Seit einiger Zeit rumort es besonders in den US-amerikanischen Medien. Gewisse IP-Telefone sollen schwerwiegende Sicherheitsmängel aufweisen. Diese Vorwürfe gaben Anlass zu zahlreichen Diskussionen über den Sicherheitsstandard von IP-Endgeräten. Snom erklärt, worauf es bei der Absicherung von IP-Endgeräten ankommt.
Nicht nur als Spione im Einsatz, sondern auch noch leichte Beute für Cyberkriminelle: IP-Telefone geraten aufgrund von Sicherheitsmängeln immer wieder in den medialen Fokus. Zuletzt berichteten US-Medien über entsprechende Vorwürfe gegen bestimmte Marken mit hohem Marktanteil. Das nährt das Vorurteil, dass IP-Endgeräte durch die Bank unsicher seien.
Doch „in Bezug auf die gebotene Sicherheit kann man IP-Telefone keineswegs über einen Kamm scheren“, erklärt Luca Livraga, Teamleiter des internationalen technischen Supports bei Snom. Die eingebauten Absicherungsmechanismen unterscheiden sich mittlerweile unter den einzelnen Marken sehr, was nicht nur mit der technischen Umsetzung zusammenhängt.
Andere Länder, andere Sitten
Die in Europa geltenden Datenschutzrichtlinien sind aktuell weltweit die strengsten. Manche Praktiken, die sich anderswo eingebürgert haben, gelten in Europa als gravierende Sicherheitsverstöße. Beispiele hierfür sind der Verkauf von Nutzungsdaten an Dritte und der für Regierungsämter automatisch freigegebene Zugang zu Daten und Informationen.
Europäische Hersteller und Regierungen halten sich eisern an europäische Vorgaben: Niemand darf ohne vorherige gerichtliche Verfügung oder Genehmigung durch diverse Ausschüsse auch nur ein Telefon abhören oder auf Nutzungsdaten zugreifen. Das gilt auch für Regierungen.
„Das Einzige, was zum Beispiel bei Snom-Telefonen definitiv übermittelt wird, sind die weltweit vereinbarten Daten zur Rückverfolgung eines sogenannten beim Notrufdienst eingehenden ‚Röchelrufs‘, also wenn ein Hilfesuchender seinen Standort nicht mitteilen kann. Hier kann ausschließlich zur Erbringung der Notdienste von dazu legitimierten Stellen die IP-Adresse des Telefons bis zu seinem Standort zurückverfolgt werden“, erläutert Livraga.
Die Vorstellung, Gesprächsdaten oder sogar ganze Gespräche an Dritte wie etwa Onlinehändler weiterzugeben, ist demnach befremdlich. Selbst der (Fern-)Zugriff auf die Telefone durch den Kundendienst bzw. den Fachhändler des Vertrauens zu Wartungszwecken unterliegt dem Datenschutz.
Dabei können Einstellungen wie Namen, Uhrzeiten oder Rufgruppen nach vorheriger Freigabe und Zustimmung angepasst und geändert werden. Folglich ist der Fachhändler gesetzlich verpflichtet, jedwede persönliche Information des Nutzers zu anonymisieren. Bei Snom achtet man sogar darauf, im Reparaturfall die persönlichen Daten auf eingesendeten Telefonen zu löschen, um jeden möglichen Missbrauch zu vermeiden.
Auch das Tracking der Verbindungsdaten eines oder mehrerer Gespräche zwecks Fehlersuche/-behebung über die Firmware der Telefone erfolgt stets nur mit der Freigabe durch das Gegenüber – und die dabei mitgeschnittenen technischen Daten sind mit Ausnahme des Support-Mitarbeiters für niemanden von Wert.
Schnittstellen zur Speicherung von Nutzungsdaten auf dem Anwender-PC bzw. für deren komplette Übermittlung an Dritte sind auf Snom-Telefonen beispielsweise gar nicht vorhanden.
Das IP-Telefon: Wie sicher ist es?
Zusätzlich zum gesetzlich vorgeschriebenen Mindestmaß an Sicherheit gibt es Hersteller, die mehrere Absicherungsmechanismen in die Telefone einbauen: Livraga erklärt anhand von zwei Beispielen, worauf es beim Schutz des Gesprächsverlaufs und Informationsaustauschs zwischen Telefon und Telefonzentrale ankommt.
- Zertifikate und Identifizierung des Telefons
Der Verbindungsaufbau zwischen Telefon und Telefonzentrale erfolgt bei Snom über https und setzt von Haus aus den Austausch von Zertifikaten voraus. Die Telefonzentrale überprüft die Richtigkeit und Gültigkeit des Zertifikats, bevor die Anfrage akzeptiert wird. „Man könnte dies mit einem Identifizierungsverfahren mittels Vorlage des persönlichen Ausweises des Telefons vergleichen“, erklärt Livraga.
Jedes einzelne Snom-Gerät ist mit einem eindeutigen, mit der MAC-Adresse verknüpften Zertifikat versehen. Wenn also jemand eine Kopie des Zertifikats anfertigt und sie mit einem anderen Gerät nutzt, lehnt der Server das Zertifikat ab, da es nicht mit der spezifischen MAC-Adresse des Endgeräts verknüpft werden kann. Weitere Merkmale des Snom-Zertifikats verhindern darüber hinaus, dass es trotz Manipulation der MAC-Adresse als gültig anerkannt wird.
Es bleibt also nur der Diebstahl des Telefons als Umgehungsmöglichkeit übrig. Doch „dieser Weg ist sehr umständlich, und genau darin liegt das Konzept der IT-Sicherheit: den Prozess so zu verkomplizieren, dass er unmöglich wird“, fügt Livraga hinzu.
Mit SRAPS fügt Snom des Weiteren eine zusätzliche Hürde hinzu. Der SRAPS-Server ist in Deutschland, also dem Staat mit den derzeit strengsten Auflagen im Bereich Datenschutz, angesiedelt und agiert als „Bürgeramt“, also als Snoms oberste Zertifizierungsautorität und Zertifikaten-Archiv. Alle Snom-Telefone sind damit verbunden, Manipulationen lassen sich im Nu erkennen.
- Randomisierter RTP-Port
Dies ist eine erste Stufe der Sicherheit. Eine weitere Sicherheitsmaßnahme gegen das Mitschneiden von Telefonaten besteht in der Randomisierung der Eingangs- und Ausgangs-Ports für den RTP-Datenfluss. Die Zentrale und das Telefon kommunizieren miteinander über Zertifikate, doch das Telefon entscheidet eigenständig bei jedem Gespräch, welcher Port für das aktuelle Telefonat genutzt wird.
Dies erfolgt automatisch und zwingt potenzielle Angreifer dazu, eine Reihe von Scans durchzuführen, um den für das jetzt laufende Gespräch genutzten Port zu identifizieren. Hier kommen Netzwerk-Firewalls ins Spiel: Durch die abnormalen Scans erkennen sie schnell, dass ein Angriffsversuch im Gange ist.
Sicherheit: Auch der Nutzer ist gefragt
„Sofern man sich an unsere Vorgaben bezüglich des Einsatzes von https und sicherer Passwörter sowie der Durchführung aller Updates hält, ist man auf der sicheren Seite. Doch wichtig in diesem Zusammenhang ist auch die Wahl einer Telefonanlage, die die gleichen Schwerpunkte setzt“, bestätigt Livraga. „Andernfalls hat man zwar das Auto abgeschlossen, aber das Verdeck offen gelassen!“