Internet: Das Telefonnetz der Zukunft?

In zunehmendem Maße verschmelzen alle Telekommunikationsdienste - Internet als "Trägermedium" ist schon lange nicht nur die Spielwiese der Surfer, sondern bietet die Infrastrukur für andere Dienste wie Telefonie oder Viedoüberwachung bis hin zum Applikationsharing.

Prinzipiell ist der Ansatz der Integration von Diensten über ein kostengünstiges Medium durchaus reizvoll, der Einsatz sollte aber keinesfalls auf Kosten anderer - oft betriebskritischer - Faktoren erfolgen.

Wie in vielen anderen Bereichen spielt hier die Relation OpenSource-Produkte kontra kommerzielle Produkte eine wichtige Rolle und es gilt die Regel: was heute kommerzielle Produkte besser können, ist morgen auch in der OpenSource-Welt möglich.

Je nach Produkt ist zu beachten, wie weit Sicherheitsprotokolle implementiert sind, manche haben noch Probleme mit SIPS (SIP = Session Initiation Protocol, SIPS ist die verschlüsselte Variante wie bei http und https). Bei herkömmlichen kommerziellen Telefonen, die auch VoIP können, sind die Standards durchaus schon im Einsatz.

Wie sieht es aber mit den 4 Hauptzielen der Informationssicherheit bei VoIP aus:

• Verfügbarkeit,
• Vertraulichkeit,
• Integrität
• und Authentizität?

Die Verfügbarkeit (gemäß ITIL abhängig von Wartbarkeit und Servicefähigkeit) hängt mit der Internet-Verfügbarkeit zusammen, die der Provider bietet UND mit der Verfügbarkeit der involvierten aktiven und passiven Komponenten im LAN! Damit ist klarerweise eine geringere Verfügbarkeit gegeben, als bei herkömmlicher Telefonie. Gleichzeit besteht höchstes Interesse innerhalb eines Betriebes im Falle eines Ausfalls möglichst schnell das Problem im LAN zu lösen, um weiterarbeiten zu können - und das betrifft den Punkt Wartbarkeit und Servicefähigkeit - auch für VoIP.

Gravierender ist das Problem der Verletzung der Vertraulichkeit: mit einfachen Programmen (wie z.B. "Wireshark") können unverschlüsselte Gespräche im Netz aufgezeichnet und mitgehört werden. Zusätzlich sind auch weitere Informationen, die aus der Gesprächsverbindung resultieren, wie z.B. wer sich wann und wo gerade befindet, durchaus von Interesse. Und gerade bei der Verschlüsselung stehen wir bei der technischen Umsetzung gerade am Anfang. Zum Vergleich: WLAN kann heute schon bei weitem besser und einfacher standardmäßig verschlüsselt werden - trotzdem wird WEP und WPA noch in weniger als 50% der Netze eingesetzt.

Zum Thema Integrität kommt die Frage "Routing im Netz" zum Tragen: Während herkömmliche Telefonate über definierte Wählämter laufen kann ein IP-Traffic über verschiedene (oft unbekannte) Router laufen. Jeder dieser Router kann (quasi als "Man-in-the-middle-Attack") die Daten (und auch die entsprechende Steuerinformation) manipulieren - ohne Verschlüsselung ein einfaches Unterfangen.

Die Authentication ist wie bei allen Internet-Diensten kein einfaches Thema: prüfe ich "schwach", dann kann z. B. ein Passwort bei der Eingabe abgefangen oder durch Naivität weitergegeben werden. Die bessere Variante mittels "Hardware" (Token) erschwert die Benutzung und ist daher unbeliebt. Gleichzeitig ist die "starke Authentifizierung" bei dedizierten VoIP-Telefonen noch kaum im Einsatz, bei Smart-Phones ("Telefon als Programm am PC") durchaus ein Thema.

Zusammenfassend kann man sagen: VoIP hilft deutlich, Telefonkosten zu sparen und sollte als Teil der "Diensteintegration" im Internet gesehen werden, aber gut durchdacht, speziell in Bezug auf Informationssicherheit, zum Einsatz kommen.

In weiterer Folge werde ich mich genauer mit der Technik zum Thema "sicherer Betrieb von VoIP-Anlagen" beschäftigen.

Sollten Sie Fragen zu diesem Thema oder anderen Securityfragen haben, senden Sie eine kurze E- Mail an die Redaktion: office@monitor.co.at