Sicherheit der VoIP Telefonie - Innovationen & Change - NEWS - mindpart

Sicherheit der VoIP Telefonie

Telefonbetrug scheint in Zeiten von VoIP für Kriminelle, ein lohnendes Geschäft zu sein!

Die ISDN-Anlage und der PSTN (Public Switched Telefon Network) wurde gegen VoIP (Stimmübertragung über Internet Protokolle) abgelöst. Faxe eines PSTN galten vor dieser Zeit als sicher und hatten einen Brief ähnlichen Charakter. Das, die „letzte Meile“ bei ISDN oder analoger Telefonie keine Vorkehrungen hinsichtlich der Verschlüsselung hatte, wurde meist außer Acht gelassen. So musste ein Angreifer in Zeiten der Analogtelefonie nah an sein Opfer ran. Dafür brauchte er ein anderes technisches Know-how, als es heute abverlangt wird.

Die in die Jahre gekommene Technologie galt größtenteils als robust und viele Unternehmen hielten lange an deren ISDN-Infrastruktur fest. Eigentlich wie meist nach dem Motto „never touch a running System“. Für Provider bedeutete dies jedoch doppelte Kosten, sowohl die ISDN-Infrastruktur als auch die IP-Infrastruktur für deren Kunden vorzuhalten. Darüber hinaus müssen wir auch an die ungesicherte „letzte Meile“ denken. Also wurde verständlicherweise diese Infrastruktur auf All-IP umgestellt.

 

Übrigens wussten Sie das,

durch VoIP jede Telefonanlage ein Teil der IP-Infrastruktur mit all seinen Stärken und Schwächen ist?
 

Doch ist ein Fax heute das, was es mal war?

Mit dem Umstieg auf VoIP öffneten sich Tore, die bereits schon zuvor schwer in einer IP basierten Infrastruktur zu schließen waren und sind. In den meisten Unternehmen werden die Telefonie und Video Daten über dasselbe Netzwerk übertragen wie der gesamte übrige Datenverkehr. Für externe Telefonate muss eine ständige Verbindung ins Internet bestehen. Damit eröffnet die IP-Telefonie Kriminellen einen echten Angriffsweg auf die Unternehmensinfrastruktur.

Eine Anwendung für Mobilgeräte und statische Workstations ist beispielsweise Skype, welche eine „vollwertige“ VoIP Telefonie ohne ein althergebrachtes Telefon ermöglicht. Dieser over the to (OTT) Provider findet selbst bei restriktiven Firewalls ein Türchen. In einigen Unternehmen kommt dieser Dienst als einfache und kostengünstige Variante in Videokonferenzen zum Einsatz. Meist wird vernachlässigt, dass die Verschlüsselung des OTT Providers nicht in den eigenen Händen liegt, sondern bei dem Provider selbst.

Übrigens wussten Sie das,

im Rahmen einer Studie des Fraunhofer ESK zum geschäftlichen Einsatz von „Skype“ sowie zu „Skype for Business“ aus dem Jahr 2016 die Wissenschaftler laut des Microsoft TechNet zu dem Ergebnis kommen, dass der Austausch sicherheitsrelevanter und geschäftskritischer Informationen über Skype nicht empfohlen wird! Quelle: Microsoft TechNet
 

Doch wie verhält es sich mit einer Anlage über ein Telekommunikations-Unternehmen, welches über den eigenen Angaben nach eine „eigene“ sichere private Infrastruktur einen VoIP Dienst zusätzlich zum Datendienst anbietet?

Hier liegt im Vergleich zur OTT theoretisch eine Trennung der Netze vor, zumindest solange dies der Anbieter zur Verfügung stellt, wovon wir an dieser Stelle ausgehen. Diese Tatsache bietet einen höheren Sicherheitsstandard, da die Verbindung im eigenen logisch getrennten IP-Backbone stattfindet. Ein Angriff auf die Infrastruktur erfordert somit spezifisches Wissen.

Auf verschiedenen Sicherheitskonferenzen gibt es immer wieder mal Vorträge zur Unsicherheit von VoIP, bei denen Angriffe auf Schwachstellen demonstriert werden. Der Schwerpunkt dieser Demonstrationen liegt sehr oft auf dem Aufzeigen der Schwachstellen der Telefonanlagen. Selbst bekannte, mit Sicherheit werbende Hersteller, konnten in Vergangenheit Hacker nicht abhalten.

Zertifizierte Verschlüsselungsverfahren, aktuelle Patches, eine Administration über verschlüsselte HTTPS- oder SSH-Verbindungen oder auch gehärtete Betriebssysteme minimieren zwar die Angriffsfläche der Geräte, hat jedoch die Firmware oder der CPU-Kernel eine Schwachstelle, kann ein Angreifer das System kompromittieren.

Auf diese weise lassen sich VoIP-Telefonanlagen auf Knopfdruck zu Wanzen manipulieren und nehmen alle Gespräche in der Umgebung bei aufgelegten Hörer auf. An eine Voice to Text Komponente gesendet, hat der Angreifer auch einen direkten Text vor sich liegen.

Übrigens wussten Sie das,

mit dem spezifischen Wissen über offene Ports und Schwachstellen der Anlagen diese durch Kriminelle dazu missbraucht werden können Gesprächsverbindungen zu Premiumdiensten und Auslandsnummern aufzubauen oder Anrufe abzufangen, um an sensible Daten über das Nachfragen zu kommen, wie beispielsweise Zugangsdaten, bei Kontenabgleich oder Ähnliches?
 

Letztens wurde ich wieder gefragt, wie Hacker ihre Opfer finden. Hier müssen wir erst einmal zwischen Benutzern und Geräten unterscheiden. Benutzer werden zum Beispiel über Phishing E-Mail gejagt. Die E-Mails werden meist einfach an irgendwelche E-Mail-Adressen verschickt. Viele dieser E-Mails werden zwar von Spam- und Phishing-Filtern gestoppt, aber es erreichen immer noch genügend Mails ihre Empfänger. Darüber hinaus plaudert der E-Mail Server selbst einiges bereits beim Empfang einer E-Mail über sich aus.

Und was die Geräte betrifft, werden im Allgemeinen allseits bekannte Übertragungsprotokolle genutzt. Jeder offener Port ermöglicht auch eine Anfrage über das Internet auf diese freigegebenen Ports. Gleichgültig ob sich hier um die Software eines beliebigen OTT Providers oder um die Telefonanlage eines Telekommunikationsunternehmens, inklusive der Client Software für die Workstation handelt, erinnern wir uns: Für die externe Telefonie muss eine ständige Verbindung der Anlage ins Internet bestehen!

Normalerweise lässt ein Router nur Verbindungen von außen zu, wenn ein interner Verbindungsversuch stattfindet. Ist eine OTT Provider Software oder eine VoIP Client Software auf der Workstation installiert, stellt sich der definierte Zustand anderes dar.
Ein Türchen wird in der Firewall geöffnet um die Kommunikation zum Endknoten, welchen die Workstation darstellt zu ermöglichen. Jede Schutzfunktion, welche die Firewall bietet, ist somit für den Port deaktiviert. Daher birgt jede auf der Workstation installierte Telefonie Software (OTT oder eine zur Nutzung der Leitung des Telekommunikationsunternehmens) eine potenzielle Gefahr für Angriffe aus dem Internet auf die unternehmensinterne IP-Infrastruktur. Datendiebstahl, Kontrolle der Überwachungs- oder Alarmanlage, der Leitsysteme, der Aufzüge oder der Kartenterminals und andere Angriffsszenarien können damit vorprogrammiert sein und stellen für viele Unternehmen meist ein größeres Übel als das Mitschneiden von (zumindest „unbedeutenden“) Telefongesprächen dar.

Doch führen wir das Thema wie Hacker ihre Opfer finden etwas weiter aus. Dienste wie beispielsweise Shodan oder selbst ein einfacher Portscan vorsorgt Kriminelle mit den notwendigen Informationen. Um die Herkunft zu verschleiern, werden die Angriffe meist über unsichere kompromittierte Router unbeteiligter Dritter geleitet. Den Zugriff auf die VoIP-Netze und Router verschafften sich die einleitend genannten Angreifer unter anderem mit Brute-Force-Angriffen.

Fazit

ISDN- sowie Analoganschlüsse haben ausgedient und wurden durch neue, zeitgemäße digitale Technologien ersetzt, die theoretisch eine Ende-zu-Ende Verschlüsselung ermöglichen. Ein Fax konnte früher an der „letzten Meile“ abgefangen, manipuliert und weiter gesendet werden. So pauschal lässt dich diese Hypothese für die VoIP Telefonie nicht aufstellen, da hier viele Faktoren von Anfangsknoten bis zum Endknoten des Kommunikationsstrangs mitspielen. Sowohl die Anlage als auch die dazwischen geschalteten Firewalls, Session Border Controller und selbst die Clients wirken sich entscheidend auf die Sicherheit der Unternehmensinfrastruktur aus. Das Gleiche gilt selbstverständlich auch für das Abhören von Telefongesprächen. Meist bestimmt das schwächste Glied der Infrastruktur Kette wie sicher oder auch unsicher diese selbst ist und inwieweit dieses Glied von Kriminellen als Einfallstor missbraucht werden kann. Theoretisch ist mit VoIP eine End-to-End Verschlüsselung möglich, so das Faxe nicht abgefangen, manipuliert und weiter gesendet werden können. In der Praxis müssen jedoch viele Faktoren übereinstimmen, damit dieser Kommunikationsweg abgesichert ist.

Der Einfallsreichtum wie Kriminelle vorgehen um an Informationen zu kommen ist unerschöpflich. Daher ist es um so wichtiger das wir unsere Unternehmen davor schützen in dem wir Mitarbeiter für die gegebene Thematik so sensibilisieren, das diese bewusst Unternehmer- und Unternehmens-Freundlich reagieren können.

Sprechen Sie mich an und vereinbaren Sie einen Termin. Ich begleite fachlich und methodisch Sie und Ihre Mitarbeiter dabei, sich das notwendige Wissen und die Handlungsweisen anzueignen und zu pflegen.

Mirela Szymura, M.Sc.
Senior Partner
IT & Management Consulting
IT & DLT Solutions

Kontaktinformationen QR-Code
Ihre Nachricht an uns ...

Mit der Aktivierung der Checkbox erklären Sie sich mit der Nutzung Ihrer Daten für unsere internen Zwecke einverstanden. Die genauen Informationen bitten wir Sie unseren Datennutzungsbedingungen zu entnehmen.