Sicherheit bei der VoIP-Telefonie 

Lesedauer:  Minuten

Für Carrier und Kunden bringen Voice over IP (VoIP) und IP-Telefonie zahlreiche Vorteile. Entscheidend ist jedoch die Sicherheit: Grundsätzlich ist auch die IP-Telefonie angreifbar – jedoch auch nicht mehr als klassische Telefonie via ISDN. Im Unterschied zu dieser ermöglicht die VoIP-Technologie allerdings zusätzliche Sicherheit durch unterschiedliche Verschlüsselungskonzepte.

Die Umstellung der analogen und ISDN-Telefonanschlüsse auf IP-Technologie (IP-Telefonie oder auch Voice over IP, VoIP) neigt sich dem Ende zu. Bis Ende dieses Jahres werden das analoge sowie das digitale ISDN-Festnetz – beispielsweise seitens der Deutschen Telekom – abgeschaltet. Die Sprachkommunikation erfolgt damit auf demselben Weg und auf derselben Technologie wie die Nutzung des Internets. Es ist also höchste Zeit, sich mit All-IP auseinanderzusetzen.

Unterschiede zwischen VoIP und herkömmlicher Telefonie

VoIP-Kommunikation unterscheidet sich von der herkömmlichen Telefonie insbesondere bezüglich folgender Aspekte:

Zuordnung der Teilnehmer:

Im herkömmlichen Telefonnetz ist jeder Teilnehmeranschluss physisch über das Kabel mit einem Anschluss (Port) in der zugehörigen Vermittlungsstelle verbunden.

Bei VoIP ist die Schaltung eines Teilnehmeranschlusses hingegen aus einem beliebigen Netz und von einer beliebigen IP-Adresse aus möglich.

Signalisierung und Vermittlung der Sprachdaten:

Bei ISDN erfolgen die Signalisierung sowie die Übertragung der Sprachdaten über zwei getrennte Kanäle (out-band), wobei der Kanal für die Sprachübertragung für die Zeit des Telefonats festgelegt ist (verbindungsorientierte Vermittlung).

Bei VoIP hingegen erfolgen Signalisierung und Übermittlung der Sprachdaten innerhalb desselben Netzes (in-band). Die Sprachdaten werden in einzelnen Paketen übermittelt, wobei die für die Übermittlung genutzten Routen nicht identisch sein müssen (paketorientierte Vermittlung).

Endgeräte:

Die meisten herkömmlichen Telefone sind auf die eigentliche Telefonfunktion beschränkt.

Soll VoIP auch im internen Netz genutzt werden, können einerseits Softphones, d.h. auf PCs laufende Programme zur IP-Telefonie, zusammen mit einem Headset, andererseits eigenständige IP-Telefone verwendet werden. Letztere verfügen im Gegensatz zu den Softphones über eine eigene Netzschnittstelle und sind oft nicht mit Standard-PC-, sondern proprietären Betriebssystemen ausgestattet.

Weitere Informationen hierzu (VoIP vs. ISDN) finden Sie auf unserer Webseite unter: Was ist der Unterschied zwischen VoIP und ISDN?

Maßnahmen zur Absicherung der IP-Telefonie

Gemäß den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und des NIST (National Institute of Standards and Technology) sind alle Standard-Maßnahmen zur Absicherung von IP-Netzen sowie zur Absicherung von Clients und Servern (z.B. minimal konfigurierte und gehärtete Systeme, aktueller Patch-Stand) auch in VoIP-Umgebungen umzusetzen und auf die zusätzlichen Komponenten, wie etwa die IP-Telefone auszuweiten. Als Maßnahmen werden exemplarisch genannt:

Zutritts- und Zugangskontrolle

Es sind Maßnahmen zur Zutrittskontrolle für den physischen Zugang ebenso wie zur Zugangskontrolle in einem entsprechenden Berechtigungskonzept umzusetzen. Administratoren und Nutzern müssen die entsprechenden Rollen und Berechtigungen nach dem Need-to-know-Prinzip zugewiesen werden. Es wird weiterhin empfohlen, administrative Zugänge zu sämtlichen VoIP-Komponenten über eine Zwei-Faktor-Authentisierung zu schützen, um einem unberechtigten Zugang vorzubeugen. Die Administration sollte idealerweise über verschlüsselte Protokolle erfolgen und die Möglichkeit der Remote-Konfiguration auf das Notwendige eingeschränkt werden; dazu zählen auch ggf. vorhandene Konfigurationsmöglichkeiten über Web-Interfaces.

Update- und Patch-Management

Bei der Nutzung von VoIP ist der Voice-Router regelmäßig mit Updates zu versorgen und in die entsprechenden Patch- und Update-Prozesse mitaufzunehmen. Ferner sind alle durch den Einsatz von VoIP hinzugekommenen Systeme wie z.B. zusätzliche Server, Sicherheitsgateways und insbesondere die Endgeräte mit Updates aktuell zu halten. Auf diesen können beispielsweise Konfigurationsdaten ausgelesen werden, mit denen Weiterleitungen eingerichtet und etwa Abrechnungsbetrug begangen werden kann.

Sicherstellung der Verfügbarkeit

Beim Telefonieren über das Internet werden die Telefongespräche auch über das Datennetz des Internet-Providers geführt, sodass bei dessen Ausfall die Sprachkommunikation nicht mehr zur Verfügung steht. Hier ist zu prüfen, welche Verfügbarkeitszeiten benötigt und seitens des Internet-Providers zugesichert werden.

Verschlüsselung der Kommunikation

Werden Informationen mit hohem Schutzbedarf kommuniziert, sollte eine Verschlüsselung der Sprachdaten realisiert werden. Dies kann über die Verwendung von SRTP (Secure Real-Time Transport Protocol) zum Versand der Sprachdaten erreicht werden; allerdings ist hierfür ein geeignetes Schlüsselmanagement unter den beteiligten Kommunikationspartner einzurichten. Bei Bedarf ist darauf zu achten, dass die eingesetzte Hard- und Software dieses Protokoll unterstützt. Zum Schutz der Signaldaten besteht die Möglichkeit der Übertragung der SIP-Pakete unter Verwendung des TLS-Protokolls, welches die einseitige oder gegenseitige Authentifizierung gewährleistet.

Einen Beitrag zu Einschätzungen und Empfehlungen zum effektiven Schutz vor Telefonbetrug finden Sie in unserem Blog unter Voice-Fraud bleibt ein ernstes Problem für Unternehmen.

toplink ist Pionier bei Verschlüsselung der Voice over IP Telefonie

Der VoIP-Anbieter toplink war einer der ersten Provider in Deutschland, der die entscheidende Bedeutung eines verschlüsselten SIP-Trunks – also des IP-Telefonanschluss, der für Aufbau und Abbau der Telefongespräche verantwortlich ist – erkannt hat. Die SIP-Trunks von toplink sind auf Wunsch mit TLS und SRTP auf AES 256-Bit-Verschlüsselung versehen. toplink bietet SIP-Trunks übrigens nicht nur für nationale, sondern auch für internationale Standorte an. Damit telefonieren Sie auch international sicher und verschlüsselt.