IT-BUSINESS Aktion:

#ITfightsCorona

Sicherheit in der Telefonie

Telefon-Spionage 4.0

| Autor: Ann-Marie Struck

Telefonanleitungen manuell anzapfen ist im digitalen Zeitalter vorbei.
Telefonanleitungen manuell anzapfen ist im digitalen Zeitalter vorbei. (Bild: Vadym - stock.adobe.com)

Vertrauliche Telefonate mithören geht heutzutage aufgrund der technischen Möglichkeiten leichter als gedacht. Bei Sicherheitslücken in Internet-Telefonen können Angreifer nicht nur Gespräche abhören, sondern auch auf Adressbücher zugreifen. Sicherheitsmaßnahmen in der Telefonie können Spionen das Leben schwer machen.

Abhörwanzen in Telefonanlagen, Leitungen anzapfen oder Funkfrequenzen mit Radioempfängern suchen: Telefonie-Spionage im 21. Jahrhundert sieht anders aus. Denn mit der ISDN-Abschaltung und der daraus resultierenden IP-sierung des ­Telefonnetzes wird nun hauptsächlich über das Internet telefoniert. Und neben Telefonaten stellt der IP-Anschluss gleichzeitig auch E-Mails zu und ermöglicht das Surfen online. Das Zusammenlegen von Telefon- und Datennetzen verspricht auf den ersten Blick große Vorteile, wie geringere Kosten bei der Anschaffung und Inbetriebnahme der Telefone. Jedoch gibt es neben den aus der Telefonie bekannten Gefährdungen auch neue Risiken. Schließlich kommen die ­Gefahren des Internets hinzu.

Ein mögliches Angriffsszenario ist neben dem Abhören von Gesprächen das Auslesen von Adressbuchdaten. Hauptproblem ist, dass die für IP-Telefonie benötigten Komponenten (Softphones, IP-Telefone, VoIP-Server usw.) oft auf Standard-­Rechnerarchitekturen und -Betriebssystemen aufbauen und damit auch die Schwächen dieser Systeme mitbringen.

Schwachstelle in der Telefonie

Anfang des Jahres hat das IT-Security-­Unternehmen Vtrust Sicherheitslücken im Autoprovisionierungsverfahren des VoIP-Telefonherstellers Yealink aufgedeckt. Die Lücken sollen alle Telefone des Anbieters betroffen haben, da das Verfahren überall gleich ist. Die Autoprovisionierung ist eine Methode, ein oder mehrere IP-Telefone in einer VoIP-Telefonanlage einzurichten und zu konfigurieren. Grundlegende Daten, wie beispielsweise die MAC-Adresse des ­Telefons sowie die Durchwahl und Anruferkennung, können für die Autoprovisionierung in die TK-Anlage eingebettet werden. Das Telefon bezieht die benötigten Informationen dann über das Netzwerk und muss nicht mehr manuell konfiguriert werden.

Ralf Mödder, Leiter Technik bei Fonial, ­erklärt die Sicherheitslücke von Yealink konkreter: „Der Yealink-Provisioning-Prozess bezieht sich auf den sogenannten ­Redirection-Dienst (RPS) des Herstellers. Unkonfigurierte Telefone greifen zunächst auf den oben genannten Dienst von Yealink zu und erhalten von dort die für das Telefon ­individualisierte Provisionierungs-URL des jeweiligen Dienst-Anbieters. In diesem Dienst existierte eine Schwachstelle, die ­einen unauthentifizierten Zugriff ermöglichte.“ Angreifer konnten folglich Provisionierungs-URLs abfragen, ohne sich als ­Yealink-Anwender zu identifizieren.

Die Schwachstelle wurde laut Yealink mittlerweile behoben. Die IP-Telefone sind ­allerdings auch bei Cloud-PBX-Anbietern im Einsatz. Nutzen diese das Autoprovisionierungsverfahren des Herstellers, könnten auch deren Kunden in Gefahr sein. Denn die Auswirkungen solcher Lücken sind sowohl für die IT-Sicherheit als auch den Datenschutz gravierend. Der Angreifer kann zwar nicht direkt auf die Telefone zugreifen, aber auf die VoIP-Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere anwenderspezifische Daten. So ist nicht nur der Rufnummernmissbrauch mit daraus resultierenden hohen Rechnungen oder Betrugsanrufen, sondern potenziell auch Wirtschaftsspionage möglich.

Zwei-Faktor-Authentifizierung

Der Cloud-PBX-Anbieter Nfon hat auf den Sicherheitsvorfall schnell reagiert und ­daraufhin die Zwei-Faktor-Authentifizierung (2FA) zum Schutz der Endgeräte eingeführt. Bei der Inbetriebnahme neuer ­Telefone ist eine einmalige Eingabe einer Phone Authentication PIN (PAP) notwendig. Der Cloudtelefonie-Anbieter Reventix arbeitet nach eigenen Angaben schon seit 2010 mit der 2FA. Mit der Einführung der automatischen Konfiguration von Telefonen kam gleichzeitig auch die 2FA. „Das war für uns ein logischer Schritt“, berichtet Bastian Schern, Geschäftsführer von ­Reventix. „Sicher ist die 2FA für Kunden immer etwas lästig und bedeutet eine ­zusätzliche Hürde, aber nur so lassen sich Kundendaten zuverlässig schützen.“ Insofern Banken beim Online-Banking ­dieses Verfahren nutzen, ist es für die meisten Kunden nichts Neues.

Zudem hat Reventix weitere Sicherheitsmechanismen in den Prozess eingebaut. Zum Beispiel ist die Zahl der Wiederholungen bei den Authentifizierungs-Code-Eingaben begrenzt. Hacker können damit nicht willkürlich viele Codes eingeben.

Des Weiteren wird die gesamte Konfiguration über einen eigenen, speziellen Server abgewickelt. Dadurch sollen Dritte zu keiner Zeit Daten erhalten. Außerdem ­erfolgt die Übermittlung der Daten SSL-verschlüsselt.

Verschlüsselte Telefonate

Andere TK-Anbieter waren von der Sicherheitslücke nicht betroffen, weil sie ein ­eigenes, zum Teil verschlüsseltes Autoprovisionierungs-Tool verwenden. Der Telekommunikationsanbieter Fonial verwendet beispielsweise ein internes Provisionierungssystem. Bei der Inbetriebnahme der einzelnen Telefone werden diese per Client-Authentifizierung nochmal geprüft. Das gewährleistet, dass nur berechtigte ­Clients eine Provisionierungsanfrage stellen können. „Des Weiteren betreiben wir ein mehrschichtiges Überwachungs- und Fraud-Prevention-System, welches sowohl die Abfragen auf die Provisionierungssysteme überwacht als auch das Telefonieverhalten fortwährend auf Auffälligkeiten prüft. Bei Abweichungen von der üblichen Norm werden betreffende IP-Adressen beziehungsweise Telefone automatisiert gesperrt und gemeldet“, erklärt Mödder.

Ein weiterer Anbieter für IP-Telefonie ist Pascom. „Wir provisionieren über unser eigenes ­System, welches ein Pairing des Telefons mit dem Server per verschlüsselter URL erfordert“, erläutert Chief Executive Officer Mathias Pasquay. Darüber ­hinaus erlaubt die Anlage ausschließlich über TLS oder SRTP verschlüsselte Telefonate.

Mobile Phishing – Gefahr für Nutzer und Unternehmen

Smartphones als Gefahrenquelle Nummer 1

Mobile Phishing – Gefahr für Nutzer und Unternehmen

20.09.19 - In Zeiten allgegenwärtiger und alleskönnender Smartphones haben sich Phishing-Angriffe längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten. Höchste Zeit, die Gefahren erst zu nehmen! lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46394088 / Mobility)