Wer eine IP-Telefonanlage betreibt, tut gut daran, die Accounts regelmäßig zu überprüfen. Sonst drohen hohe Schäden. Was Experten von Fraunhofer ESK noch raten.

Über Jahre hat sich ein Hacker immer wieder in die Telefonanlagen verschiedener Firmen eingehackt. So rief er seine eigene 0190-Nummer an und brachte die Firmen um knapp 400.000 Euro - bis die Kripo Nürnberg den Mann aus Norddeutschland festnahm.

Schon nach der Festnahme im Oktober 2002 mahnte die Nürnberger Polizei die Betreiber größerer Firmen-Telefonanlagen: Sie sollten ihre Passwörter regelmäßig ändern und nicht jedem Teilnehmer eine Rufumleitung nach extern gestatten.

Simple Empfehlungen, die allerdings zu selten befolgt zu werden scheinen. Besonders groß sei die Gefahr bei aktuellen IP-Communication-Systemen, warnt jetzt die Fraunhofer Einrichtung für Systeme der Kommunikationstechnik ESK in einem Ratgeber. Er ist frei verfügbar und nennt sich "Bekämpfung des Missbrauchs von IP-Sprachsystemen".

Der "Man in the Middle" hört Geheimnisse mit - Drei Angriffsquellen machen die Autoren aus:

• "Denial of Service (DoS)"-Attacken: Hacker bombadieren die Telefonanlage mit pausenlosen Anfragen und legen sie im Extremfall sogar lahm.
• "Man in the Middle"-Attacken: Eingeklinkt in die Leitung zwischen Unternehmen und Außenwelt können Hacker vertrauliche Informationen aus den Gesprächen abfangen.
• "Abuse"-Attacken: Der Angreifer hebelt die Systemkonfiguration aus, missbraucht die Benutzerkennungen und wählt zum Beispiel kostenpflichtige Nummern an - so geschehen im beschriebenen Fall von "Toll Fraud". Er könnte allerdings auch für Straftaten ins Ausland telefonieren oder Erpresseranrufe tätigen.

Zum Schutz vor derartigen Angriffen empfehlen die Fraunhofer-Autoren fünf zentrale Maßnahmen. Sie betonen allerdings: Die IT-Verantwortlichen sollten eine praktikable Lösung finden, "damit nicht Usability auf Kosten von Security verloren geht". Jeder Unternehmensbereich habe da andere Anforderungen.

Passwörter regelmäßig ändern - Ihre fünf Vorbeugemaßnahmen sind:

1. System-Standard-Passwörter und Standard-Namen sofort ändern, wenn die Anlage in Betrieb geht.

2. Restriktive Vergabe von kostenintensiven Rufberechtigungen - wie etwa für Auslandsgespräche.

3. Minimieren und Absichern der nötigen administrativen Zugriffe von außen - wenn zum Beispiel ein Service-Anbieter die Telefonanlage betreibt.

4. Automatische Beschränkung oder Sperrung durch den Provider bei Überschreitung einer Gebührengrenze.

5. Regelmäßige Überprüfung der eingerichteten Accounts auf Aktualität und regelmäßige Passwortänderung.

Quelle: cio.de