Nur sparen heisst Risiko

Ein Voip-System darf als sicher gelten wenn es alle drei Security-Aspekte erfüllt, welche von jedem System erwartet werden, das mit Informationsflüssen handelt: Vertraulichkeit, Integrität und Verfügbarkeit. Passive, direkte Datenattacken sind etwa das Mit-lesen, Protokollieren und Auswerten von Nachrichten. Klassisches Beispiel: Sniffing. Heikler sind aktive Angriffe, die Nachrichtenpakete manipulieren oder gar ganz neue Nachrichten versenden. Hierzu zählen Man-in-the-Middle-Hacks, Port-Scanning, Spoofing, Replay oder -Denial of Service.

Auch die Netzwerkstruktur selbst ist Zielscheibe von Hackern. Im Vergleich zu herkömmlichen Daten- oder Sprachnetzen sind bei Voip mehr Personen involviert, also auch mehr potenzielle Angreifer vorhanden. Verkabelungssysteme, Datenverteiler und Serverräume sind die Achillessehne für direkte physische Manipulation. Switches und Router, aber auch Lecks in den IP-basierten Kommunikationsprotokollen sind Schwachstellen auf Layer-Ebene. Das Gefahrenszena-rio für Voip-Middleware reicht vom Abhören- über Manipulation von Konfigurationsda-teien bis hin zum Lahmlegen des gesamten Systems. Malware, Passwort-Sniffing, DNS-Spoofing oder Flooding sind bekannte Methoden. Ähnliche Gefahren drohen auch den Voip-Endgeräten. Diese Schwachstellen sollten eigentlich jedem IT-Kommunikationsverantwortlichen überdeutlich signalisieren, dass er seine IP-Systeme sorgfältig und umfassend absichern muss. Das klingt selbstverständlich - und ist es doch nicht: Sicherheit spielte lange eine untergeordnete Rolle in der Wahrnehmung von Voip-Systemen. Das ändert sich in dem Mass, in dem Voip im produktiven und kommerziellen Einsatz steht. Denn damit steigt auch die Zahl der registrierten Angriffe. Auch die kryptografischen Protokolle werden langsam optimiert. Handlungsbedarf besteht weiterhin im Angebot von Voip-Komponenten, die taugliche Sicherheitsmassnahmen unterstützen. Insbesondere bei Endgeräten ist die Auswahl noch sehr gering.