Voice-over-IP (VoIP), die Telefonie über das IP-Netzwerk, wird heute auf breiter Front bei vielen Unternehmen eingeführt. Kein Wunder, denn VoIP kann einige Einsparungen bringen: Bisher separat betriebene Telekommunikations- und IT-Netzwerke können kostensparend zusammengefasst werden und auch die externe Wartung und die der Gerätebeschaffung kann billiger werden.

Immer wieder melden sich aber auch Warner. VoIP, so finden sie, bietet zwar grosse potentielle Vorteile, schaffe aber auch neue Sicherheitsrisiken, deren Gefahrenpotential heute erst langsam aufgedeckt werde. Die meisten Skeptiker wollen Unternehmen zwar nicht allgemein von der Einführung von VoIP abhalten, warnen aber vor vorschnellen und zuwenig durchdachten Implementationen. Neben der Sicherung der VoIP-Netzwerke vor Missbrauch und Lauschangriffen sollten die Verantwortlichen dabei vor allem auch an die Verfügbarkeit und Qualität der Telefonie denken, die durch ein einfaches "Einstöpseln" der Geräte in ein LAN nicht gewährleistet sei.

In eine ähnliche Kerbe wie zum Beispiel die US-Regierung schlägt nun auch das deutsche "Bundesamt für Sicherheit in der Informationstechnik" (BSI).

Im Vergleich zu traditionellen Telefonie-Anlagen, so schreibt das BSI, sei der ungesicherte Einsatz von VoIP mit deutlich größeren Risiken verbunden. Denn die VoIP-Systeme würden einerseits die Sicherheitsrisiken der IP-Welt erben und gleichzeitig die meisten aus der traditionellen Telekommunikationswelt-Welt behalten.

Um die IP-spezifischen Gefahren zu illustrieren führt das BSI einige konkrete Beispiele an. Wie einfach beispielsweise VoIP-Gespräche abzuhören sind, zeigten weit verbreitete und auch für technisch Unversierte einfach zu bedienende Werkzeuge wie "Vomit" (Voice over missconfigured Internet phones), mit deren Hilfe der Sprachdatenanteil eines Netzwerkdatenstroms von Unbefugten "mitgehört" werden könne.

Ein zweites Beispiel sei der Ethernet-Sniffer "Etherreal", für den es bereits Plugins zur Auswertung von SIP- und H.323-Daten gebe. (SIP und H.323 sind zwei in der IP-Telefonie gebräuchliche Protokolle.) Damit liessen sich Informationen wie die Ziel- und Ursprungsadresse eines Anrufs abfangen. Strukturierte und geswitchte Netze würden zwar den direkten Zugriff auf die Kommunikationsdaten, erschweren, könnten ihn aber ohne umfangreiche Sicherheitsmaßnahmen nicht komplett ausschliessen.

Seine Erkenntnisse über die Sicherheit von VoIP hat das BSI in einer umfangreichen Studie veröffentlicht. Der Bericht, der nicht nur die Probleme aufzeigen sondern auch die typischen Sicherheitsmassnahmen aufzeigen will, kann hier gratis heruntergeladen werden (Achtung: 11 MB). (Hans Jörg Maron)