DE-Bundesamt für IT-Sicherheit: VoIP unsicher
26. Oktober 2005
In der zur Münchner IT-Messe Systems vorgestellten Studie VoIPSec warnt das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI vor der unbedarften Einführung von Voice over IP. Der 130-seitige Bericht zählt allein auf der technischen Netzwerkebene 19 Angriffsvarianten auf, von MAC-Spoofing über DHCP-Attacken bis zu Flooding. Dazu kommen die bekannten Gefahren auf Anwendungsebene – Viren, Würmer, Trojaner – sowie die Möglichkeit, unverschlüsselte Gespräche mit Tools wie Vomit leicht abzuhören.
Zwar seien, so die Autoren der Studie, Sicherheitsmassnahmen durchaus realisierbar. Nur ein Bruchteil der erhältlichen VoIP-Systeme unterstütze jedoch die benötigten Massnahmen im erforderlichen Umfang. Dazu gehören beispielsweise die Verschlüsselung von Signalisierungs- und Gesprächsdaten mit Protokollen wie TLS, S/MIME und SRTP, aber auch organisatorische Massnahmen sowie eine Fallback-Anbindung ans konventionelle Telefonnetz für den Fall von Störungen im VoIP-Betrieb.
Die Studie stellt weiter fest, für sichere Systeme müsste ein Teil der Kostenvorteile – bisher das herausragendste Argument für den VoIP-Einsatz – aufgegeben werden. (IW)
Zwar seien, so die Autoren der Studie, Sicherheitsmassnahmen durchaus realisierbar. Nur ein Bruchteil der erhältlichen VoIP-Systeme unterstütze jedoch die benötigten Massnahmen im erforderlichen Umfang. Dazu gehören beispielsweise die Verschlüsselung von Signalisierungs- und Gesprächsdaten mit Protokollen wie TLS, S/MIME und SRTP, aber auch organisatorische Massnahmen sowie eine Fallback-Anbindung ans konventionelle Telefonnetz für den Fall von Störungen im VoIP-Betrieb.
Die Studie stellt weiter fest, für sichere Systeme müsste ein Teil der Kostenvorteile – bisher das herausragendste Argument für den VoIP-Einsatz – aufgegeben werden. (IW)
Artikel kommentieren
