Sicher telefonieren

Dabei sind es nicht mehr nur die Gesprächsinhalte selbst, die belauscht werden können. IP-basierte Kommunikation ist auch ein potenzielles Einfallstor, um alle anderen Formen digitaler Kommunikation wie SMS oder E-Mails abzuschöpfen und darüber hinaus ein Sprungbrett für den Angriff auf das zugrundeliegende Netzwerk.

Das Abhören von Telefonaten zu verhindern, ist damit in den meisten Fällen nicht länger das einzige Ziel. Es ist vielmehr ein Bestandteil einer umsichtigen und umfassenden IT-Sicherheitsstrategie, die alle Geräte berücksichtigt.

Analoge Telefonate oder Gespräche über ISDN abzuhören, ist ein Kinderspiel: Der Täter braucht nur ein Mal Zugang zur TAE-Dose, der ISDN-Anlage oder einem Telefon, um Gespräche mitlauschen zu können. Es reicht aus, einen Telefonhörer zu tauschen, und das Telefon ist zu einer Wanze umfunktioniert, mit der auch alle Gespräche im Raum mitgehört werden können.

Bei ISDN-Leitungen wiederum wird ein digitaler Datenstrom übertragen. Es muss lediglich der gewünschte Übertragungskanal im Menü des Geräts eingestellt werden, und schon hört man die Gespräche einfach mit. Doch solche Lausch-Aktionen bleiben immer ausschließlich auf den Sprachverkehr beschränkt.

Während Eindringlinge bei der analogen und ISDN-Telefonie also schlimmstenfalls Gespräche abhören können, eröffnen Voice over IP (VoIP)-Installationen neue Missbrauchsmöglichkeiten: Über das Einfallstor VoIP-Endgerät können sich Hacker Zugriff auf das gesamte Netzwerk eines Unternehmens verschaffen, und damit auch auf alle dort übertragenen und gespeicherten Daten. Denn im Gegensatz zur analogen Telefonie, GSM oder ISDN werden die Gespräche über dasselbe Medium übertragen wie der restliche Datenverkehr.

Das heißt: Prinzipiell sollte jeder darauf achten, dass die vorhandenen IT-Installationen sicher sind – Privatpersonen, Stichwort Onlinebanking, besonders aber Unternehmen mit schützenswerten hochinnovativen Produktideen oder Großbanken mit Zugriff auf Milliardensummen und unzählige Kundendaten.

Angegriffen und abgehört werden ausnahmslos alle, das lehren die neuesten Veröffentlichungen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Unterschied ist jedoch der Aufwand, der betrieben wird, um die Daten von Privatpersonen auf der einen und Banken oder Regierungseinrichtungen auf der anderen Seite zu knacken. Dementsprechend unterscheiden sich auch die Maßnahmen, mit denen die Betroffenen ihre Infrastruktur schützen sollten.

Da die Telefoniedaten im Unternehmen einerseits über dasselbe Netzwerk übertragen werden wie der gesamte übrige Datenverkehr, andererseits für externe Telefonate aber auch eine Verbindung in das Internet bestehen muss, eröffnet IP-Telefonie Angreifern einen weiteren Angriffsweg auf die Unternehmens-IT. In der Regel sind IP-Telefone besser geschützt als so mancher PC. Sind die IP-Endgeräte oder die IP-Telefonanlage aber schlecht gesichert, ermöglichen sie den Zugriff auf das gesamte Unternehmensnetzwerk.

Unternehmen sollten deshalb bereits bei der Auswahl ihrer IP-Lösung – egal, ob dabei die Telefonanlage (Private Branch Exchange - PBX) im eigenen Haus steht oder in der Cloud gehostet wird – darauf achten, dass der Hersteller gewisse Sicherheitsstrukturen und regelmäßige Sicherheitsupdates für seine Geräte bietet. Ob das Sicherheitskonzept eines Anbieters im Ganzen schlüssig ist, können Firmen in den entsprechenden Fachmedien oder im Internet leicht recherchieren.

Doch das beste Sicherheitskonzept nutzt nichts, wenn Anwender die vorhandenen Möglichkeiten nicht nutzen. Gelingt es einem Angreifer, in das System einzudringen, kann er mit den Telefonen so ziemlich alles machen, was er will, etwa das Mikrofon des Telefons einschalten und damit sämtliche Gespräche im Raum mithören.

Dagegen kann man sich schon allein durch das Befolgen aller Sicherheits- und Konfigurationsanweisungen schützen, indem unter anderem Passwörter vergeben und der lokale Webserver deaktiviert werden. Deshalb ist der erste Schritt zu mehr Sicherheit in der IP-Telefonie die standardmäßige Einrichtung von Passwörtern in der IP-Anlage, den Telefonen und sonstigen verbundenen Geräten.

Grundsätzlich sollten Administratoren alle verfügbaren Mechanismen, wie etwa auch Porteinschränkungen oder die Zuteilung von Zufallsports per Telefonat, auf Endgeräten und PBX nutzen. Denn jedes System ist nur so sicher, wie es konfiguriert wurde.

Angelehnt an die Empfehlungen des BSI lassen sich fünf Sicherheitsstufen definieren, die eskalierende Maßnahmen beinhalten, um die eigene Kommunikationsinfrastruktur abzusichern:

• Bereits die Einrichtung von Passwörtern ist eine oft vernachlässigte, aber nicht zu unterschätzende erste Hürde für das unbefugte Eindringen.
• Darüber hinaus empfehlen sich die Installation einer geeigneten Firewall und die Auswahl von Geräten, die von vorneherein über verschiedene Sicherheitsfunktionen verfügen. Speziell Geräte, die schonIPv6- unterstützen, sollten überprüft und abgesichert werden. Was oft vergessen wird: Endgeräte können über IPv6 leichter direkt erreicht werden, weshalb die Firewalls so konfiguriert werden sollten, dass sie IPv6 ausdrücklich mitfiltern.
• Die IP-Endgeräte selbst sollten ihre Verbindungen verschlüsseln: Das SIP-Protokoll (Session Initiation Protocol) für das Bereitstellen eines IP-basierten Kommunikationswegs lässt sich über das Verschlüsselungsprotokoll TLS (Transport Layer Security) zusätzlich gegen unbefugten Zugriff absichern – und wird dann auch als SIPS bezeichnet. Die Gesprächsdaten selbst können über das SRTP (Secure Real-Time Transport Protocol) verschlüsselt werden. Sind diese Features bereits im Endgerät implementiert, lässt sich die Kommunikation damit gut schützen.
• Alternativ kann diese Sicherheit auch von einer zentralen Stelle, unabhängig von den einzelnen Anwendungen und Endgeräten, gewährleistet werden. Die Vorteile eines zentralen Ansatzes liegen in der einmaligen Implementierung, dem geringeren Wartungsaufwand und der Möglichkeit, auch die Kommunikation von Software anderer Hersteller zu sichern, auf die sonst kein Einfluss besteht. Eine solche zentral bereitgestellte Sicherung ist beispielsweise ein Virtual Private Network (VPN). Typische Anwendungsfälle sind die Verbindung einzelner Außendienstmitarbeiter mit dem Netzwerk einer Firma, die Verbindung einer Filiale mit einem Rechenzentrum oder die Verbindung örtlich verteilter Server oder Rechenzentren untereinander.

Eine Umsetzung aller dieser Maßnahmen bietet bereits ein für viele Bedürfnisse ausreichendes Maß an Sicherheit, das sich nur mit relativ hohem Aufwand knacken lässt und die meisten Hacker abschrecken dürfte.

Dennoch gibt es Fälle, in denen diese Sicherheitsvorkehrungen nicht ausreichen, weil das Sicherheitsbedürfnis außerordentlich groß ist, etwa bei Krankenhäusern, Banken, Behörden oder Regierungseinrichtungen. Für diese Anwendungsfälle stehen hochsichere Kommunikationslösungen bereit. Hier exemplarisch zwei Vertreter aus Deutschland:

Zwei Lösungsansätze, die auch die höchsten Sicherheitsanforderungen erfüllen, verfolgen dabei unterschiedliche Strategien der Sicherung: Die eine Variante verwendet eine ständig wechselnde und damit stetig variierende Verschlüsselung, die andere einen hochgeheimen und damit extrem sicheren Schlüssel.

Variante 1: Cryptophone IP 19 von GSMK

Für die Verschlüsselung verwendet das Cryptophone IP 19 die derzeit wohl anspruchsvollsten und sichersten Algorithmen: AES256 und Twofish. Darüber hinaus sind GSMK Cryptophones die einzigen abhörsicheren Telefone auf dem Markt, deren kompletter Quellcode für unabhängige Sicherheitsüberprüfungen zur Verfügung steht. Das ermöglicht im Umkehrschluss eine permanente Kontrolle des verwendeten Sicherheitscodecs durch die gesamte Securitygemeinde.

Variante 2: Snom 760 Secusmart Edition

Zur äußerst abhörsicheren Verschlüsselung wurde ein snom IP-Telefon mit einem Slot für eine Smart Card ausgerüstet, die für den Datenschutz von E-Mails, SMS und Sprache sorgt. Für die Smart Card wurde ein NXP SmartMX P5CT072 Krypto-Controller mit PKI-Coprozessor zur Authentifizierung in eine handelsübliche SD-Karte integriert.

Ein zusätzlicher Highspeed-Coprozessor verschlüsselt Sprache und Daten mit 128 Bit AES. Damit ermöglicht die Smart Card die Verschlüsselung mit 340 Sextillionen unterschiedlichen Schlüsseln – ein Verfahren, das mit heutigen Mitteln und in absehbarer Zeit praktisch nicht zu knacken ist. Zudem können auf bis zu acht Gigabyte Speicherplatz Dokumente hochsicher aufbewahrt werden. Die verwendete Technik unterliegt strenger Geheimhaltung und ist dementsprechend vor Leaks geschützt.

Beide Varianten erlauben dem Anwender eine äußerst sichere Kommunikation und bieten Administratoren die Möglichkeit, unabhängig von allen anderen Einflüssen die Sicherheit dieses Geräts in ihrem Netzwerk zu gewährleisten. Für welche Variante sich Unternehmen entscheiden, ist schlussendlich eine Glaubensfrage. Beide sind recht aufwendig, kostspielig und können den extrem hohen Sicherheitsstandard nur bei Verbindungen untereinander gewährleisten.

Den größten Schwachpunkt in der Kommunikation stellt derzeit die Anbindung mobiler Endgeräte, insbesondere von Smartphones dar: Sie sind auf der einen Seite mit dem Internet verbunden, auf der anderen oft mit dem firmeninternen Server, was sie zu einem exponierten Einfallstor für Angreifer macht. Auf der diesjährigen Cebit wurde nun eine bezahlbare Verschlüsselung auch für Handys vorgestellt, eine Sprachverschlüsselung ähnlich wie im Kanzlerinnenhandy.

Da die App jedoch softwarebasierend ist, dürfte ihre Anfälligkeit um einiges größer sein als bei einer zusätzlichen Sicherung mittels Hardware. Die Verbindung Smartphone/Netzwerk/IP-Telefon sicher zu gestalten, ist zweifellos eine der großen Aufgaben der nächsten Zeit.

Darüber hinaus gilt immer eines: Absolute Sicherheit gibt es nicht! Das hat beispielsweise auch der Bug namens „Heartbleed“ erneut offenbart. Was aber nicht bedeutet, dass man hilflos im Strudel der Hacker untergehen muss. Vernünftiges Handeln gepaart mit einigen Grundregeln sorgt schon heute für eine gehöriges Maß an Sicherheit.

Heike Cantzler, Head of Corporate Communication, und Oliver Wittig, Vice President Enterprise Relations, beide Snom Technology AG