IT-Sicherheit

VoIP-Sicherheit gefährdet

Fraunhofer Institut warnt vor Sicherheitslücken

von 24.10.2019
voip sicherheit
Um die VoIP Sicherheit gibt es derzeit große Diskussionen © geralt /Pixabay

Um die VoiP-Sicherheit ist es schlecht bestellt. Das haben jetzt Forscher des Fraunhofer Instituts herausgefunden. Und aufgrund der Tatsache, dass VoIP-Telefone vornehmlich von Unternehmen in deren Netzwerk eingebunden sind, existiert für sie reale Gefahr.
Zu welchen Ergebnissen die Sicherheitsforscher genau gekommen sind und wie Sie Ihre VoIP sicher gestalten, verraten wir jetzt.

voip sicherheit

Um die VoIP-Sicherheit gibt es derzeit große Diskussionen. Bild: Pixabay / geralt

VoIP-Sicherheit nur teilweise gegeben

Die Gefahr droht über das Telefon und zur Abwechslung einmal nicht über mit Trojanern, Ransomware und Würmern verseuchte E-Mails oder Websites. Forscher des Fraunhofers Instituts für sichere Informationstechnologie (kurz: Fraunhofer SIT) haben satte 40 – teils sehr gravierende – Schwachstellen in 33 gängigen VoIP-Telefonen von 25 verschiedenen Herstellern entdeckt. Ihre Ergebnisse präsentierten sie auf der diesjährigen DEFCON, einer der weltweit größten Hackerkonferenzen, und riefen damit mittelgroße Bestürzung hervor.
Cyberkriminelle und andere Bösewichte können diese Schwachstellen dabei sehr vielfältig nutzen. Von Lausch- und Abhör-Angriffen über ein simples und nicht minder ärgerliches „Lahmlegen“ der kompletten Telefonie bis hin zu unerlaubten Zugriffen auf das Firmennetzwerk als solches. Klingt dramatisch? Ist es auch. Vor allem, weil immer mehr Unternehmen auf VoIP setzen und von den zahlreichen Vorteilen, die Anbieter wie Placetel und Co. bieten, begeistert sind. Selbige dürften nach den aktuellen Veröffentlichungen jetzt einen gewaltigen Dämpfer verzeichnen.

VoIP-Sicherheitslücken geschlossen

Wo Schatten ist, da ist bekanntermaßen aber auch Licht. Nachdem die Ergebnisse der Forschungen bekannt wurden, handelten die Hersteller sofort. Und das mit Erfolg: Alle aufgedeckten Sicherheitslücken konnten mittlerweile geschlossen werden.
Aber wie das in solchen Fällen immer so ist: Ohne Update keine VoIP-Sicherheit. Die Hersteller raten daher allen Nutzern schnellstmöglich, die entsprechenden Updates der jeweiligen Geräte-Firmware einzuspielen. Nur so ist ein Schutz gewährleistet. Sollten Sie Unterstützung bei der Aktualisierung Ihrer Geräte benötigen, wenden Sie sich einfach an einen unserer Experten aus dem IT-SERVICE.NETWORK.
Das gilt übrigens nicht nur für zu aktualisierende Telefone, sondern natürlich auch für alles andere, was in die Kategorie Hard- und Software fällt. Stets und ständig auf der sicheren Seite sind Sie übrigens mit unserer Dienstleistung Patch-Management.
Weitere Details zu den Ergebnissen des Fraunhofer SITs finden Sie übrigens hier.

Zu sehen ist eine Grafik der acatech, in der eine Frau eine große Kugel mit einem Symbol für Cyber Security darauf einen Berg hinaufrollt. Bild: Screenshot acatech

Ein ganzer Berg an Herausforderungen stellt sich im Rahmen der Cyber Security. Bild: Screenshot acatech

Die VoIP-Sicherheit nicht unterschätzen

Ein generelles Problem bei Geräten wie VoIP-Telefonen oder auch smarten Fernsehern ist, dass die Gefahr verkannt wird. Viele Unternehmen legen Wert auf ein ausgeklügeltes IT-Sicherheitskonzept – zumindest für Server, Rechner und Software. Dabei geraten andere Bereiche schnell ins Hintertreffen und es braucht im Prinzip nur einen Hacker, der sich ihnen annimmt.
Der aktuelle Fall zeigt, dass es hier also noch eine Menge zu tun gibt. Für Sicherheitsforscher und vor allem für die Hersteller. Ein besonderer Knackpunkt in diesem Zusammenhang ist die webbasierte Benutzeroberfläche der Geräte und damit immerhin das Kernstück. Hier sollen eigentlich nur Adminstratoren die Möglichkeit haben, die Geräte zu konfigurieren, stattdessen kann die Oberfläche aber das Einfallstor für Angreifer darstellen. Dieser Umstand überraschte selbst die Forscher.
Stephan Huber, einer von ihnen, äußerte sich wie folgt: „Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind und sie dementsprechend getestet und sicher sein müssten.“

VoIP-Geräte ebenso updatepflichtig wie Laptops und Co.

Eine bestimmte Sicherheitslücke war so groß, dass das Fraunhofer SIT-Team die komplette administrative Kontrolle über das System erlangte. Bis zur Manipulation von anderen Geräten, die in das gleiche Netzwerk eingebunden sind, ist es dann nur noch ein Katzensprung.
Ein ähnlich leichtes Spiel können Angreifer haben, die gern zu DDoS-Atttacken greifen und mal eben die gesamte Telefonie lahmlegen. Welche immensen wirtschaftlichen Folgen das zum Beispiel für Kundenhotlines haben könnte, lässt sich nur erahnen – einmal ganz abgesehen vom Image-Verlust.
Es bleibt also dabei: Es gibt keine Alternative dazu, die VoIP-Sicherheit ebenso im Blick zu behalten wie die aller anderen Geräte. Es sei denn, man spielt gern mit seiner wirtschaftlichen Existenz.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen