Noch auf dem Weg ins Gefängnis spuckte Robert Moore große Töne: „Der Einbruch in die Telefonsysteme war so einfach – das hätte sogar ein Höhlenmensch geschafft“, spottete der 23-Jährige Hacker im vergangenen September, nachdem ihn ein Richter in New Jersey zu zwei Jahren Haft und drei Jahren Bewährung verurteilt hatte.
Fast zwei Jahre lang war Moore mit seinem Computer in Telefonanlagen Hunderter Unternehmen eingebrochen, die nicht mehr über herkömmliche Telefonleitungen, sondern über Internet-Verbindungen telefonieren. Mehr als zehn Millionen Gesprächsminuten ergaunerten der Hacker aus dem Bundesstaat Washington und ein Komplize – und verkauften sie für rund eine Million Dollar im Web weiter.
Moores digitaler Raubzug ist nur der bisher schwerwiegendste aufgedeckte Fall. Er wirft einen dunklen Schatten auf einen der heißesten Trends in der Telekommunikation: Die Ablösung der klassischen Telefonnetze durch das Internet. Gelockt durch günstigere Tarife und mehr Komfort telefoniert eine stetig wachsende Kundenzahl inzwischen via Web – im Expertenjargon Voice over Internet-Protocol (VoIP) genannt. Weltweit investieren Telefongesellschaften und Internet-Anbieter Milliardensummen, um ihre Netze für die digitalen Sprachdienste fit zu machen.
Doch Vorsicht! Der Schritt vom Analog- oder ISDN-Anschluss hin zur Telefonie übers Web birgt ungeahnte Risiken: „Es ist leider so: VoIP erbt alle Bedrohungen aus der klassischen Telefonwelt – und bekommt zusätzlich die aus der Welt des Internets hinzu“, warnt Joachim Opfer, Leiter des Fachbereichs Abhörsicherheit beim Bundesamt für Sicherheit in der Informationstechnik in Bonn.
Denn das Internet steigert nicht nur den Telefonkomfort der legalen Nutzer, sondern auch den der Angreifer. „Mussten Industriespione oder Geheimdienste einst aufwendig Telefone verwanzen oder Leitungen am Haus oder in der Vermittlungsstelle anzapfen, sind Angriffe auf Web-Telefonate heute auch ganz bequem über das Internet möglich“, erläutert Andreas Bröhl, Business Development Manager Systems Security Services beim IT-Sicherheitsberater Integralis.
Die Warnungen stoßen jedoch bisher weitgehend auf taube Ohren. Zu verlockend erscheinen die Vorteile der Internet-Telefonie. Längst vorbei sind die Zeiten, in denen der Plausch übers Netz – bei stark schwankender Sprachqualität – bestenfalls von PC zu PC funktionierte. Spätestens der Boom bei den schnellen DSL-Internet--Zugängen hat die Gespräche über das Web für den Massenmarkt reif gemacht. Selbst die Deutsche Telekom leitet einen Teil ihrer Gespräche inzwischen übers Internet statt durch ihr normales Telefonnetz, weil die Tonqualität stetig besser wird.
„Klassische Festnetztelefonate werden immer stärker auch durch VoIP-Anrufe abgelöst“, sagt Matthias Kurth, Präsident der Bundesnetzagentur, in Bonn. „Ende 2007 summierten sich die VoIP-Gespräche in Deutschland bereits auf rund 16 Milliarden Gesprächsminuten – ein Zehntel des gesamten Festnetz-Telefonverkehrs im Inland und ins Ausland.“ Immer öfter verbinden moderne Bürotelefonanlagen Unternehmen und Kunden oder Außenstellen bei Telefonaten unmerklich über das Internet. Und auch in immer mehr deutschen Privathaushalten mit DSL-Anschluss schalten mittlerweile spezielle VoIP-Boxen ein- und ausgehende Anrufe vom oder zum Internet durch.
Die neue Technologie bietet zahlreiche Vorteile. Unternehmen etwa können Aufwand und Kosten sparen, wenn sie ihre internen Telefon- und Datennetze auf einer technischen Plattform integrieren. Privatleuten brachte der Marktstart der Internet-Telefonieunternehmen erstmals die Option, Telefonate zum Flatrate-Pauschaltarif zu führen. Und Vielreisende sind an mehreren Anschlüssen gleichzeitig erreichbar.
Die Risiken geraten darüber aus dem Blick. Fehlendes Sicherheitsbewusstsein erleichtert das Abhören zusätzlich. VoIP-Hacker Moore stellte bei seinen Angriffen auf die Telefonserver der Unternehmen überrascht fest: „Bei 70 Prozent der angegriffenen Unternehmen und fast der Hälfte aller attackierten Telefonanbieter waren die Systeme nicht geschützt.“ Moore hatte das Web mit selbst geschriebener Software nach Telefonie-Servern mit Sicherheitslücken abgesucht. Er wurde reichlich fündig. „Auf gut vier Fünftel der angegriffenen Vermittlungsrechner waren die voreingestellten Standardpassworte unverändert.“
Eine Ursache für diesen geradezu sträflichen Leichtsinn nennt Philipp Bohn, Analyst der IT-Unternehmensberatung Berlecon Research: „Die Risiken von VoIP werden trotz eines ähnlichen Bedrohungsszenarios deutlich geringer eingeschätzt als beim Datenverkehr.“ Lediglich ein Viertel der von Berlecon befragten Firmen sieht Internet-Telefonie als mögliches Sicherheitsrisiko an. Dabei hat sich die Zahl der VoIP-Risiken nach Angaben der Sicherheitsberater von McAfee 2007 gegenüber dem Vorjahr mehr als verdoppelt. Für 2008 geht » McAfee von einer weiteren Zunahme um bis zu 50 Prozent aus.
Die Anbieter von Internet-Telefoniediensten in Deutschland sehen ihre Kunden zumindest bisher von nennenswerten Schäden verschont. „Die Gefahr, dass Gespräche von Privatnutzern abgehört oder deren Guthaben gestohlen werden, tendiert gegen null. Entsprechende Fälle unter unseren Kunden sind uns nicht bekannt“, beteuert Thilo Salmon, Geschäftsführer beim deutschen VoIP-Pionier Sipgate. Auch Robert Hoffmann, Vorstand Consumer-Produkte beim Internet-Dienstleister 1&1, bemüht sich um Beruhigung: „Das Bedrohungsszenario ist unserer Meinung nach in der Praxis sehr gering und vor allem durch Hersteller von Schutzprodukten getrieben.“
Ganz so simpel ist es wohl nicht. „Grundsätzlich gilt, dass kein Netz absolute Sicherheit gewährleisten kann“, sagt Axel Freyberg, Vice-President bei der Unternehmensberatung A. T. Kearney. „VoIP bietet jedoch eine größere Angriffsfläche als Festnetztelefonie oder Mobilfunk.“ Exakte Zahlen zu den angerichteten Schäden in Deutschland oder Europa sind allerdings Mangelware. Der New Yorker Telefonanbieter Stealth Communications hat für die USA hochgerechnet, dass jeden Monat VoIP-Minuten im Wert von rund 26 Millionen Dollar gestohlen werden.
