Sicherheitsrisiken aufgrund von VoIP-Telefonie

5. Februar 2017

VoIP drängt ins lokale Netzwerk. Die Sicherheitsrisiken müssen professionell abgesichert werden.

Viele unserer Kunden haben Bedenken in Bezug auf die Sicherheit von VoIP und betrauern Ihre zuverlässige ISDN-Telefonanlage, die jahrelang zuverlässig Ihren Dienst im Unternehmen getan hat. Hartnäckig hält sich das Vorurteil, dass ISDN der neuen Technik deutlich überlegen ist.

Obwohl VoIP-Telefonie durchaus viele Vorteile gegenüber ISDN bietet, soll sich dieser Artikel mit den Sicherheitsrisiken von VoIP-Telefonie gegenüber ISDN-Telefonie beschäftigen. Sie werden lesen, welche Risiken durch die neue Technik entstehen und wie Sie diesen begegnen können.

Neue Risiken durch die IP-Technik

Mit ISDN waren die Datenströme von Telefonie und dem lokalen Netzwerk getrennt. Mit VoIP drängt die Telefonie ins lokale Netzwerk und nutzt die gleichen Kanäle. Dies hat zur Folge, dass eine moderne VoIP-Telefonanlage deutlich verwundbarer ist, als die bisherigen ISDN-Telefonanlagen, weil Sie über das Internet mit dem Telefonieprovider verbunden sein muss. Gleichzeitig werden Telefonanlagen ein lohnenderes Ziel und müssen besser geschützt werden, weil Sie einen einfachen Einstieg ins lokale Netzwerk eines Unternehmens darstellen.

VoIP-Telefonanlagen müssen geschützt werden

Aufgrund dieser Entwicklung muss eine Telefonanlage durch eine Firewall geschützt werden und sollte nicht direkt mit dem Internet verbunden werden. Eine direkte Verbindung ins Internet oder die Weiterleitung von einzelnen Ports (typischerweise 5060) sollte unter allen Umständen vermieden werden. Häufig werden diese Sicherheitslücken ins System gerissen, wenn man externen Personen oder Mitarbeitern im Home Office erlauben will, sich direkt mit der Telefonanlage zu verbinden.

Man muss sich klar machen, dass gekaperte Telefonanlagen durchaus lohnenswerte Ziele sind. Durch kostenpflichtige Anrufe ins Ausland können innerhalb von Stunden oder wenigen Tagen drei- bis vierstellige Schadenssummen entstehen. Alternativ kann eine Telefonanlage auch in ein Bot-Netz integriert werden und Angriffe auf fremde Server über das Internet verstärken.

Wie schützt man sich und seine Telefonanlage gegen Cyberkriminalität?

Es gibt verschiedene Ansatzpunkte um die Sicherheit der VoIP-Telefonanlage zu erhöhen. Die folgenden Punkte sind dabei keine entweder oder Ansätze, sondern sollten wenn möglich alle berücksichtigt werden.

1. Die Angriffsfläche verkleinern

Wen man nicht findet oder sieht, den kann man auch nicht angreifen. Deshalb sollte eine Telefonanlage keine direkte Verbindung zum Internet besitzen. Wenn eine direkte Verbindung über das Internet erforderlich ist, dann sollte auf jeden Fall die interne Firewall und ein BruteForce-Schutz wie z.B. Fail2Ban aktiviert werden. Die gleichen Risiken bestehen bei DMZs oder bei Portweiterleitungen. Stattdessen sollten lieber Verbindungen zur Telefonanlage per VPN (=virtual private network) verwendet werden.

2. Sichere Passwörter verwenden

Diese Empfehlung kann nicht oft genug wiederholt werden. Menschen sind leider faul oder bequem, so dass Passwörter auf Post-ITs geschrieben werden oder man auf einfach zu merkende Standardpasswörter zurückgreift. “Passwort” und “Hallo” sind leider immer noch die beliebtesten Passwörter der Deutschen. So ein Passwort macht es Angreifern natürlich denkbar leicht sich Zugriff zum System zu verschaffen.

3. Anrufberechtigungen in der Telefonanlage limitieren

Jede gute Telefonanlage erlaubt das Blocken von kostenpflichtigen Rufnummern oder exotischen ausländische Regionen. Natürlich sollte man an dieser Stelle nicht zu restriktiv sein, aber Anrufe in die Karibik oder nach Süd-Amerika sind für einen örtlichen Handwerksbetrieb eher ungewöhnlich. Ein solcher Schutz verhindert jedoch zuverlässig den Missbrauch der Telefonanlage für kostenpflichtige Servicerufnummern im Ausland, selbst wenn ein Hacker sich die Zugangsdaten eines SIP-Clients verschaffen konnte.

4. System auf dem aktuellen Stand halten

Es sollten feste Intervalle für Softwareupdates zum Schutz vor auftretenden Sicherheitslücken und Konfigurationsbackups eingeplant werden. Dies gilt für die Firewall, den Router, die Telefonanlage und allen anderen Netzwerkgeräten im Unternehmen.

5. Einen Notfallplan in der Schublade haben

Spätestens, wenn durch einen Angreifer oder durch andere Umstände die Telefonanlage ausgefallen ist, freut sich über die Existenz eines Plan B. Aufgrund der geringen Kosten und Aufwände lohnt es sich nicht nur für Unternehmen mit einem hohen Anrufsvolumen eine zweite Telefonanlage mit identischer Konfiguration vorzuhalten. Es genügt bereits eine virtuelle Maschine mit der aktuellen Konfiguration einzurichten um diese bei Bedarf kurzfristig einschalten zu können. Neben der virtuellen Maschine und der letzten Konfiguration sollte man aber auch alle paar Monate den Ernstfall proben bzw. genügend Mitarbeiter mit den Notfallprozeduren vertraut machen.

Weitere Absicherungen

Wenn man diese Punkte beherzigt, hat man viele Sicherheitsrisiken einer VoIP-Telefonanlage abgedeckt. Darüber hinaus gibt es noch weitere Möglichkeiten, die jedoch eher für größere Unternehmen geeignet sind. Dazu gehört beispielsweise die Trennung der Telefon- und Datenleitungen über eigene VLANs oder sogar eigene LANs, der Einsatz eines separaten SIP Proxys oder die Verschlüsselung der IP-Telefonie per Secure RTP (SRTP) oder Secure SIP (SIPS für Session Initiation Protocol Security). Die letztgenannten Punkte schützen dabei eher gegen Industriespionage als gegen Hackerangriffe.

Fazit: VoIP-Sicherheitsrisiken müssen abgesichert werden. Die Möglichkeiten dafür sind da.

Mit VoIP ist im Vergleich zu analoger und ISDN-Telefonie ein weiterer Angriffspunkt für Kriminelle hinzugekommen. Unüberlegte Strukturen öffnen Kriminellen Tür und Tor und führen unweigerlich zu finanziellen Schäden oder kostspieligen Ausfällen. VoIP muss somit zwingend in den IT Sicherheitsüberlegungen eines jeden Unternehmens berücksichtigt werden. Glücklicherweise sind jedoch ausreichend Möglichkeiten vorhanden um die eigene VoIP-Telefonanlage zuverlässig abzusichern. Wenn ein Unternehmen nicht über die benötigten Ressourcen oder Fähigkeiten verfügt, sollte man sich Hilfe bei Spezialisten holen. Den wer an der falschen Stelle spart, für den kann es später ein böses Erwachen geben.

geschrieben von

Christoph Dyllick-Brenzinger

Christoph ist Gründer und Chefentwickler von datamate. Er ist ein absoluter Linux-Fan und hat schon früh seine Leidenschaft für Technik und Programmierung entdeckt. Seine langjährige Erfahrung als Unternehmensberater spürt man regelmäßig, wenn er nach optimalen Lösungen für die Kunden sucht. Wenn er nicht gerade den Tennisplatz unsicher macht oder bei Overwatch sein Liga-Ranking verbessert, verbringt Christoph seine Freizeit mit seiner Frau und seinen drei Kindern.