Noch auf dem Weg ins Gefängnis spuckte Robert Moore große Töne: „Der Einbruch in die Telefonsysteme war so einfach – das hätte sogar ein Höhlenmensch geschafft“, spottete der 23-Jährige Hacker im vergangenen September, nachdem ihn ein Richter in New Jersey zu zwei Jahren Haft und drei Jahren Bewährung verurteilt hatte.
Fast zwei Jahre lang war Moore mit seinem Computer in Telefonanlagen Hunderter Unternehmen eingebrochen, die nicht mehr über herkömmliche Telefonleitungen, sondern über Internet-Verbindungen telefonieren. Mehr als zehn Millionen Gesprächsminuten ergaunerten der Hacker aus dem Bundesstaat Washington und ein Komplize – und verkauften sie für rund eine Million Dollar im Web weiter.
Moores digitaler Raubzug ist nur der bisher schwerwiegendste aufgedeckte Fall. Er wirft einen dunklen Schatten auf einen der heißesten Trends in der Telekommunikation: Die Ablösung der klassischen Telefonnetze durch das Internet. Gelockt durch günstigere Tarife und mehr Komfort telefoniert eine stetig wachsende Kundenzahl inzwischen via Web – im Expertenjargon Voice over Internet-Protocol (VoIP) genannt. Weltweit investieren Telefongesellschaften und Internet-Anbieter Milliardensummen, um ihre Netze für die digitalen Sprachdienste fit zu machen.
Doch Vorsicht! Der Schritt vom Analog- oder ISDN-Anschluss hin zur Telefonie übers Web birgt ungeahnte Risiken: „Es ist leider so: VoIP erbt alle Bedrohungen aus der klassischen Telefonwelt – und bekommt zusätzlich die aus der Welt des Internets hinzu“, warnt Joachim Opfer, Leiter des Fachbereichs Abhörsicherheit beim Bundesamt für Sicherheit in der Informationstechnik in Bonn.
Denn das Internet steigert nicht nur den Telefonkomfort der legalen Nutzer, sondern auch den der Angreifer. „Mussten Industriespione oder Geheimdienste einst aufwendig Telefone verwanzen oder Leitungen am Haus oder in der Vermittlungsstelle anzapfen, sind Angriffe auf Web-Telefonate heute auch ganz bequem über das Internet möglich“, erläutert Andreas Bröhl, Business Development Manager Systems Security Services beim IT-Sicherheitsberater Integralis.
Die Warnungen stoßen jedoch bisher weitgehend auf taube Ohren. Zu verlockend erscheinen die Vorteile der Internet-Telefonie. Längst vorbei sind die Zeiten, in denen der Plausch übers Netz – bei stark schwankender Sprachqualität – bestenfalls von PC zu PC funktionierte. Spätestens der Boom bei den schnellen DSL-Internet--Zugängen hat die Gespräche über das Web für den Massenmarkt reif gemacht. Selbst die Deutsche Telekom leitet einen Teil ihrer Gespräche inzwischen übers Internet statt durch ihr normales Telefonnetz, weil die Tonqualität stetig besser wird.
„Klassische Festnetztelefonate werden immer stärker auch durch VoIP-Anrufe abgelöst“, sagt Matthias Kurth, Präsident der Bundesnetzagentur, in Bonn. „Ende 2007 summierten sich die VoIP-Gespräche in Deutschland bereits auf rund 16 Milliarden Gesprächsminuten – ein Zehntel des gesamten Festnetz-Telefonverkehrs im Inland und ins Ausland.“ Immer öfter verbinden moderne Bürotelefonanlagen Unternehmen und Kunden oder Außenstellen bei Telefonaten unmerklich über das Internet. Und auch in immer mehr deutschen Privathaushalten mit DSL-Anschluss schalten mittlerweile spezielle VoIP-Boxen ein- und ausgehende Anrufe vom oder zum Internet durch.
Die neue Technologie bietet zahlreiche Vorteile. Unternehmen etwa können Aufwand und Kosten sparen, wenn sie ihre internen Telefon- und Datennetze auf einer technischen Plattform integrieren. Privatleuten brachte der Marktstart der Internet-Telefonieunternehmen erstmals die Option, Telefonate zum Flatrate-Pauschaltarif zu führen. Und Vielreisende sind an mehreren Anschlüssen gleichzeitig erreichbar.
Die Risiken geraten darüber aus dem Blick. Fehlendes Sicherheitsbewusstsein erleichtert das Abhören zusätzlich. VoIP-Hacker Moore stellte bei seinen Angriffen auf die Telefonserver der Unternehmen überrascht fest: „Bei 70 Prozent der angegriffenen Unternehmen und fast der Hälfte aller attackierten Telefonanbieter waren die Systeme nicht geschützt.“ Moore hatte das Web mit selbst geschriebener Software nach Telefonie-Servern mit Sicherheitslücken abgesucht. Er wurde reichlich fündig. „Auf gut vier Fünftel der angegriffenen Vermittlungsrechner waren die voreingestellten Standardpassworte unverändert.“
Eine Ursache für diesen geradezu sträflichen Leichtsinn nennt Philipp Bohn, Analyst der IT-Unternehmensberatung Berlecon Research: „Die Risiken von VoIP werden trotz eines ähnlichen Bedrohungsszenarios deutlich geringer eingeschätzt als beim Datenverkehr.“ Lediglich ein Viertel der von Berlecon befragten Firmen sieht Internet-Telefonie als mögliches Sicherheitsrisiko an. Dabei hat sich die Zahl der VoIP-Risiken nach Angaben der Sicherheitsberater von McAfee 2007 gegenüber dem Vorjahr mehr als verdoppelt. Für 2008 geht » McAfee von einer weiteren Zunahme um bis zu 50 Prozent aus.
Die Anbieter von Internet-Telefoniediensten in Deutschland sehen ihre Kunden zumindest bisher von nennenswerten Schäden verschont. „Die Gefahr, dass Gespräche von Privatnutzern abgehört oder deren Guthaben gestohlen werden, tendiert gegen null. Entsprechende Fälle unter unseren Kunden sind uns nicht bekannt“, beteuert Thilo Salmon, Geschäftsführer beim deutschen VoIP-Pionier Sipgate. Auch Robert Hoffmann, Vorstand Consumer-Produkte beim Internet-Dienstleister 1&1, bemüht sich um Beruhigung: „Das Bedrohungsszenario ist unserer Meinung nach in der Praxis sehr gering und vor allem durch Hersteller von Schutzprodukten getrieben.“
Ganz so simpel ist es wohl nicht. „Grundsätzlich gilt, dass kein Netz absolute Sicherheit gewährleisten kann“, sagt Axel Freyberg, Vice-President bei der Unternehmensberatung A. T. Kearney. „VoIP bietet jedoch eine größere Angriffsfläche als Festnetztelefonie oder Mobilfunk.“ Exakte Zahlen zu den angerichteten Schäden in Deutschland oder Europa sind allerdings Mangelware. Der New Yorker Telefonanbieter Stealth Communications hat für die USA hochgerechnet, dass jeden Monat VoIP-Minuten im Wert von rund 26 Millionen Dollar gestohlen werden.
Ganz so simpel ist es wohl nicht. „Grundsätzlich gilt, dass kein Netz absolute Sicherheit gewährleisten kann“, sagt Axel Freyberg, Vice-President bei der Unternehmensberatung A. T. Kearney. „VoIP bietet jedoch eine größere Angriffsfläche als Festnetztelefonie oder Mobilfunk.“ Exakte Zahlen zu den angerichteten Schäden in Deutschland oder Europa sind allerdings Mangelware. Der New Yorker Telefonanbieter Stealth Communications hat für die USA hochgerechnet, dass jeden Monat VoIP-Minuten im Wert von rund 26 Millionen Dollar gestohlen werden.
Dabei brechen die digitalen Diebe in Internet-Telefonsysteme ein und verkaufen die gestohlenen Zugänge online weiter. Sie bedienen sich dabei kleiner Computerprogramme, die kontinuierlich das Web nach Telefonanlagen mit Sicherheitslücken durchforsten. Wenn der Zugang geknackt ist, wird die Telefonanlage übers Internet an den Server eines anderen Unternehmens gekoppelt, der dann Gespräche darüber abwickelt. Für den Weiterverkauf der rund 200 Millionen Gesprächsminuten, die angeblich jeden Monat gestohlen werden, gibt es mehr als 5000 Internet-Handelsplätze. In diesen Online-Foren stehen haufenweise Kurzeinträge wie „Biete Ägypten mobil für 7 Cent“ und eine E-Mail-Adresse, an die sich der Kaufinteressent wenden kann.
„Speziell wenn sie sich über unterschiedliche Online-Zugänge ins Netz einwählen, kann man solchen Minutendieben kaum auf die Spur kommen“, erklärt Jens-Uwe Junghanns, Vertriebsleiter des VoIP-Anlagenherstellers Junghanns.Net. Auch einer seiner Kunden wurde zum Opfer. Eigentlich wollte die Maschinenbaufirma Geld sparen, als sie ihre Büros auf Internet-Telefonie umstellte. Doch auch hier gelangten Angreifer in den Besitz der Passwörter. Als das Unternehmen den VoIP-Angriff bemerkte, hatten Nutzer aus Osteuropa bereits vier Tage lang auf Kosten der Firma telefoniert und Schäden von rund 40.000 Euro verursacht. Das Unternehmen blieb auf diesen Betrag sitzen, weil sich nicht ermitteln ließ, wer auf seine Kosten tatsächlich angerufen hatte.
Der Diebstahl von Telefonminuten ist nicht das einzige Problem, das sich aus dem Zusammenwachsen der Daten- und Sprachnetze ergibt. Unternehmen sind auch der Gefahr digitaler Lauschangriffe und sogenannter Denial-of-Service-Attacken ausgesetzt, bei denen das ganze Telefonnetz lahmgelegt wird. Und gelingt den Angreifern der Einbruch in die Computersysteme, durchschnüffeln spezielle Hack-Programme wie etwa „WireShark“ automatisch den Netzwerkverkehr nach Anrufen. Werden sie fündig, können Programme wie „Cain & Abel“ diese mitscheiden und als Audiodatei auf einem Rechner speichern. Ein Werkzeug nach dem Industriespione sich die Finger lecken.
Die Hacker profitieren davon, dass die VoIP-Technologie das Nischenstadium im Telefonmarkt längst verlassen hat und zum Massenprodukt geworden ist. Nutzten die Hersteller anfangs zumeist eigene, oft geheime Übertragungsverfahren, setzt heute – abgesehen von Ausnahmen wie dem Web-Telefondienst Skype – fast die gesamte Branche auf einheitliche Standards. Beim Rufaufbau ist das beispielsweise das Session Initiation Protocol (SIP).
Aber auch VoIP-Telefone selbst bedrohen die Sicherheit. „In vielen Geräten stecken zu viele Funktionen, von denen die Nutzer nichts wissen“, beklagt Martyn Davies, Sicherheitsexperte des Branchenverbandes VoIP Security Alliance. „Viele davon nutzen Hacker auch für ihre Angriffe.“ Solche Angriffsstellen entdeckten Sicherheitsspezialisten in den Anlagen von 3Com, Cisco, GrandStream und Linksys. Hacker mit Kenntnis dieser Sicherheitslücken können kompakte Schadprogramme schreiben, die dafür sorgen, dass bei einem Anruf beispielsweise alle VoIP-Telefone in einem Büro gleichzeitig klingeln oder sich permanent neu starten.
Opfer eines solchen Anschlags wurde auch Henning Schulzrinne. Der Informatik-Professor hat den SIP-Standard in den Neunzigerjahren gemeinsam mit Kollegen am Berliner Fraunhofer-Institut für offene Kommunikationssysteme (Fokus) erfunden. Heute arbeitet er an der Columbia University in New York, wo neulich die Telefone Sturm klingelten und eine Computerstimme Werbenachrichten verlas. Angelehnt an die Werbeflut durch sogenannte Spam-E-Mails heißen solche Werbeanrufe „Spam over Internet Telephony“, kurz: Spit.
Noch ist diese unerwünschte Web-Reklame sehr selten und nach Angaben von VoIP-Betreibern wie 1&1 oder Freenet „in Deutschland de facto nicht existent“. Doch Experten wie SIP-Entwickler Schulzrinne befürchten, dass sich das mit der Verbreitung der Internet-Telefonie rasch ändern könnte. Sie drängen darauf, Strategien zur Spit-Abwehr zu entwickeln.
„Bei Spam-E-Mails haben wir mit Gegenmaßnahmen zu lange gewartet“, mahnte der deutsche Wissenschaftler Mitte März bei der jüngsten Sitzung des Web-Entwicklungsgremiums Internet Engineering Task Force (IETF) in Philadelphia. „Wollen wir wirklich warten, bis uns das bei der Internet-Telefonie wieder passiert?“
