Router sind die Schwachstellen

Unternehmen wie QSC bieten jedoch inzwischen komplexe Systeme an, die für eine sichere Kommunikation in und aus dem VoIP-Netz sorgen. Über die sogenannten Session Border Controller wird das interne VoIP-Netz sowohl vom Internet als auch vom internen Datennetz abgeschottet. Diese Session Border Controller übernehmen auch die Aufgabe, Probleme mit Verbindungen in der NAT zu lösen, die im privaten Umfeld sonst mit STUN-Servern umgangen werden.

In Verbindung mit WebRTC gab es jüngst ein Proof-of-Concept, bei dem die private IP-Adresse trotz einer VPN-Verbindung per Javascript ausgelesen werden kann. Letztendlich gilt aber, dass ein Zugriff auf den VoIP-Traffic nur über einen Zugang zum internen Netzwerk erfolgen kann.

In privaten Haushalten werden wohl eher noch analoge Telefone verwendet, die direkt in den Router eingestöpselt werden. Erst dort werden die Spracheingaben codiert und in einen IP-Stream umgewandelt. Damit entfällt hier die Gefahr, dass Angreifer mit einem Zugriff auf das interne Netzwerk Telefonate abhören können. Die Schwachstelle wäre hier ein falsch konfigurierter oder manipulierter Router.

Die Verbindung zwischen Router und dem Provider muss von ebenjenem abgesichert werden. Dafür sorgen laut Vodafone spezielle VPNs, über die die IP-Telefoniedaten geleitet werden. Sie werden nicht über das öffentliche Netz geschickt. Ganz ausschließen will Vodafone einen solchen Angriff nicht. Es sei aber nur mit "großer krimineller Energie und einer erheblichen technischen Ausstattung möglich, Telefonate - egal ob VoIP oder ISDN - abzuhören." Dass IP-Telefonie zu Providern von außen angreifbar sind, hält auch Ebert für kaum möglich.

Verschlüsselung erwünscht

Einige QSC-Kunden hätten sich aber bereits über die Möglichkeit erkundigt, IP-Telefonate zu verschlüsseln. Sein Unternehmen arbeite an einer solchen Lösung. Vodafone biete verschlüsselte IP-Telefonie für seine Geschäftskunden an, ließ uns das Telekommunikationsunternehmen wissen. Und die Telekom will laut einer Mitteilung an Golem.de eine Verschlüsselung auch bei VoIP-Verbindungen umsetzen, einen konkreten Zeitplan wollte uns das Unternehmen nicht nennen. Eine Ende-zu-Ende-Verschlüsselung bei der IP-Telefonie ist aber aktuell kaum möglich. Die bei Vodafone angebotene Verschlüsselung gilt nur innerhalb des eigenen Netzes. Sobald der Anruf zu einem anderen Provider geht, wird sie wieder entschlüsselt. Hier gilt aktuell das gleiche Problem wie beim E-Mail-Versand.

Eine flächendeckende verschlüsselte Telefonie ist sicherlich wünschenswert, zumindest für Benutzer. Ob sie bei der aktuellen Diskussion unter Geheimdienstlern und Strafverfolgungsbehörden ohne Hintertüren durchsetzbar ist, bleibt aber fraglich. Das Berliner Unternehmen GSMK bietet ein umfangreiches Angebot für verschlüsselte Telefonie für Unternehmen an - samt eigener Infrastruktur. Zusammen mit der Telekom hat es auch eine App entwickelt, mit der über das Smartphone verschlüsselt telefoniert werden kann. Auch hier laufen die Daten direkt über über die Telekom-Server.

Alternativ gibt es auch kostenfreie Lösungen wie Redphone. Der Nachteil ist hier, dass meist beide Teilnehmer die gleiche App verwenden müssen. Bleibt festzustellen, dass im Bereich Mobilfunk die Verschlüsselung weiter fortgeschritten ist als bei der herkömmlichen IP-Telefonie.