Ganz so simpel ist es wohl nicht. „Grundsätzlich gilt, dass kein Netz absolute Sicherheit gewährleisten kann“, sagt Axel Freyberg, Vice-President bei der Unternehmensberatung A. T. Kearney. „VoIP bietet jedoch eine größere Angriffsfläche als Festnetztelefonie oder Mobilfunk.“ Exakte Zahlen zu den angerichteten Schäden in Deutschland oder Europa sind allerdings Mangelware. Der New Yorker Telefonanbieter Stealth Communications hat für die USA hochgerechnet, dass jeden Monat VoIP-Minuten im Wert von rund 26 Millionen Dollar gestohlen werden.
Dabei brechen die digitalen Diebe in Internet-Telefonsysteme ein und verkaufen die gestohlenen Zugänge online weiter. Sie bedienen sich dabei kleiner Computerprogramme, die kontinuierlich das Web nach Telefonanlagen mit Sicherheitslücken durchforsten. Wenn der Zugang geknackt ist, wird die Telefonanlage übers Internet an den Server eines anderen Unternehmens gekoppelt, der dann Gespräche darüber abwickelt. Für den Weiterverkauf der rund 200 Millionen Gesprächsminuten, die angeblich jeden Monat gestohlen werden, gibt es mehr als 5000 Internet-Handelsplätze. In diesen Online-Foren stehen haufenweise Kurzeinträge wie „Biete Ägypten mobil für 7 Cent“ und eine E-Mail-Adresse, an die sich der Kaufinteressent wenden kann.
„Speziell wenn sie sich über unterschiedliche Online-Zugänge ins Netz einwählen, kann man solchen Minutendieben kaum auf die Spur kommen“, erklärt Jens-Uwe Junghanns, Vertriebsleiter des VoIP-Anlagenherstellers Junghanns.Net. Auch einer seiner Kunden wurde zum Opfer. Eigentlich wollte die Maschinenbaufirma Geld sparen, als sie ihre Büros auf Internet-Telefonie umstellte. Doch auch hier gelangten Angreifer in den Besitz der Passwörter. Als das Unternehmen den VoIP-Angriff bemerkte, hatten Nutzer aus Osteuropa bereits vier Tage lang auf Kosten der Firma telefoniert und Schäden von rund 40.000 Euro verursacht. Das Unternehmen blieb auf diesen Betrag sitzen, weil sich nicht ermitteln ließ, wer auf seine Kosten tatsächlich angerufen hatte.
Der Diebstahl von Telefonminuten ist nicht das einzige Problem, das sich aus dem Zusammenwachsen der Daten- und Sprachnetze ergibt. Unternehmen sind auch der Gefahr digitaler Lauschangriffe und sogenannter Denial-of-Service-Attacken ausgesetzt, bei denen das ganze Telefonnetz lahmgelegt wird. Und gelingt den Angreifern der Einbruch in die Computersysteme, durchschnüffeln spezielle Hack-Programme wie etwa „WireShark“ automatisch den Netzwerkverkehr nach Anrufen. Werden sie fündig, können Programme wie „Cain & Abel“ diese mitscheiden und als Audiodatei auf einem Rechner speichern. Ein Werkzeug nach dem Industriespione sich die Finger lecken.
Die Hacker profitieren davon, dass die VoIP-Technologie das Nischenstadium im Telefonmarkt längst verlassen hat und zum Massenprodukt geworden ist. Nutzten die Hersteller anfangs zumeist eigene, oft geheime Übertragungsverfahren, setzt heute – abgesehen von Ausnahmen wie dem Web-Telefondienst Skype – fast die gesamte Branche auf einheitliche Standards. Beim Rufaufbau ist das beispielsweise das Session Initiation Protocol (SIP).
Aber auch VoIP-Telefone selbst bedrohen die Sicherheit. „In vielen Geräten stecken zu viele Funktionen, von denen die Nutzer nichts wissen“, beklagt Martyn Davies, Sicherheitsexperte des Branchenverbandes VoIP Security Alliance. „Viele davon nutzen Hacker auch für ihre Angriffe.“ Solche Angriffsstellen entdeckten Sicherheitsspezialisten in den Anlagen von 3Com, Cisco, GrandStream und Linksys. Hacker mit Kenntnis dieser Sicherheitslücken können kompakte Schadprogramme schreiben, die dafür sorgen, dass bei einem Anruf beispielsweise alle VoIP-Telefone in einem Büro gleichzeitig klingeln oder sich permanent neu starten.
Opfer eines solchen Anschlags wurde auch Henning Schulzrinne. Der Informatik-Professor hat den SIP-Standard in den Neunzigerjahren gemeinsam mit Kollegen am Berliner Fraunhofer-Institut für offene Kommunikationssysteme (Fokus) erfunden. Heute arbeitet er an der Columbia University in New York, wo neulich die Telefone Sturm klingelten und eine Computerstimme Werbenachrichten verlas. Angelehnt an die Werbeflut durch sogenannte Spam-E-Mails heißen solche Werbeanrufe „Spam over Internet Telephony“, kurz: Spit.
Noch ist diese unerwünschte Web-Reklame sehr selten und nach Angaben von VoIP-Betreibern wie 1&1 oder Freenet „in Deutschland de facto nicht existent“. Doch Experten wie SIP-Entwickler Schulzrinne befürchten, dass sich das mit der Verbreitung der Internet-Telefonie rasch ändern könnte. Sie drängen darauf, Strategien zur Spit-Abwehr zu entwickeln.
„Bei Spam-E-Mails haben wir mit Gegenmaßnahmen zu lange gewartet“, mahnte der deutsche Wissenschaftler Mitte März bei der jüngsten Sitzung des Web-Entwicklungsgremiums Internet Engineering Task Force (IETF) in Philadelphia. „Wollen wir wirklich warten, bis uns das bei der Internet-Telefonie wieder passiert?“
