Themenspecial VoIP Risiko

VoIP-Verschlüsselung kommt kaum zum Einsatz

sipgate will künftig Kombisystem für mehr Sicherheit anbieten
Von dpa / Björn Brodersen

So viel ist sicher - es ist unsicher: Voice over Internet Protocol (VoIP), die Telefonie über das Internet. Mit frei verfügbaren Programmen lassen sich Gespräche aus dem Datenstrom ziehen und manipulieren. Außerdem erwarten Experten in den kommenden Jahren einen rasanten Anstieg von Spam over Internet Telephony (Spit). Dann werden die aus dem Internet bekannten Spam-Mails von einem Sprachcomputer am Telefon vorgetragen. Es gibt schon Sicherheitskonzepte, die aber kommen bisher kaum zum Einsatz.

Wem vor diesem Hintergrund das klassische Telefonieren als sichere Bank erscheint, der irrt. "Auch das herkömmliche Telefonnetz ist unsicher", warnt Hartmut Pohl, Professor für Informationssicherheit an der Fachhochschule Bonn-Rhein-Sieg in Sankt Augustin. Beispielsweise seien in jedem Mietshaus die Telefon-Verteilerkästen mehr oder weniger frei zugänglich. "Bei VoIP ist der Aufwand nur noch viel geringer, weil das Gespräch schon digitalisiert ist." Deshalb müsse man davon ausgehen, dass ein Telefongespräch öffentlich ist.

Bewusstsein für VoIP-Sicherheit fehlt

Wie bei der E-Mail nutzen nur wenige private Anwender bei der Internet-Telefonie eine Verschlüsselung. "Das Bewusstsein fehlt einfach", sagt Pohl, der auch Sprecher des Arbeitskreises Daten- und IT-Sicherheit der Gesellschaft für Informatik in Bonn ist. Dabei gibt es einige Verschlüsselungsmethoden für VoIP.

Verbreitet ist das Secure Real-Time Transport Protocol (SRTP). Doch auch SRTP ist für sich genommen nicht hundertprozentig sicher, so das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn in seiner Studie "VoiPSEC". Problematisch sei etwa, wenn der Schlüssel zu Beginn einer Verbindung im Klartext zwischen Sender und Empfänger ausgetauscht wird. SRTP wird netzseitig aber sowieso erst von wenigen VoIP-Anbietern unterstützt. Und auch nicht jedes VoIP-Telefon bietet diese Verschlüsselung.

Telefonieren zwei Gesprächspartner ausschließlich über das Internet, also über Softphones genannte Telefonie-Programme von Rechner zu Rechner oder über VoIP-Telefone, können sie ihr Gespräch unabhängig vom VoIP-Anbieter verschlüsseln. Die Voraussetzung ist, dass Softphones und VoIP-Telefone die gleichen Protokolle unterstützen. Soll aber ein Gespräch, das von einem Softphone oder einem VoIP-Telefon ins Festnetz geht, verschlüsselt werden, muss auch das Netz des VoIP-Anbieters die Verschlüsselung unterstützen.

1 2