Sicherheitslücken in VoIP-Telefonen

"Wir hatten nicht erwartet, dass wir so viele derart kritische Lücken finden, da diese Geräte schon lange auf dem Markt sind, und sie dementsprechend getestet und sicher sein müssten", erklärt Stephan Huber, einer der an der Untersuchung beteiligten Forscher. Eine Art von Schwachstellen ermöglichte es den Experten sogar, die vollständige administrative Kontrolle über das VoIP-Telefon zu erlangen. "Das ist ein Sicherheits-Totalausfall", urteilt der ebenfalls an der Untersuchung beteiligte Fraunhofer-SIT-Wissenschaftler Philipp Roskosch.

Kunden bisher nur in Einzelfällen besorgt

Die Meldung über die Sicherheitslücken sorgte zwar für einige Aufregung, der ganz große Aufschrei blieb jedoch aus. Bei renommierten Security-Dienstleistern fragten lediglich die "sicherheitsbewussten Kunden" nach, bei der Distribution trafen nur "einzelne Anfragen" ein. Unklar ist, ob dazu die Veröffentlichung in der Urlaubszeit, die Tatsache, dass die Hersteller vorab informiert wurden und in den meisten Fällen Updates bereitgestellt hatten, oder das fehlende Risikobewusstsein bei den Anwendern beitrug.

Vielleicht hatten die Fraunhofer-Experte aber auch nur etwas dokumentiert, was in der Branche die meisten ohnehin schon vermuteten. Auch das würde die relative Gelassenheit erklären, mit der die von ChannelPartner befragte Experten reagierten.

Beispielsweise war für Stefan Strobel, Geschäftsführer bei Cirosec, die Meldung der Fraunhofer-Forscher keine Überraschung. Er sagt: "Leider sind VoIP-Telefone beziehungsweise IoT-Geräte generell heute meist voller Fehler. Manchmal sind das kritische, aber technisch betrachtet eher triviale Fehler, wie fest im Gerät enthaltene Zugangspasswörter, die nicht geändert werden können. Oft sind es aber auch nur Schwachstellen im Web-Frontend, die es einem angemeldeten Benutzer erlauben, die volle Kontrolle über sein Telefon zu übernehmen."

Auch Gunnar Porada, Geschäftsführer bei innosec, war nicht wirklich überrascht. "Ein paar Wochen zuvor hatten wir einem Kunden ähnliches mitgeteilt. Bei ihm waren die betroffenen Geräte direkt bei den Vorständen auf den Schreibtischen und boten enormes Angriffspotenzial. Es wäre möglich gewesen, die Geräte als Wanze zu missbrauchen und den ganzen Raum permanent aus der Ferne abzuhören", berichtet Porada.

Außerdem wäre es Angreifern möglich gewesen, gebührenpflichtige Rufnummern anzurufen - eine lukrative Methode - selbst dann, wenn über das Telefon keine vertraulichen Daten ausgespäht werden können, "da die Betreiber dieser Nummern oft mit den Angreifern kooperieren und den Gewinn aufteilen", so Porada.

Da der Hersteller kein Firmware-Update mehr bereitstellen konnte ("end of life"), wurden die Geräte auf Anraten von innosec komplett ausgetauscht. Denn die Kosten für den Austausch seien im Vergleich zum möglichen Schaden irrelevant gewesen.

Distributoren zu den aktuellen VoIP-Sicherheitslücken

"Die Studie des Fraunhofer SIT hat in der Fachpresse und in den einschlägigen Online-Portalen zu Recht sehr viel Aufmerksamkeit erhalten. Immerhin können Sicherheitsrisiken in einem jungen Markt wie UCC zu gravierenden Vertrauensverlusten und Verwerfungen führen", resümiert Guido Nickenig, Senior Director Presales bei Westcon Collaboration.

"Auch wir als Distributor spitzen bei einem so heiklen Thema natürlich die Ohren. Da aber nur ein Hersteller in unserem Portfolio betroffen war - und dieser die monierten Sicherheitslücken längst mit einem Firmware-Update geschlossen hatte - standen wir nicht unmittelbar unter Zugzwang", so Nickenig weiter. Dennoch habe man die Channel-Partner für das Thema sensibilisiert. "Wir baten sie, das Patch- und Update-Management ihrer Kunden kritisch zu prüfen und robuste Prozesse für die Aktualisierung der UCC-Plattformen und Endgeräte zu definieren."

"Wir haben die Meldung zur Kenntnis genommen und mit den bei uns betroffenen Herstellern besprochen: Gigaset und Auerswald. Bei diesen Marken - und auch bei den übrigen - wurden Lücken bei Einstiegsgeräten festgestellt", erklärt Dominik Walter, Leiter Produktmanagement und Einkauf bei Herweck. "Das Thema ist nicht gravierend, da es Patches gibt. Es reiht sich unseres Erachtens in die Meldungen rein, die wir vom Smartphone- und PC-Markt kennen. Dort ist das Patchen seitens der Hersteller mittlerweile Usus und geläufig." Auch dort ist der Hersteller für die Aktualisierung zuständig - und das sei bei den VoIP-Telefonen ebenso.

Auch aus Sicht von Rainer Büter, Leiter Business Unit Home Communication bei Eno, sollten Sicherheitslücken im Bereich UCC und Telefonie grundsätzlich ernst genommen werden, "da gerade im Geschäftsumfeld über das Telefon vertrauliche Daten ausgetauscht werden." Er informierte seine Kunden daher umfassend. Schließlich gehe es nicht nur um Telefoniedaten, sondern auch um sensilbe Informationen, die über das Firmennetzwerk abrufbar sind.

"Im Bereich der Telefonanlagen, Cloud-Lösungen und Netzwerkinfrastruktur spielt Sicherheit eine übergeordnete Rolle", betont Steffen Ebner, Vertriebsvorstand B2B bei Komsa. Auch für die Herstellerpartner des Distributors aus Hartmannsdorf - derzeit Auerswald, ALE und Yealink - stehe das Thema bei der Entwicklung ihrer Produkte und Lösungen im Vordergrund. "Aus diesem Grund nehmen sowohl wir als auch unsere Hersteller sämtliche Sicherheitsmeldungen ernst", so Ebner weiter.

Der Fall sollte Systemhauspartner laut Ebner veranlassen, das angewendete Sicherheitskonzept zu überprüfen. Dafür bietet Komsa gemeinsam mit den Herstellerpartnern Unterstützung an. "Um im Ernstfall proaktiv Meldung zu erhalten, ist es zudem wichtig, die eingekauften Produkte stets unter Hersteller-Support zu halten", so Ebner.

Nickenig betont ebenfalls die Bedeutung einer funktionierenden Kommunikationskette - die natürlich nur besteht, wenn dem Sender der Informationen bekannt ist, wer sie empfangen soll: "Generell fungieren wir als Distributor schon als Kommunikationsdrehscheibe zwischen den Herstellern auf der einen und den Resellern mit ihren Endkunden auf der anderen Seite. Wir sind überzeugt, dass sich viele Gefahren sehr schnell beheben lassen, solange der Austausch über die gesamte Supply Chain hinweg zuverlässig funktioniert."

Was man gegen VoIP-Lücken tun kann

Die jüngst bekannt gewordenen Schwachstellen konnten die Hersteller durch Anpassung der Software beheben. Diese Maßnahme muss jedoch auch bekannt gemacht werden. Eno informierte daher seine Händler entsprechend. Zusätzlich empfiehlt Büter: "Da es sich um ein generelles Netzwerk-Sicherheitsthema handelt, sollten beim Anschluss von IP-Endgeräte immer auch die notwendigen Sicherheits-Updates der Endgeräte und des gesamten Netzwerks durchgeführt werden."

Cirosec-Chef Strobel ist da noch vorsichtiger: "Bei Telefonen und anderen IoT-Geräten sollte man davon ausgehen, dass sie Sicherheitslücken oder Hintertüren besitzen. Entsprechend braucht man ein Konzept, wie man die Geräte kontrolliert einsetzen kann, um einerseits die Ausnutzung der Schwachstellen zu erschweren und andererseits den dadurch möglichen Schaden zu begrenzen", rät er.

Von Einzelprojekten zur nachträglichen Absicherung von VoIP rät Strobel ab. Vielmehr sollten Sicherheitsaspekte bereits bei Konzeption, Auswahl und Einführung einer neuen IT-Technik als notwendige und selbstverständliche Bestandteile betrachtet werden. "Auch unabhängig von der VoIP-Frage ist eine übergreifende Sicherheitsstrategie und ein umfassendes Informationssicherheitsmanagement sehr wichtig", betont Strobel.

Bausteine einer sicheren VoIP-Umgebung

"Das Rückgrat jeder VoIP-Security-Architektur ist ein robuster, sicher konfigurierter "Session Border Controller" (SBC). Die Appliances stellen die Integrität der Verbindungen, das "Transcoding" der Protokolle und die Anbindung der remote angebundenen Mitarbeiter sicher und schützen als leistungsstarke Firewall die gesamte Real-Time-Kommunikation", so Nickenig.

Sicherheitsexperte Porada rät, auch bei VoIP-Telefonen zunächst einmal die Hausaufgaben zu machen - angefangen vom umfangreichen Patch-Management (über Microsoft Patches hinaus), Pen-Testing oder Vulnerability-Management bis hin zu Network-Security-Monitoring. Auch eine saubere Netzwerksegmentierung könne das Angriffspotenzial eingrenzen. "Im Kern sollten auch solche Geräte - genauso wie alle anderen Assets in einer Firma - permanent überprüft und gepflegt werden", legt Porada den Nutzern ans Herz.

Für ihn ist Sicherheit ausschließlich ganzheitlich zu betrachten, weil sie immer am schwächsten Glied gemessen werde. "PBX- und VoIP-Bereiche sollten natürlich in einer umfangreichen Sicherheitsstrategie abgedeckt sein. Zur Absicherung sind oft Patches der Hersteller ausreichend, aber nicht immer vorhanden ("end of life"). Zum Überwachen und Monitoren der Sicherheit ist oft der Einsatz komplexerer Lösungen sinnvoll - wie auch bei den anderen Assets in jeder Firma", so Porada.

Ähnliche Empfehlungen gibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es weist darauf hin, dass neben den aus der herkömmlichen Telefonie bekannten Gefährdungen zahlreiche neue Risiken hinzukommen. Schließlich sind bei der IP-Telefonie auch alle aus der IP-Welt bekannten Schwachstellen relevant. Das Abhören von Gesprächen, das Auslesen von Adressbuchdaten, das Stören oder Verhindern von Telefongesprächen, Gebührenbetrug oder das Einschleusen von Sprachdaten in bestehende Gespräche sind mögliche Angriffsszenarien. Als Hauptproblem sieht das BSI, dass die für IP-Telefonie benötigten Komponenten oft auf Standard-Rechner-Architekturen und Standard-Betriebssystemen aufbauen "und so sämtliche Schwächen dieser Systeme mitbringen."

Distributoren wollen Angebot für VoIP-Security ausbauen

Eno berät seine Kunden individuell im Bedarfsfall, welche zusätzliche Sicherheitsmaßnahmen notwendig sind, um die VoIP-Sicherheit zu erhöhen - und will sich in dem Bereich künftig stärker engagieren. "Unser VoIP-Portfolio inklusive VoIP-Security wird permanent ausgebaut, da es die Zukunft der Telefonie ist", versichert Eno-Manager Büter.

"Unsere Channel-Partner sind für das Thema VoIP-Sicherheit von Haus aus sehr gut sensibilisiert", bilanziert Weston-Sprecher Nickenig. Sein Unternehmen sehe sich schon immer in der Verantwortung, Partner bei ihren Projekten explizit auf alle Security- und Compliance-Implikationen hinzuweisen und diese gemeinsam zu adressieren. Zum Beispiel übernehme man im Rahmen der Supply-Chain-Services das Staging: Demnach wird jedes über den Distributor bestellte Endgerät vorab getestet, konfiguriert und mit der aktuellsten Firmware bespielt.

Westcon hat Session Border Controller (SBC) von Avaya, Cisco, Mitel, Audiocodes, Oracle und Ribbon im Portfolio. "Als VAD übernehmen wir auf Wunsch gerne auch die individuelle Konfiguration und Implementierung beim Kunden vor Ort. Für Partner ohne profundes Security-Know-how ist das ein wichtiger Mehrwert", glaubt Nickenig.

Und der VAD will dieses Angebot ausbauen. "Angesichts der zunehmenden Komplexität der Infrastrukturen, der wachsenden Angriffsflächen und des anhaltenden Fachkräftemangels wird das Thema VoIP-Sicherheit in den kommenden Jahren rasant an Bedeutung gewinnen", prognostiziert Nickenig. Mit den Unternehmensbereichen Collaboration, Security und Comstor sowie der Service-Unit sei man dafür hervorragend aufgestellt - und baue sowohl die Professional- als auch die Managed-Service-Palette "kontinuierlich und nachhaltig aus.

VoIP-Sicherheit als Chance für den Fachhandel

So ärgerlich und riskant die nun dokumentierten Sicherheitslücken bei VoIP-Telefonen für Anwenderunternehmen sein mögen - für den Fachhandel bieten sie die Möglichkeit, ein Themenfeld neu anzusprechen, dass zwar schon länger bekannt ist und für das es bereits entsprechende Produkte gibt, das aber oft ein Nischendasein führt.

"Es ist sicherlich ein Vorteil für den Fachhandel, da sich hier neue Umsatzchancen im Bereich Service und Dienstleistungen anbieten. Value Added Reseller haben hier als Service-Dienstleister eine Verantwortung sowie eine Beratungspflicht gegenüber ihren Kunden", stellt Büter fest. Auch Herweck-Manager Walter Sieht die Notwendigkeit zur Absicherung von VoIP-Anlagen für den Fachhandel als "Chance, sich selbst immer wieder beim Kunden vorzustellen, um sich im Rahmen von Wartung oder Expertise ins Spiel zu bringen und als Helfer und Unterstützer darzustellen."

Komsa bietet derzeit Session Border Controler (SBC) von Anynode, Audiocodes, ASC, Beronet, Ferrari und Lancom Systems, sowie Firewalls von Huawei, Lancom, Securepoint und Zyxel an. Doch Vertriebsvorstand Ebner versichert: "Der Bereich SBC- und Firewall-Lösungen wird weiter an Bedeutung gewinnen. Wir überprüfen regelmäßig unser Angebot und werden es bei Bedarf weiter ausbauen."

"Die Vermarktung nahtlos integrierter und zuverlässig geschützter UCC-Komplettlösungen ist für den Channel doch wesentlich attraktiver als die Installation einer simplen Plug-and-Play-Anlage. Dem Channel steht in diesem Umfeld die Möglichkeit zur Vermarktung attraktiver Beratungs-, Implementierungs- und Support-Pakete offen", blickt Nickenig in die Zukunft.

Die sieht der Westcon-Manager auch deshalb positiv, weil Endkunden häufig gar kein Interesse daran haben, eigene Ressourcen für die Absicherung ihrer VoIP-Systeme aufzubauen. "Sie werden daher ein offenes Ohr für Cloud- und Managed-Services-Angebote haben. Mit den richtigen Partnern an ihrer Seite ist das für Systemhäuser eine hervorragende Ausgangsbasis."