Bundesamt für Sicherheit in der Informationstechnik

M 2.374 Umfang der Verschlüsselung von VoIP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Gelingt es einem Angreifer, sich an einer geeigneten Stelle Zugang zu einem internen Netz zu verschaffen, kann er die gesamte Netzkommunikation im LAN protokollieren. Falls die VoIP-Nutzlast nicht verschlüsselt ist, kann der Angreifer sämtliche Informationen mitlesen. Beispielsweise kann er durch die Auswertung der Signalisierungsinformationen ermitteln, wer wie lange mit wem telefoniert hat. Allerdings könnte ein Angreifer auch die Nachrichten auswerten, die über das Medientransport-Protokoll ausgetauscht werden und dadurch die Telefongespräche mithören. Daher sollte überlegt werden, dass die VoIP-Nutzdaten verschlüsselt werden. Eine Verschlüsselung müssen aber alle beteiligten TK-Systeme unterstützen.

Bei der Überlegung, ob die Kommunikation über VoIP verschlüsselt werden soll, ist es häufig zweckmäßig, zwischen interner und externer Kommunikation zu unterscheiden.

Für VoIP-Telefonate innerhalb eines LANs kann überlegt werden, ob auf eine Verschlüsselung verzichtet werden kann. Dabei muss sichergestellt werden, dass auf diese Informationen nicht über einen unsicheren Netzbereich, wie einem WLAN, durch einen Außentäter zugegriffen werden kann. Um die internen Gespräche vor dem Zugriff durch Innentätern zu schützen, kann der Einsatz einer Verschlüsselung aber sinnvoll sein. Hierfür ist der Betrieb der VoIP-Endgeräte als VPN-Endpunkte oder die Nutzung eines verschlüsselten Medientransportprotokolls, wie SRTP, denkbar.

Wenn alle eingesetzten VoIP-Geräte verschlüsselte Signalisierungsprotokolle unterstützen, wird empfohlen, diese zu nutzen. Hierdurch wird unter anderem verhindert, dass ein Angreifer Passwörter mitlesen und sich als ein anderer Benutzer beispielsweise am SIP-Registrar anmelden kann.

Verlassen Pakete mit VoIP-Inhalten das gesicherte LAN, müssen sie mit entsprechenden Verfahren geschützt werden. Für den Schutz der VoIP-Kommunikation ist eines oder mehrere der folgenden Verfahren auszuwählen:

  • Nutzung verschlüsselnder Medientransportprotokolle, wie SRTP (Secure Realtime Transport Protocol).
  • Verschlüsselung der Signalisierungsprotokolle, beispielsweise mit TLS (Transport Layer Security)
  • Virtual Private Networks (VPNs):
    Durch den Einsatz von VPN-Gateways können Informationen verschlüsselt zwischen entfernten LANs übertragen werden. Einzelne Geräte können als VPN-Endpunkte betrieben werden. Dies hat den weiteren Vorteil, dass ein Innentäter ebenfalls keinen Zugriff auf die Informationen erhält. Ohne eine direkte Unterstützung von verschlüsselnden Signalisierungs- und Medientransportprotokollen kann auf dieser Weise eine protokollunabhängige Verschlüsselung eingesetzt werden.
    Werden, beispielsweise für eine Kommunikation zwischen verschiedenen Liegenschaften, mehrere VoIP-Vermittlungseinheiten (Middleware) benötigt, sollten diese ebenfalls in einen VPN zusammengefasst werden, wenn keine anderen Verschlüsselungsmechanismen aktiviert werden können. Wird die Verbindung, beispielsweise zwischen mehreren Middleware-Komponenten in unterschiedlichen Liegenschaften, nicht ausreichend geschützt, könnte ein Angreifer unter Umständen alle Gespräche zwischen den Liegenschaften abhören. Wird die Middleware auf einem IT-System betrieben, kann in der Regel eine VoIP-protokollunabhängige VPN-Unterstützung problemlos nachinstalliert werden.
  • Verschlüsselung des Funknetzes:
    Auf ein ungesichertes Funknetz innerhalb einer Institution könnte auch von außerhalb der Liegenschaft auf das Netz zugegriffen werden. Sind die VoIP-Gesprächsteilnehmer über ein WLAN miteinander verbunden, muss ein qualifizierter Schutz für das WLAN, wie WPA2, genutzt werden (siehe hierzu Baustein B 4.6 WLAN ). Da sich diese Verschlüsselung auf das Funknetz beschränkt, ist zu beachten, dass die Informationen im restlichen LAN ungeschützt übertragen werden. Verlassen die VoIP-Informationen nicht über andere Wege das LAN, gelten bei einer qualifizierten Verschlüsselung die gleichen Bedingungen wie bei einer internen Kommunikation, bei der unter Umständen auf eine Verschlüsselung verzichtet werden kann.

Soll ein Gespräch zu einem Telefonteilnehmer über ein öffentliches Telefonnetz aufgebaut werden, kann die Verbindung zwischen dem VoIP-Endgerät und dem Gateway, der zwischen dem IP-Netz und dem öffentlichen leitungsvermittelnden Netz eingesetzt wird, gegebenenfalls mit VPNs oder verschlüsselnden Signalisierung- und Medientransportprotokollen geschützt werden. Da nur sehr wenige Telefone für leitungsvermittelnde Netze Schutzmechanismen bereitstellen und deren Einsatz vom jeweiligen Empfänger abhängig ist, ist eine Verschlüsselung zwischen VoIP-Gateway und dem Gesprächspartner meist nicht realistisch.

Ist eine verschlüsselte Kommunikation, beispielsweise zu externen Gesprächspartnern, nicht möglich, müssen die Benutzer hierüber informiert und sensibilisiert werden. Vertrauliche Gespräche sollten bei einer fehlenden Verschlüsselung nicht über das Telefon geführt werden.

Bei der Beschaffung von VoIP-Komponenten muss darauf geachtet werden, dass diese verschlüsselnde Signalisierungs- und Medientransportprotokolle wie z. B. TLS und SRTP unterstützen (siehe M 2.375 Geeignete Auswahl von VoIP-Systemen ).

Prüffragen:

  • Werden VoIP -Datenpakete, die das gesicherte LAN verlassen, durch geeignete Sicherheitsmechanismen geschützt?

  • Werden VoIP -Verbindungen zwischen Middleware-Komponenten in unterschiedlichen Liegenschaften dem Schutzlevel entsprechend geschützt?

  • Werden Benutzer über Gefährdungen bei der VoIP -Kommunikation informiert und sensibilisiert?

  • VoIP im WLAN : Ist ein qualifizierter Schutz des WLAN gewährleistet?

Stand: 13. EL Stand 2013