Telefonieren über das Netz im Visier der Hacker Interview mit dem Symantec-Sicherheitsexperten Vincent Weafer Telefonieren über das Internet, auch als Voice-Over-IP (VoIP) bekannt, erfreut sich immer größerer Beliebtheit: Im Vergleich zum herkömmlichen Telefonieren sind die Kosten bei Ferngesprächen niedriger, und man ist immer unter der gleichen Nummer erreichbar, egal an welchem Ort man sich befindet. Leider birgt VoIP auch einige Risiken in sich. Fragen dazu an Vincent Weafer, Experte im Symantec Virenforschungszentrum, nach seiner Einschätzung: Herr Weafer, benutzen Sie selbst Voice-over-IP? Vincent Weafer: Ja, sehr oft. Das Telefonieren übers Internet bietet viele Vorteile. Aufgrund meines Jobs bei Symantec bin ich viel unterwegs und nutze VoIP, wo es geht. So sind Ferngespräche zum Beispiel deutlich günstiger als über Festnetzanschlüsse oder gar das Handy. Trotzdem bin ich auf Reisen weltweit immer unter der gleichen Telefonnummer für Familie und Freunde erreichbar.
Warum ist VoIP zu einem interessanten Ziel für Hacker geworden? Vincent Weafer: Sprachkommunikation war schon immer ein beliebtes Ziel für die Hacker-Gemeinde. Bereits 1970 entwickelte John Draper, besser bekannt als »Captain Crunch«, die »Blue Box« - ein Gerät, um in Telefonsysteme einzudringen. Heute entstehen durch die Verbindung von Telefon und Internet zusätzliche Sicherheitsrisiken. Hackern stehen nun beide Wege offen, um Schwachstellen für ihre Attacken auszunutzen. Traditionelle Sicherheitsrisiken aus dem Internet, wie beispielsweise Viren, sind nun auch in der Sprachkommunikation zu finden. Zusätzlich gibt es neue Protokolle, die das Telefonieren über das Internet unterstützen, aber gleichzeitig Schwachstellen bieten. Hacker werden deshalb die bekannten Möglichkeiten für ihre Attacken ausschöpfen, aber auch die zusätzlichen Protokolle für ihre Zwecke nutzen.
Was sind die konkreten Gefahren für den Nutzer? Vincent Weafer: VoIP ist grundsätzlich den gleichen digitalen Risiken ausgesetzt wie zum Beispiel ein E-Mail-Service. Im Gegensatz zur traditionellen Telefonie hat es der Nutzer auch hier mit Viren, Würmern oder Trojanern zu tun. Die aktuellen VoIP-Systeme sind auch noch nicht in der Lage Integrität und Geheimhaltung zu gewährleisten. Voice-over-IP verwandelt Sprachsignale in Datenpakete, die über das Internet verschickt werden. Das bringt die Gefahr mit sich, dass diese Pakete abgehört, entwendet oder manipuliert werden. Hacker könnten zudem Zugang zum Computer des Nutzers erlangen und dort persönliche Daten ausspionieren, auf den Rechner Einfluss nehmen oder auf Kosten des ahnungslosen VoIP-Anwenders telefonieren.
Werden diese Risiken zunehmen? Vincent Weafer: Wir stehen bei VoIP erst am Anfang einer Entwicklung. Der Service ist relativ neu, liegt aber absolut im Trend. Laut dem Marktforschungsinstitut IDC wird die Zahl der VoIP-Teilnehmer in den nächsten vier Jahren auf 27 Millionen steigen - und das nur in den USA. Ist die Internettelefonie erst einmal weiter verbreitet, werden die Risiken zunehmen. Darum ist damit zu rechnen, dass VoIP verstärkt zum interessanten Ziel für Hacker wird.
Müssen wir in Zukunft auch Spam-Mails übers Telefon befürchten? Vincent Weafer: Spam für die Internettelefonie gibt es bereits und wird SPIT genannt. Im Vergleich zu Spam werden bei SPIT Sprach- statt Datenpakete über das Internet verbreitet. Statt per E-Mail erhält der Anwender dann plötzlich reizvolle Angebote per Anruf. Auch hier gilt, dass mit stärkerer Verbreitung der Technologie die Belästigung durch SPIT sicher zunehmen wird.
Wie kann ich mich vor diesen Gefahren schützen? Vincent Weafer: Beim Internettelefonieren helfen die gleichen Schutzmaßnahmen wie bei anderen Online-Anwendungen. Gegen Bedrohungen aus dem Cyberspace hilft eine Kombination aus mehreren Sicherheitsprogrammen. Wer einen Virenscanner, eine Firewall und eine Einbruchsblockierung (Intrusion Prevention) installiert, ist auf der sicheren Seite. Zusätzlich sollte aber darauf geachtet werden, dass die Programme immer auf dem neuesten Stand sind.
Gibt es weitere Maßnahmen, die ich ergreifen sollte? Vincent Weafer: Ganz sicher gehen Anwender, wenn sie neben dem Basisschutz, den jeder PC besitzen sollte, eine Datenverschlüsselung mit hohem Standard wie IPSec einsetzen.
Drucken