Sicherheit von Voice over IP : Teil 1: VoIP-Netze
Die bereits vor Jahren begonnene Umstellung „klassischer“ Telefonanschlüsse (analog/ISDN)auf Voice-over-IP-Technologie (VoIP) ist inzwischen weitgehend abgeschlossen. Für den Nutzer stellt sich damit die Frage: Ist mit VoIP eine vertrauenswürdige Kommunikation ebenso gewährleistet, wie man dies bei der klassischen Telefonie stets als gegeben voraussetzte? Im Rahmen einer BSI-Studie wurden insbesondere Sicherheitsaspekte wie Vertraulichkeit und Verfügbarkeit, aber auch Qualitätsmerkmale wie die Bandbreite und Übertragungsgüte von VoIP untersucht.
Von Herbert Blum, BSI
Die Umstellung der „klassischen“ leitungsvermittelten Telefonie auf eine „All-IP“-Infrastruktur stellt die weitreichendste Veränderung in der Telekommunikation seit deren Anfängen Ende des 19. Jahrhunderts dar. Selbst die zu Beginn der 1990er-Jahre als „revolutionär“ wahrgenommene Einführung von ISDN, welche damals zum Teil hitzige datenschutzrechtliche Diskussionen (u. a. wegen der Rufnummernanzeige) auslöste, stellte keinen so grundsätzlichen Eingriff in die Netztopologie dar wie die nun vorgenommene durchgängige Verschmelzung von Sprach- und Datenübertragung. Durch diese Vereinheitlichung der zuvor unabhängig voneinander betriebenen Netze, die noch dazu auf ganz unterschiedlichen technischen Infrastrukturen basieren, ergeben sich natürlich immense Vorteile, wie etwa eine erheblich vereinfachte Administration, die schnellere Erkennung und Beseitigung von Störungen, der Wegfall des Aufwands für die (Hardware-)Ausstattung und den Betrieb zweier paralleler Infrastrukturen.
Diese Synergien führen zu erheblichen Kosteneinsparungen bei den Netzbetreibern. Aber auch die Endkunden profitieren einerseits von neuen Funktionen, die sich aus der Vereinheitlichung der Sprach-Datenübertragung ergeben, und zum anderen davon, dass sie zum gleichen Preis, den sie früher für einen Basis-Telefonanschluss zahlen mussten, nun in der Regel einen Breitband-Internetzugang mit integrierter Telefon-Flat erhalten.
Erhebliche Einsparungen bei den Kosten für Telefonie ergeben sich jedoch vor allem in größeren Unternehmen, welche entweder eine vorhandene ISDN-Anlage über einen von ihrem Provider bereitgestellten sogenannten SIP-Trunk an das Internet anschließen oder sogar auf eine eigene (Hardware-)Anlage ganz verzichten und stattdessen die Dienste eines Cloud-Anbieters nutzen.
Der Mobilitätsvorsprung von VoIP gegenüber den früheren Festnetzanschlüssen stellt weiterhin – gerade in der momentanen Situation, wo viele Mitarbeiter nicht in ihrem Büro in der Firma, sondern von zu Hause aus arbeiten – einen entscheidenden Mehrwert dar. Ein- und abgehende Anrufe, Telefon- und Videokonferenzen lassen sich auch für eine größere Anzahl von Mitarbeitern über ihre unternehmenseigenen Rufnummern problemlos in deren Homeoffice routen, so dass zumindest in dieser Hinsicht keinerlei Unterschied zu einer Präsenz im Büro besteht.
Ein weiterer Vorteil des Zusammenwachsens von Sprach- und Datenübertragung besteht darin, dass sich viele Geschäftsprozesse hierdurch erheblich rationalisieren lassen. So können zum Beispiel beim Anruf eines Kunden dem dieses Telefonat entgegennehmenden Mitarbeiter auf Grundlage der Rufnummer sofort die relevanten Daten über bisherige Kontakte aus einem Customer-Relationship-Managementsystem (CRM) angezeigt und diese umgekehrt um Daten des erneuten Kontaktes ergänzt werden. Telefonate mit diesem Kunden lassen sich andererseits direkt aus dem CRM heraus durch Anklicken der dort gespeicherten Rufnummer initialisieren.
So bedeutend die Vorteile des Informationstransfers zwischen Sprach- und Datennetz sind – es ergeben sich hierdurch doch auch erhebliche Gefährdungen der Integrität beider Systeme: Denn ebenso leicht, wie sich die Informationen aus einem CRM hin und her übertragen lassen, kann dies auch mit Schadcode oder Malware geschehen. Über die Telefonanlage eröffnet sich so ein neuer Angriffsvektor für ein Eindringen in das interne Firmennetz, während die Telekommunikation selbst Angriffen aus dem Internet ausgesetzt ist.
Immer öfter wenden sich daher Unternehmen an das BSI, etwa weil sie nachts ungewöhnliche Aktivitäten auf ihrer Telefonanlage registrieren, bei denen es sich in der Regel um Vorbereitungen zu Angriffen auf das interne Datennetz handelt. Angehörige von Berufen mit speziellen Verschwiegenheitspflichten (z. B. Ärzte, Rechtsanwälte, Steuerberater) treibt dagegen die Sorge um, dass VoIP-Telefonate leichter abzuhören wären und sie daher gegenüber ihren Mandanten die Vertraulichkeit der Kommunikation nicht mehr garantieren könnten. Endkunden schließlich befürchten, dass sie bei einem Stromausfall keinen telefonischen Notruf mehr absetzen können.
Vorfälle und Besorgnisse dieser Art ließen es seitens des BSI daher als gegeben erscheinen, die Sicherheit der VoIP-Kommunikation im Rahmen einer Studie eingehender zu analysieren. In diesem sowie einem Folgeartikel sollen die Ergebnisse der Untersuchungen hier vorgestellt werden. Der erste Teil wird sich dabei zunächst mit der Analyse der VoIP-Netze beschäftigen, während im Folgeartikel dann die VoIP-Dienste sowie mögliche Angriffsszenarien auf diese genauer untersucht werden.
BSI-Studie zur VoIP-Sicherheit
Im Prinzip waren bei der klassischen Telefonie Angriffe, wie das Abhören von Telefonaten, technisch relativ leicht zu bewerkstelligen: Man brauchte sich nur Zugang zum Hausanschluss oder dem Verteilerkasten an der Straße zu verschaffen, um dort die Leitung des Opfers direkt anzuzapfen. Abgesehen vom Risiko, bei einem solchen physischen Angriff entdeckt zu werden, bestand jedoch eine zweite Hürde für den Angreifer darin, dass er sich unmittelbar vor Ort begeben musste.
Die neue Qualität von Angriffen auf VoIP-Systeme besteht hingegen darin, dass sie aus der Ferne durchgeführt werden können. Um die Risiken für eine Kompromittierung der VoIP-Kommunikation abschätzen zu können, ist es daher notwendig, zunächst einen Blick auf die globale VoIP-Infrastruktur zu werfen. Den Zugang zu dieser Infrastruktur vermitteln dem Endnutzer die Telekommunikations- und Internet-Service-Provider (im Folgenden auch kurz unter dem Oberbegriff „Provider“ zusammengefasst).
Grundlage der BSI-Studie bildete eine umfangreiche Datenerhebung bei einer repräsentativen Auswahl dieser Provider. Anhand eines rund 200 Positionen umfassenden Fragebogens wurden in Interviews Informationen zu Struktur und Betrieb des Kernnetzes, der Netzüber- und zugänge, den eingesetzten Komponenten und Protokollen sowie Art und Ausgestaltung der angebotenen VoIP-Dienste erfasst.
Hierbei war zu berücksichtigen, dass sich die Diensteanbieter in ihren Geschäftsmodellen sehr stark unterscheiden können: So gibt es Provider, die international, national, regional oder als City-Carrier (z. B. Stadtwerke) tätig sind, eigene Netze (Kupfer/Glasfaser, Kabel/ DOCSIS, LTE) betreiben oder diese ganz oder teilweise von anderen Providern anmieten, vollen Service (Sprach- und Datendienste, Festnetz, Mobilfunk) oder nur Teile davon anbieten, allgemein Privat- und Geschäftskunden bedienen oder sich nur auf bestimmte Kundenkreise konzentrieren. Die diversen sich daraus ergebenden technischen und organisatorischen Gegebenheiten beziehungsweise deren Besonderheiten können hier natürlich nicht im Einzelnen dargestellt werden. Der vorliegende Artikel soll vielmehr einen Überblick zum aktuellen „State of the Art“ bei Betrieb und Sicherheit der VoIP-Infrastruktur geben.
Die Studie wurde vom BSI in Zusammenarbeit mit der Bundesnetzagentur (BNetzA) und der Firma DOK Systems aus Garbsen durchgeführt (DOK-Projektleitung: Dr. Tim Gorgass, Mitarbeit: Felix Fehlau, Marian Jersch, Jörn Stecker und Prof. Dr. Gerd Siegmund).
Die Netz-Infrastruktur
Die wesentlichen Unterschiede zwischen klassischen Kommunikationsnetzen und der neuen All-IP-Infrastruktur verdeutlicht ein Vergleich von Abbildung 1 und 2: In beiden Fällen koppelt das Access-Netz (in den Abbildungen links) die Endkunden an das Kernnetz des Providers (rechts) an. Letzteres ist jeweils aufgespalten in die Dienste-Ebene (oben) und die Transport-Ebene (darunter), die sich jedoch erheblich voneinander unterscheiden.
In der klassischen Struktur war jedem Dienst (Festnetz/ ISDN, Mobil/LTE, Daten/IP) ein eigenes physisches Netz zugeordnet, was natürlich einen erheblichen Aufwand darstellte. Dies vereinfacht sich nun in der All-IP-Welt, indem dort die früher über unterschiedliche physische Komponenten realisierten Dienste auf Basis des sogenannten IP-Multimedia-Subsystems (IMS) virtualisiert über Data-Centers an eine ebenfalls vereinfachte „flache“ Transportebene angeschlossen werden (eine eingehendere Darstellung der unterschiedlichen Netzstrukturen findet man z. B. in [1]).
Die VoIP-Kommunikation gliedert sich im All-IP-Netz in den Datentransfer über das Internet nahtlos ein. Allerdings bestehen Unterschiede, die sich daraus ergeben, dass es sich bei der Sprachübertragung um einen „Echtzeit“-Dienst handelt, das heißt die VoIP-Datenpakete müssen hinreichend synchron beim Gesprächspartner eintreffen, damit dieser auch einen „flüssigen Sprachstrom“ empfängt.
Im Gegensatz zu den Internetprotokoll-(IP)-Daten, bei denen es nicht so sehr darauf ankommt, ob die Pakete um Sekundenbruchteile früher oder später eintreffen, werden Sprachdaten daher mittels des Real-Time-Transport-Protocol (RTP) übertragen. Die Signalisierung, das heißt zum Beispiel der Aufbau einer Verbindung (früher das „Anläuten“), erfolgt über das Session-Initiation-Protocol (SIP). „Reines“ VoIP ist damit bereits mittels eines PCs, auf dem ein sogenanntes Softphone installiert ist, sowie einem SIP-Account, den ein SIP-Provider zur Verfügung stellt, ohne weitere Hardware von jedem Internetanschluss aus (gleichgültig wo auf der Welt dieser sich befindet) möglich (sog. nomadische Nutzung).
Da „reines“ VoIP jedoch keine definierte Sprachqualität garantiert (abgesehen vom RTP werden die Sprachdaten wie IP-Daten über das Internet transportiert), bieten die meisten TK-Provider VoIP-Anschlüsse im Rahmen eines Next-Generation-Networks (NGN) an. Hierbei werden die Sprachdaten logisch oder physisch von den IP-Daten getrennt und mit Quality-of-Service-Parametern (QoS) versehen, die eine bevorzugte Durchleitung garantieren, wodurch sich die Echtzeit-Anforderungen und
somit eine definierte Qualität der Sprachübertragung sicherstellen lassen. Die VoIP-Daten bewegen sich damit virtuell in einem eigenen Netz, was in gewisser Weise auch ein Sicherheitsmerkmal darstellt (siehe unten).
Abbildung 1: Aufbau klassischer Kommunikationsnetze
Abbildung 2: All-IP-Infrastruktur
Providernetze
Das in Abbildung 2 auf der rechten Seite dargestellte Kernnetz basiert in der Regel auf einem physischen Hochgeschwindigkeitsnetz (10–100 GBit/s) von Lichtwellenleitern (LWL), über das die IP-Daten (Internet) transportiert werden. Wie erwähnt, werden die VoIP-Daten (außer bei reinen SIP-Providern) durch Multiprotocol-LabelSwitching (MPLS) von den Internetdaten logisch getrennt übertragen. Die für die einzelnen Dienste notwendigen Netzfunktionen, wie SIP-Server und Datenbanken für die Teilnehmerauthentifizierung oder die Aufenthaltsverwaltung, werden als virtuelle Funktionen realisiert. Die entsprechenden virtuellen Systeme laufen auf mehreren, beliebig einsetzbaren Data-Centers im Netz.
Bei allen Providern, die eigene Netze betreiben, ergab die Studie, dass diese entweder durch eine hochgradige Vermaschung oder aufgrund getrennter Ringstrukturen eine hohe Redundanz garantieren. Es bestehen zahlreiche (oft >250) „Points of Interconnection“ (POI), das heißt Übergänge in die Netze anderer, in- und ausländischer Provider, die durch Session-Border-Controller (SBC) abgesichert sind. Durch Umsetzung der Standards des AKNN, eines Arbeitskreises der Provider zur Netzzusammenschaltung, wird sichergestellt, dass die Übertragungsqualität (QoS) beim Datentransfer erhalten bleibt. Außer bei reinen SIP-Providern werden bei innerdeutschen Gesprächen die Sprach- und Signalisierungsdaten in der Regel ausschließlich über in Deutschland verlaufende Strecken geroutet.
Die größtenteils ebenfalls georedundant angebundenen Data-Centers befinden sich zumeist in Deutschland, werden von den Providern selbst oder von Tochterfirmen betrieben und besitzen durchweg eine Zertifizierung nach ISO 27001. Bei den eingesetzten Komponenten verfolgen die Provider offenbar eine Multi-Vendor-Strategie, das heißt, eine Tendenz zu „Monokulturen“ oder der Abhängigkeit von einzelnen Herstellern konnte in der Studie nicht festgestellt werden.
Alle befragten Provider setzen Netzwerkmanagement- und Monitoring-Tools ein, um sämtliche dienstrelevanten Komponenten im Hinblick auf Überlastung oder Ausfall permanent zu überwachen beziehungsweise um externe Zugriffe oder Angriffe auf diese Systeme rechtzeitig zu erkennen. Aufgrund der im NGN vorgenommenen Kapselung der Sprachdaten gegenüber dem sonstigen Internetverkehr in einem virtuellen MPLS-Netz sind die Möglichkeiten externer Angriffe auf diese Daten stark eingeschränkt. Ein direktes „Anzapfen“ der Glasfaserstrecken ist zwar möglich, erfordert jedoch – etwa im Vergleich zu Kupferkabeln – einen relativ hohen technischen Aufwand und lässt sich zumindest innerhalb eines Providernetzes schwerlich über längere Zeit unbemerkt durchführen. Das Abhören von Telefonaten erfordert somit entweder die Kooperation des Providers oder muss auf den Verbindungsstrecken zwischen den Netzen, etwa an Unterseekabeln, erfolgen.
Ein weiterer Sicherheitsaspekt, der in der Studie untersucht wurde, war die Ausfallsicherheit und Verfügbarkeit der Netze. Hierzu gaben die befragten Unternehmen durchweg an, dass zentrale Netzkomponenten und die Rechenzentren mit USV-Anlagen (Batteriepuffer, unterstützt von Dieselaggregaten) ausgestattet sind, die eine Notstromversorgung von mehreren Stunden bis Tagen, teilweise sogar unbegrenzt, garantieren. Die Rechenzentren besitzen eine zwei- bis dreifache Netzanbindung und werden teilweise georedundant im Hot-Standby betrieben, das heißt bei Ausfall eines Standorts kann ein kilometerweit entferntes (wichtig im Katastrophenfall) Rechenzentrum mit minimaler Umschaltzeit (Sekundenbruchteile) den Betrieb übernehmen. Insgesamt wird die Verfügbarkeit der Systeme mit 99,99 %, im Mittel der letzten Jahre teilweise sogar mit 100 % angegeben.
Fazit
In diesem ersten Artikel wurde die Sicherheit der VoIP-Kommunikation vor allem im Hinblick auf die Kernnetze der Provider betrachtet. Hierbei konnte festgestellt werden, dass diese, soweit es Ausfallsicherheit, „Quality of Service“ (QoS) sowie auch den Schutz vor externen Angriffen betrifft, durchaus ein vergleichsweises Sicherheitsniveau besitzen, wie es bei den klassischen Telefonnetzen der Fall war.
Hauptgrund hierfür ist die Tatsache, dass in den Next-Generation-Networks die Übertragung der Sprachdaten logisch getrennt von den sonstigen Internetdaten erfolgt. Hierdurch werden Angriffe auf VoIP-Dienste aus dem Internet in diesem Bereich weitgehend verhindert. Allerdings wird dieser Sicherheitsgewinn sowie die damit verbundene garantierte QoS in der Regel durch Einschränkungen bei der Flexibilität erkauft, die „reines“ VoIP etwa in Form der Möglichkeit einer nomadischen Nutzung des Anschlusses bietet.
Auch hinsichtlich der Vertraulichkeit besteht – zumindest für inländische Telefonate – ein ähnliches Sicherheitsniveau wie bei der klassischen Telefonie. Mögliche Schwachstellen finden sich hier eher im Access-Bereich (linker Teil von Abb. 2) oder an den Netzübergängen. Die Diskussion dieser und weiter
Literatur
[1] Gerd Siegmund, Technik der Netze 2, Neue Ansätze: SIP und QoS in IMS und NGN, 8. Auflage, VDE Verlag, 2020, ISBN 978-3-8007-5170-9