Telefonieren im Internet Telefonieren im Internet: So viel ist sicher - es ist unsicher
Sankt Augustin/Bonn/dpa. - So viel ist sicher - es ist unsicher: Voice over Internet Protocol (VoIP), die Telefonie über das Internet. Mit frei verfügbaren Programmen lassen sich Gespräche aus dem Datenstrom ziehen und manipulieren. Außerdem erwarten Experten in den kommenden Jahren einen rasanten Anstieg von Spam over InternetTelephony (SPIT).
Dann werden die aus dem Internet bekanntenSpam-Mails von einem Sprachcomputer am Telefon vorgetragen. Es gibtschon Sicherheitskonzepte, die aber kommen bisher kaum zum Einsatz.
Wem vor diesem Hintergrund das klassische Telefonieren als sichereBank erscheint, der irrt. «Auch das herkömmliche Telefonnetz istunsicher», warnt Hartmut Pohl, Professor für Informationssicherheitan der Fachhochschule Bonn-Rhein-Sieg in Sankt Augustin.Beispielsweise seien in jedem Mietshaus die Telefon-Verteilerkästenmehr oder weniger frei zugänglich. «Bei VoIP ist der Aufwand nur nochviel geringer, weil das Gespräch schon digitalisiert ist.» Deshalbmüsse man davon ausgehen, dass ein Telefongespräch öffentlich ist.
Wie bei der E-Mail nutzen nur wenige private Anwender bei derInternet-Telefonie eine Verschlüsselung. «Das Bewusstsein fehlteinfach», sagt Pohl, der auch Sprecher des Arbeitskreises Daten- undIT-Sicherheit der Gesellschaft für Informatik in Bonn ist. Dabei gibtes einige Verschlüsselungsmethoden für VoIP.
Verbreitet ist das Secure Real-Time Transport Protocol (SRTP).Doch auch SRTP ist für sich genommen nicht hundertprozentig sicher,so das Bundesamt für Sicherheit in der Informationstechnik (BSI) inBonn in seiner Studie «VoiPSEC». Problematisch sei etwa, wenn derSchlüssel zu Beginn einer Verbindung im Klartext zwischen Sender undEmpfänger ausgetauscht wird. SRTP wird netzseitig aber sowieso erstvon wenigen VoIP-Anbietern unterstützt. Und auch nicht jedes VoIP-Telefon bietetdiese Verschlüsselung.
Telefonieren zwei Gesprächspartner ausschließlich über dasInternet, also über Softphones genannte Telefonie-Programme vonRechner zu Rechner oder über VoIP-Telefone, können sie ihr Gesprächunabhängig vom VoIP-Anbieter verschlüsseln. Die Voraussetzung ist,dass Softphones und VoIP-Telefone die gleichen Protokolleunterstützen. Soll aber ein Gespräch, das von einem Softphone odereinem VoIP-Telefon ins Festnetz geht, verschlüsselt werden, muss auchdas Netz des VoIP-Anbieters die Verschlüsselung unterstützen.
Der Anbieter Sipgate aus Düsseldorf will deshalb bald eine sichereVerschlüsselung anbieten, indem er die Protokolle SRTP und TransportLayer Security (TLS) kombiniert. «Werden beide Protokolle verwendet,sind alle Daten samt Schlüssel von Anfang an verschlüsselt», erklärtSipgate-Sprecher Wilhelm Fuchs. Privatkunden solle die netzseitigeVerschlüsselung für rund einen Euro im Monat angeboten werden.
Eine Verschlüsselung namens ZRTP, die ohne Schlüsselaustauschfunktioniert, hat der US-amerikanische Kryptographie-Experte PhilZimmermann entwickelt: Mit der kostenlosen Software Zfone können VoIP-Gespräche von Rechner zu Rechner verschlüsselt werden,unabhängig vom jeweils benutzten Softphone. Laut Zfone-Projekt könnenHardware-Herstellern ZRTP-Lizenzen erwerben, um zum Beispiel Telefonemit dieser Software anzubieten. Doch bisher gibt keine ZRTP-Geräte.
Die richtige Verschlüsselung ist bei VoIP auch deshalb so wichtig,weil man sich sonst gar nicht mehr sicher sein kann, dass dieangezeigte Rufnummer und der Anrufer überhaupt übereinstimmen.Außerdem besteht das Risiko, dass das Gesagte auf dem Übertragungswegvon Dritten verändert wird. «Das ist programmierbar, manipulierbarund auswertbar, weil es über Computer läuft», warnt Prof. Pohl. Umdas zu verhindern, nehmen viele Verschlüsselungsprotokolle dieAuthentifizierung des Absenders vor und überprüfen, ob Sprachdatenunterwegs nicht unberechtigt geändert wurden.
Sprachdaten, die erst gar nicht beim Empfänger ankommen sollten,sind SPIT. Laut BSI kann allein ein darauf programmierter Server biszu 1000 Anschlüsse pro Minute anrufen und Werbebotschaften vorlesen.Dass SPIT das nervende Niveau von Spam-E-Mails erreichen wird, istnur noch eine Frage der Zeit. «In drei Jahren rechne ich mitmassenhaften Sprachangriffen», sagt Prof. Pohl.
Der einfachste Schutz vor SPIT ist, seine VoIP-Rufnummer nichtunüberlegt herauszugeben. Denn laut BSI sind bereits viele Leute ausdem Schaden mit ihrer E-Mail-Adresse klug geworden: Die Belästigungdurch Spammer habe viele Menschen bereits dazu gebracht, sehrvorsichtig mit ihrer E-Mail Adresse umzugehen. Das heißt, sie gebenihre E-Mail-Adresse nicht mehr leichtfertig in Internetformularen anoder tragen sie in Fragebögen ein.
