Corner-top-right-trans
Berliner Beauftragte für Datenschutz und Informationsfreiheit

Der Datenschutz bei VoIP


Durch die Nutzung der IP-Technologie für das Telefonieren erbt VoIP alle Unzulänglichkeiten und Sicherheitsprobleme öffentlicher TCP/IP-basierter und lokaler Netzwerke. So können Viren, Würmer, Trojaner und sog. „Denial of Service“- (DoS)-Attacken die Internet-Telefonie nicht nur betreffen, sondern sie können die Netzwerke der VoIP-Anbieter selbst nutzen, um Schaden anzurichten. VoIP besitzt aber auch Unzulänglichkeiten der konventionellen Telefonie, wie z. B. die unverschlüsselte Datenübertragung.

Wer bei der herkömmlichen Telefonie ein Telefonat abhören wollte, brauchte einen physikalischen Zugang zur Leitung oder zur Vermittlungstechnik. Für einen Angriff unter VoIP muss kein physikalischer Zugang mehr bestehen, es reicht ein logischer Zugang zu einer der beteiligten IP-Komponenten. Dies kann die IPInfrastruktur der Teilnehmerin oder des Teilnehmers, wie z. B. ein DSL-Modem oder ein Switch in einem Hotel sein, aber auch eine IP-Komponente des VoIPAnbieters oder im Internet.

Die zum Standard gewordenen VoIP-Kommunikationsprotokolle SIP und RTP verschlüsseln die Daten nicht. Die Daten können daher von sog. Snifferprogrammen abgehört werden, die im Internet in vielfältiger Weise verfügbar sind. Oft ist es nicht einmal erforderlich, die Datenleitungen dauerhaft abzuhören. Man muss nur einmalig die Anmeldedaten in Erfahrung bringen, die das VoIP-Telefon gegenüber dem SIP-Server verwendet. Diese Daten sind oft auch im Menü des VoIPTelefons einsehbar, sodass es ausreicht, kurz physischen Zugriff auf das Gerät zu haben. Dann kann man gegenüber dem SIP-Server als berechtigte Person auftreten, d. h. beispielsweise Telefonate auf fremde Kosten führen, Telefongespräche umleiten oder ggf. unbemerkt durch Aktivierung der Konferenzschaltung abhören. Die Möglichkeit des einfachen Fälschens der Rufnummer erfordert ein Umdenken bei der Nutzung der gesendeten Rufnummer zu Zwecken der Authentifizierung.

Es wurden allerdings Protokolle entwickelt, die die vermisste Sicherheit wiederbringen können. Mit dem Protokoll SRTP (Secure RTP) wurde RTP um Funktionen erweitert, die die Vertraulichkeit, Authentizität und Integrität der zu übertragenden Sprachdaten gewährleisten. Voraussetzung dafür ist, dass sich die Beteiligten vertraulich auf einen Sitzungsschlüssel einigen. Er ist nur für dieses eine Gespräch gültig. Die Sicherheit der Sprachdaten ist also von dem sicheren Austausch des Sitzungsschlüssels abhängig. Er kann z. B. als Teil der Signalisierungsnachricht beim Verbindungsaufbau übertragen werden. Das ist aber nur dann sinnvoll, wenn auch die Signalisierungsdaten verschlüsselt übertragen werden. Dazu kann das TLS-Protokoll (Transport Layer Security) verwendet werden, das auch bei der sicheren Übertragung von Webseiten eingesetzt wird. Es sichert allerdings nur den Übertragungsweg zwischen den beteiligten SIP-Servern und VoIP-Endgeräten. Die Signalisierungsdaten und damit auch der Sitzungsschlüssel liegen auf den SIPServern unverschlüsselt vor. Die Vertraulichkeit der Kommunikation hängt also von der Vertrauenswürdigkeit der SIP-Server und damit vom VoIP-Betreiber ab. Eine Ende-zu-Ende-Sicherheit könnte man durch den Einsatz von Client- Zertifikaten und den Aufbau einer Public Key Infrastructure (PKI) zur Verwaltung der Zertifikate erreichen. Dieses stellt jedoch einen komplexen und aufwändigen Vorgang dar.

Phil Zimmermann, der Erfinder von PGP (Pretty Good Privacy), ein bei der E-Mail-Kommunikation weit verbreiteter Verschlüsselungsmechanismus, erweiterte RTP mit ZRTP um die Möglichkeit, über den Sprachkanal einen geheimen Sitzungsschlüssel auszuhandeln. Das wird mithilfe des nach seinen Erfindern benannten Diffie-Hellman-Schlüsselaustauschs realisiert. Durch Nutzung dieses Verfahrens ist es den Angreifenden unmöglich, den Schlüssel ebenfalls zu berechnen. Zur eigentlichen Verschlüsselung wird dann der Krypto-Algorithmus AES-128 (Advanced Encryption Standard mit 128 Bit Schlüssellänge) verwendet. Aber auch dieses Verfahren hat einen Wermutstropfen: Durch einen klassischen Man-In-The- Middle-Angriff könnte es den Angreifenden gelingen, sich zwischen die miteinander Kommunizierenden zu schalten und den Schlüsselaustausch zu manipulieren. In diesem Fall würden zwei Schlüssel ausgehandelt werden, einer zwischen der anrufenden und der angreifenden Person und einer zwischen der angreifenden und der angerufenen Person. Da Angreifende beide Schlüssel kennen, wäre ein Mithören dann möglich. Um das zu verhindern, wird ein „Fingerabdruck“ des Sitzungsschlüssels verwendet. Dieser besteht aus vier alphanumerischen Zeichen und wird aus dem Sitzungsschlüssel berechnet. Die miteinander Kommunizierenden vergleichen den Fingerabdruck vorab: Ist er nicht identisch, sitzt ein angerufener „Mittelsmann“ dazwischen.

Neben der Vertraulichkeit ist beim Telefonieren natürlich auch die Verfügbarkeit ein wichtiges Merkmal. Die Verfügbarkeit kann in IP-Netzen durch sog. DoSAttacken (Dienstverweigerung) grundlegend gestört werden. Dies bedeutet, dass – unabhängig von VoIP – das darunter liegende Netzwerk solchen Überlastangriffen ausgesetzt wird und seinen Dienst, die Datenübertragung, nicht mehr ausführen kann. Es sind aber auch VoIP-spezifische DoS-Attacken denkbar. So könnte das Einschleusen massenhafter Verbindungsaufbauwünsche über das SIP-Protokoll einen SIP-Server lahmlegen oder zumindest signifikant verlangsamen, sodass die Qualität deutlich nachlässt.

Bedrohungen und Gefahren bestehen auch im Bereich der Endgeräte, also den eigentlichen Telefonen. Telefone für VoIP unterscheiden sich erheblich von den altbekannten Telefonen. Während bisherige Telefone vergleichsweise „dumm“ sind, sind VoIP-fähige Telefone aktive Netzkomponenten und daher für übliche Angriffe anfällig. Neben VoIP-fähigen Telefonen gibt es auch noch sog. Softphones. Ein Softphone ist ein Computerprogramm, das Telefonie ermöglicht und häufig von Anbietern von VoIP-Diensten zur Verfügung gestellt wird. Softphones sind besonders gefährdet, da der das Programm verarbeitende Rechner und sein Betriebssystem mit üblichen Würmern, Trojanern und Viren angegriffen werden kann.

Die geringen Kosten für E-Mails im Internet haben zu einem starken Aufkommen von unerwünschten Nachrichten (SPAM-E-Mails) geführt. Der Anteil ist mittlerweile immens hoch und man versucht ihm mit SPAM-Filtern zu begegnen. Bei VoIP wird die gleiche Entwicklung erwartet. Mit zunehmender Verbreitung von VoIP wird die Anzahl der SPAM-Anrufe (SPIT – Spam over Internet Telephony) erheblich zunehmen. Wirkungsvolle Filter existieren zz. leider noch nicht. SPIT ist zudem besonders lästig, da Telefonieren im Gegensatz zur E-Mail eine Echtzeitanwendung ist und die Belästigung unmittelbar erfolgt.

Neben den oben dargestellten Risiken bei VoIP bringt die Nutzung von Skype zusätzliche Probleme. Der Umstand, dass Skype auf Basis eines Peer-to-Peer- Netzwerks arbeitet, macht die Überwachung durch Strafverfolgungsbehörden schwierig. Juristisch befindet sich Skype in einer rechtlichen Grauzone, da nicht klar ist, wer i. S. d. Gesetzgebung Provider ist.

Aufgrund seiner Funktionsweise sind nur wenige Firewall-Produkte in der Lage, Skype zu kontrollieren. Neben der Telefonie-Funktion beinhaltet Skype weitere Dienste, die ein Sicherheitsproblem darstellen können. So können z. B. Dateien ungefiltert übertragen werden. Auf diesen Umstand weist der Hersteller sogar in seiner Datenschutz-FAQ (Frequently Asked Questions) hin55. Diese zusätzlichen Funktionen gefährden im hohen Maße die Vertraulichkeit, Integrität und Verfügbarkeit.

Das Bundesamt für Sicherheit in der Informationstechnik hat eine umfangreiche Studie zur Sicherheit von Voice over Internet Protocol (VoIPSEC) herausgegeben. Unter https://www.bsi.bund.de/cae/servlet/contentblob/476516/publicationFile/30634/voipsec_pdf.pdfExterner-link findet man diese zur weiteren Vertiefung.

12.10.2010