, ihr gesamtes Netz von analoger und ISDN-Technik auf IP-Telefonie umzustellen.
Die Vorteile der IP-Telefonie werden natürlich obsolet, wenn ein zentraler Punkt nicht gegeben ist: Die Sicherheit der Kommunikation. Dazu war in letzter Zeit auch zu hören, dass IP-Telefonie im Vergleich zu ISDN unsicherer, weil leichter abhörbar sei.
Ist IP-Telefonie wirklich unsicherer als die klassische Variante?
„Grundsätzlich“ lässt sich VoIP- beziehungsweise IP-Telefonie unter bestimmten Voraussetzungen durchaus angreifen. Um aber die Frage zu beantworten, ob IP-Telefonie tatsächlich weniger sicher ist als ihr klassischer Vetter, muss sie natürlich mit den Angriffspunkten dieser Technologie verglichen werden.
Es ist ja keineswegs so, dass klassische, also nicht-IP-basierte Telefonie nicht angreifbar ist. Auch hier erfolgt die Kommunikation über Backbone-Leitungen, und auch hier könnte ein Angreifer das Kabel anzapfen und die Gespräche mitschneiden. Soweit klassische Telefonie über Kupferdrähte erfolgt, muss man den richtigen Strang finden und sich anklemmen; mit entsprechender Messtechnik lässt sich Verkehr ausleiten. Die Schwierigkeit besteht hier darin, an das richtige Kabel heranzukommen, was bei Glasfaserkabeln grundsätzlich schwieriger ist. Ein Angreifer könnte auch in einer Vermittlungsstelle der Telekom den Traffic auskoppeln und mithören, und schließlich kann man sich im Unternehmens-Netz Zugang zur Verdrahtung verschaffen, um die Kommunikation mitzuschneiden.
Es gibt also bei der IP-Telefonie keinen neuen Angriffsvektor. Die Angriffsmuster sehen nur anders aus und verwenden andere Techniken – mit Kabelklemmen wird man beispielsweise bei der IP-Telefonie nicht mehr viel erreichen können. Angriffen muss daher auch anders begegnet werden. Von einer grundsätzlich weniger sicheren Technologie kann aber nicht die Rede sein.
IP-Telefonie und Verschlüsselung
Freilich wird man sich als verantwortungsvolles Unternehmen immer bemühen, das Sicherheitsniveau im Rahmen des technisch Möglichen zu steigern. Für die VoIP- und IP-Telefonie bietet sich dafür die Verschlüsselung an. Sie ist in dieser Form für klassische Telefonie nicht umsetzbar, so dass man durchaus von mehr Sicherheit durch die Möglichkeiten der IP-Telefonie sprechen kann.
Für die Verschlüsselung von VoIP bieten sich zwei Ansätze an.
Beim standardbasierten SIPS/SRTP-Verfahren wird die Kommunikation zwischen einem VoIP-Telefon und dem VoIP-Provider verschlüsselt, und zwar sowohl die Signaldaten per SIPS als auch die Sprachdaten per SRTP.
Der große Vorteil besteht hier darin, dass es sich um ein „normales“ Telefonieren via Provider handelt, so dass man jeden anderen Teilnehmer via Festnetz oder Mobilfunk erreichen kann. Verschlüsselt ist zunächst aber nur die Strecke zum Provider, nicht jedoch die vom Provider zum Adressaten. Nur wenn der Kommunikations-Partner beim gleichen Provider ist und auch SIPS-Telefonie betreibt, ist die gesamte Strecke verschlüsselt.
Um eine echte End-to-End-Verschlüsselung zu erhalten, benötigt man eine Software oder App, beispielsweise RedPhone für Android, die sich mit einem anderen Teilnehmer direkt verbindet. In jedem Fall handelt es sich hier also um proprietäre Lösungen. Die verschlüsselte Kommunikation funktioniert auch nur, wenn der jeweilige Partner dieselbe Software nutzt. Ist das gegeben, so kann man verschlüsselt telefonieren und niemand kann mithören.
So elegant diese Art der verschlüsselten IP-Telefonie auf den ersten Blick sein mag, so hat sie doch auch gravierende Nachteile. Dass die Kommunikationspartner exakt dieselbe Software einsetzen müssen, wurde schon erwähnt – bei einer Vielzahl von Partnern hat man dann auch viele Applikationen zu handeln. Diese verschlüsselte Kommunikation ist auch nicht kompatibel zu herkömmlicher Telefonie, sie erfolgt ja nicht über das Telefonnetz, sondern über TCP/IP, also via Internet. Das heißt, man kann nicht einfach Telefonnummern anwählen, sondern muss selbst herausfinden, wie man den Partner erreicht.
In der Praxis ist daher die Variante mit SIPS die bessere Lösung. Hier kann man die normale Telefonie-Infrastruktur verwenden, die Verbindung zum Provider ist sauber verschlüsselt und wenn der Kommunikationspartner mitspielt, sogar wieder zum Ende; natürlich mit Ausnahme beim Provider selbst, entsprechend der gesetzlichen Vorschriften. Auf dieser Basis lassen sich praxistaugliche, einfache Systeme realisieren; so entwickelt beispielsweise QSC Lösungen für verschlüsseltes VoIP per SIPS gleich fertig für verschiedene TK Anlagen.
Die größte Gefahr kommt von Angriffen von „innen“
Man muss jedoch immer betonen, dass beim Einsatz von IP-Telefonie und VoIP im Unternehmen die größte Gefahr nicht darin besteht, dass irgendwo im Internet mitgeschnitten wird, sondern dass im Unternehmen selbst ein Angriff erfolgt. Daher sollten Unternehmen die Aufmerksamkeit vor allem auf die Sicherheit ihres Inhouse-Netzes legen: Das muss sauber und konsequent abgesichert sein, sonst hat das beste Verschlüsselungskonzept wenig Sinn.
Drucken