Die innovaphone AG warnt vor einer wachsenden Bedrohung durch sog. "Brute-Force-Attacken" auf IP-Telefonanlagen in Deutschland. Seit einigen Monaten häufen sich die Fälle, in denen Hacker mit großer krimineller Energie mithilfe von speziellen Softwareprogrammen Passwörter entschlüsseln, um die Telefonanlage unter ihre Kontrolle zu bringen und zu manipulieren.
Anschließend werden ohne Wissen des Unternehmens kostenpflichtige Mehrwertdienste angewählt. Der Betrug fliegt meist erst mit der nächsten Telefonrechnung auf. In einzelnen Fällen summiert sich der Schaden auf bis zu 10.000 Euro. Nach Einschätzung von Experten der innovaphone AG sind prinzipiell alle auf dem Markt verfügbaren Systeme gefährdet. Ursächlich hierfür sind jedoch nicht etwa Versäumnisse der Hersteller, sondern vielmehr Nachlässigkeiten der Firmen im Umgang mit Passwörtern und Netzwerksicherheits- mechanismen. Die innovaphone-Experten raten den Firmen, sich mit einer durchdachten VoIP-Security-Strategie vor möglichen Angriffen zu schützen.
"Die Sicherheit unserer Kunden hat für uns oberste Priorität", betont Dagmar Geer, Vorstand der innovaphone AG. Wir haben uns deshalb bewusst dazu entschlossen, an die Öffentlichkeit zu gehen." An die Adresse der Anwender gerichtet, warb Geer für eine strikte Security Policy. Hier gebe es noch erheblichen Spielraum für Verbesserungen. "Als Hersteller arbeiten wir ständig an neuen Features, um ein Maxium an Sicherheit gewährleisten zu können. Genauso wichtig ist aber der Umgang mit den Systemen", so Geer. Deshalb räumen wir dem Thema VoIP-Security in unseren Schulungen auch ein ganzes Kapitel ein. Dort zeigen wir unseren Kunden, wie man sich wirksam vor allen erdenklichen Risiken schützen kann."
Die Bedrohung durch kriminelle Hacker ist ernst. Schließlich lösen die IP-Anlagen deutschlandweit die klassische TK-Anlage auf breiter Front ab. Auch kleine und mittelständische Unternehmen investieren zunehmend in solche Systeme, weil sie die Wettbewerbsvorteile erkennen, die sich durch die große Funktionsvielfalt und Kosteneinsparmöglichkeiten der IP-Telefonie ergeben. Doch gerade die KMUs haben häufig kein eigenes IT-Know-how und sind deshalb besonders verwundbar. Das wissen auch Internetkriminelle.
Möglich werden die Angriffe durch spezielle Programme, die mithilfe mathematischer Algorithmen pro Sekunde mehrere Millionen Passwörter testen. Bei sog. "Brute-Force-Attacken" versuchen die Hacker, alle denkbaren Schlüssel erschöpfend durchzuprobieren. Dabei werden die Schlüssel nicht nach dem Zufallsprinzip, sondern nach ihrer Wahrscheinlichkeit getestet. Sobald die Kriminellen das Passwort für die Telefonanlage ermittelt haben, gelingt ihnen der Zugriff. Während die einen dann kostenlos auf Rechnung des Telefonanlagenbesitzers telefonieren, gehen andere Hacker noch einen Schritt weiter. Sie richten im Vorfeld eine teure Hotline ein, die sie dann über die "gehackte"Telefonanlage anwählen, um an den Gebühren auch noch zu verdienen. So fällt schnell eine Telefonrechnung von mehreren Tausend Euro an.
Christoph Künkel, Director Product Management bei innovaphone, warnt: "IP-Telefonieanlagen sind wie alle anderen Appliances im Firmennetz grundsätzlich erst einmal für jedermann erreichbar. Anders als bei anderen Netzwerkkomponenten haben die IT-Verantwortlichen bei IP-Telefonanlagen vielfach noch kein Risikobewusstsein entwickelt und schenken deshalb dem Thema Security oft nicht die Aufmerksamkeit, die es verdient. Leider mehren sich in den letzten Monaten die Fälle, in denen die Firmen für ihre Arglosigkeit bestraft werden. Bitter, denn man kann solchen Angriffen ganz leicht einen Riegel vorschieben. Wir haben deshalb all unsere Kunden offensiv für dieses Thema sensibilisiert."
Das Problem ist also hausgemacht. Während die Unternehmen heute via Firewalls, Virenscanner etc. bereits einen erheblichen Aufwand betreiben, um klassische Netzwerkkomponenten vor unbefugten Zugriffen zu schützen, ist das Sicherheitsbewusstsein bei IP-Telefonanlagen vielfach noch nicht hinreichend ausgeprägt. Dabei kann sich jede Firma ganz leicht gegen derartige Brute-Force-Attacken wappnen. Die innovaphone PBX ist mit einer Fülle von Mechanismen geschützt. Wenn Administratoren und User die gängigen Regeln für die Passwortvergabe und Netzwerksicherheit beherzigen, haben Hacker kaum eine Chance. Wird jedoch bei den Netzwerk-Sicherheitsmechanismen für die Telefonanlage geschlampt, haben Internetkriminelle eine Angriffsfläche. Besonders ärgerlich: Die Täter kommen wie in vielen anderen Fällen der Internetkriminalität aus dem fernen Ausland und entziehen sich so meist dem Zugriff durch staatliche Verfolgung.