Voice over IP: Zahlreiche Unternehmen nutzen bereits Internet-Telefonie oder ersetzen in absehbarer Zeit ihre herkömmlichen Telefonanlagen. Umfassende Sicherheitsmaßnahmen sind auch hier unabdingbar, will man seine Anlage nicht zum Opfer von Hackern machen. Das schreibt das IT-Profimagazin iX [2] in der aktuellen November-Ausgabe.
Internet-Telefonie auf Basis von Open-Source-Software ist heute gang und gäbe, genau wie die Internet-Bedrohungen, die damit einhergehen und für die es vonseiten der Softwarehersteller kaum Sicherheitsmechanismen gibt. Dabei sind die telefoniespezifischen Risiken stets dieselben: Angreifer können auf Kosten des Angegriffenen telefonieren oder die Telefonanlage lahmlegen. Da die meisten VoIP-Provider und -Telefonanlagenhersteller heute auf Session Initiation Protocol (SIP) als zentrales Protokoll setzen, steht das Ausnutzen von SIP-Schwächen im Fokus des Interesses. Ein Angreifer wartet etwa bis Büroschluss deutscher Zeit, um dann mit dem geknackten SIP-Account gegen Gewinnbeteiligung teure Premium-Nummern anzurufen.
Eine weitere Angriffsform sind sogenannte Social-Engineering-Attacken, bei denen der Angreifer dem Angegriffenen ein Vertrauensverhältnis vorspielt. Obwohl man mittlerweile weiß, dass man mit Administrator-Passwörtern für Rechner vorsichtig umgeht, werden SIP-Accounts "der Einfachheit halber" oft gedankenlos per E-Mail verschickt, damit der Mitarbeiter "unkompliziert vom Laptop aus arbeiten" kann. Hier nützen auch gute Passwörter nichts. Die Gegenmaßnahmen sind jedoch einfach: Die Telefonanlage so konfigurieren, dass sie bei jeder Anmeldung ein neues Einmal-Passwort verlangt und sich beim Provider vergewissern, dass er dies ebenfalls beachtet.
Weitere Vorkehrungen sind Prepaid-Tarife, die vor allem vor Angreifern schützen, die auf Kosten anderer telefonieren wollen. Auch die Einschränkung der möglichen Anrufziele kann in manchen Unternehmen eine einfache, aber wirksame Vorsichtsmaßnahme sein. Wer ausschließlich innerhalb Deutschlands oder Europas telefoniert, kann im Wählplan der Telefonanlage die möglichen Anrufziele auf diesen Bereich eingrenzen. Nur wenige Angreifer aus aller Welt suchen eine Möglichkeit, kostenlos nach Deutschland zu telefonieren. Eine dritte Sicherheitsmaßnahme besteht im Blacklisting bestimmter IP-Adressen. Hier werden IP-Adressen von Angreifern zentral erfasst und für eine bestimmte Zeit in der eigenen Firewall blockiert.
Internet-Telefonie auf Basis von Open-Source-Software ist heute gang und gäbe, genau wie die Internet-Bedrohungen, die damit einhergehen und für die es vonseiten der Softwarehersteller kaum Sicherheitsmechanismen gibt. Dabei sind die telefoniespezifischen Risiken stets dieselben: Angreifer können auf Kosten des Angegriffenen telefonieren oder die Telefonanlage lahmlegen. Da die meisten VoIP-Provider und -Telefonanlagenhersteller heute auf Session Initiation Protocol (SIP) als zentrales Protokoll setzen, steht das Ausnutzen von SIP-Schwächen im Fokus des Interesses. Ein Angreifer wartet etwa bis Büroschluss deutscher Zeit, um dann mit dem geknackten SIP-Account gegen Gewinnbeteiligung teure Premium-Nummern anzurufen.
Eine weitere Angriffsform sind sogenannte Social-Engineering-Attacken, bei denen der Angreifer dem Angegriffenen ein Vertrauensverhältnis vorspielt. Obwohl man mittlerweile weiß, dass man mit Administrator-Passwörtern für Rechner vorsichtig umgeht, werden SIP-Accounts "der Einfachheit halber" oft gedankenlos per E-Mail verschickt, damit der Mitarbeiter "unkompliziert vom Laptop aus arbeiten" kann. Hier nützen auch gute Passwörter nichts. Die Gegenmaßnahmen sind jedoch einfach: Die Telefonanlage so konfigurieren, dass sie bei jeder Anmeldung ein neues Einmal-Passwort verlangt und sich beim Provider vergewissern, dass er dies ebenfalls beachtet.
Weitere Vorkehrungen sind Prepaid-Tarife, die vor allem vor Angreifern schützen, die auf Kosten anderer telefonieren wollen. Auch die Einschränkung der möglichen Anrufziele kann in manchen Unternehmen eine einfache, aber wirksame Vorsichtsmaßnahme sein. Wer ausschließlich innerhalb Deutschlands oder Europas telefoniert, kann im Wählplan der Telefonanlage die möglichen Anrufziele auf diesen Bereich eingrenzen. Nur wenige Angreifer aus aller Welt suchen eine Möglichkeit, kostenlos nach Deutschland zu telefonieren. Eine dritte Sicherheitsmaßnahme besteht im Blacklisting bestimmter IP-Adressen. Hier werden IP-Adressen von Angreifern zentral erfasst und für eine bestimmte Zeit in der eigenen Firewall blockiert.
