7. August 2008 - SPAM bei Internettelefonie

Mit SPIT kommt SPAM über das Telefon

Internettelefonie gewinnt zunehmend an Bedeutung. Die Kostenersparnisse im Vergleich zur Festnetztelefonie lassen die Nutzerzahlen stetig steigen. Inzwischen telefoniert bereits jeder achte Deutsche über das Internet. Auch Spammer könnten die Vorteile von VoIP für sich erkennen und automatische Werbeanrufe starten. Die Gefahr von SPIT (Spam over Internet Telephony) könnte schnell Realität werden. Bereiten Sie sich deshalb auf SPIT und die möglichen Angriffe auf digitale Telefonbücher und Verzeichnisse vor.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

In der Vergangenheit haben Sie sich als Datenschutzbeauftragter ohne Zweifel mit den Risiken aus dem Internet bei E-Mail- und Webnutzung befasst. Doch das Internet bietet weitaus mehr Möglichkeiten, als elektronische Nachrichten zu übertragen und Inhalte aus dem WWW (World Wide Web) im Browser darzustellen. Besonders beliebt ist die Telefonie über das Internet, auch Voice-over-IP (VoIP) genannt, da sie zu deutlichen Kostenvorteilen im Vergleich zur Festnetztelefonie führen kann.

Mit geringem technischen Aufwand können Sie Ihre bereits vorhandenen Festnetztelefone auch für die Internettelefonie nutzen. Dadurch kann leicht der Anschein entstehen, dass das Telefonieren über das Internet keine anderen Gefahren in sich birgt als die herkömmliche Telefonie. Leider stimmt dies so nicht. Generell müssen Sie immer mit den Gefahren des Internets rechnen, sobald Sie dieses Netz nutzen.

Nach Spam-Mails kommen die Spam-Anrufe

Unerwünschte Nachrichten (SPAM) machen im E-Mail-Bereich nach aktuellen Untersuchungen zwischen 80 und 95 Prozent aller versandten Internet-Mails aus. Spam-Mails sind nicht nur lästig, blockieren Mailserver und hemmen die Produktivität der Mitarbeiterinnen und Mitarbeiter, sie können durchaus eine Gefahr für die Datensicherheit darstellen.

So können Spam-Mails auch dazu dienen, unvorsichtige Empfänger auf Malware-verseuchte Webseiten zu locken oder einen Phishing-Angriff vorbereiten, um an die Zugangsdaten für geschlossene Internetbereiche zu kommen, darunter Online-Banking, Webshop-Konten oder Firmenzugänge.

Spammer bedienen sich des Internetdienstes E-Mail, da dieser kostengünstig, weit verbreitet und automatisiert nutzbar ist. Diese Eigenschaften treffen jedoch auch auf VoIP zu. Kein Wunder also, dass Datenschützer vor den Risiken des Telefon-SPAMs, auch SPIT (Spam over Internet Telephony) genannt, warnen. Auch wenn verschiedene VoIP-Anbieter darauf hinweisen, dass bislang SPIT in Deutschland nicht beobachtet wurde, sollten sich VoIP-Nutzer rechtzeitig über die Abwehrmöglichkeiten informieren.

Abwehr von Spam-Anrufen komplexer als bei E-Mail

Spam-Mails lassen sich durch den E-Mail-Nutzer mit speziellen Filtern zum großen Teil abwehren. Dazu nutzen die Filter unter anderem die Suche nach bestimmten Stichwörtern in den eingehenden E-Mails, die den Verdacht bestärken, es handele sich um Spam. Bei unerwünschten Anrufen hingegen ist diese Filterung weder technisch möglich noch rechtlich unbedenklich.

Der Inhalt eines Anrufs erschließt sich erst, wenn der Angerufene das Gespräch annimmt. Ob es sich dann um einen unerwünschten Werbeanruf handelt, der automatisiert von einem SPIT-Server übertragen wird, oder ob es sich um einen echten Anruf für den VoIP-Nutzer handelt, könnte man also höchstens an der Anruferkennung ablesen.

Anruferkennung könnte gefälscht sein

Verschiedene VoIP-Anbieter erklären, dass sich im Gegensatz zu E-Mails bei der Internettelefonie immer der Absender, also der Anrufer, genau ermitteln lässt. Das mag für die jeweils eigene Nutzergruppe des Anbieters zutreffen, für die weltweiten VoIP-Teilnehmer dagegen nicht.

Ähnlich wie eine E-Mail-Adresse ohne großen Aufwand gefälscht werden kann, ist dies auch bei Internettelefonaten möglich. Damit wird das folgende Szenario denkbar, dass den Phishing-Attacken per E-Mail ähnelt.

Sie könnten in Zukunft einen vorgetäuschten Anruf einer Institution erhalten, bei der Sie Zugangsdaten für telefonische Transfers nutzen. Das bekannteste Beispiel ist das Telefon-Banking. Wenn Sie nach Prüfung der perfekt gefälschten Anruferkennung Ihre Zugangsdaten per Telefonmenü eingeben, könnte bereits der Passwortdiebstahl erfolgt sein.

Datenklau aus Telefonbüchern denkbar

Ebenso könnten VoIP-Hacker Zugriff auf Ihr persönliches digitales Telefonbuch erlangen, die dort enthaltenen Daten zu SPAM-Zwecken missbrauchen, oder Sie unter der Anruferkennung eines Geschäftspartners kontaktieren, um Geheimnisse auszuspionieren (Social Engineering per Telefon).

Hier könnte also das Fernmeldegeheimnis in Gefahr geraten. Auch wenn die Spam-Filter für VoIP erst entwickelt werden und damit den Filtermöglichkeiten bei Spam-Mails noch weit unterlegen sind, müssen Sie sich nicht völlig schutzlos lästigen oder gefährlichen SPIT-Anrufen aussetzen.

Nutzen Sie die bestehenden Schutzmöglichkeiten gegen SPIT

  • Da sich die Erkennung von SPIT nicht auf den Inhalt, sondern nur auf die Anruferkennung beziehen kann, eignen sich Black-Lists, also Sperrlisten mit den Kennungen der SPIT-Anrufer. Solche Black-Lists können Sie selbst in Ihrer VoIP-Telefonanlage einrichten. Zudem arbeiten verschiedene VoIP-Anbieter an entsprechenden Listen, auch wenn dies noch am Anfang steht. Allerdings müssen die entsprechenden Kennungen dafür bereits auffällig geworden sein.
  • Eine andere Möglichkeit ist die Einrichtung eines geschlossenen Nutzerkreises (White-Lists). Dazu definieren Sie in Ihrer Internettelefonanlage die Anruferkennungen, die zu Ihnen durchgestellt werden dürfen. Alle anderen werden blockiert. Diese Variante hat jedoch deutliche Schwächen:
    • Sie können keine Anrufe über VoIP von neuen, noch nicht registrierten Geschäftspartnern bekommen.
    • Wird die Anruferkennung eines Bekannten (zum Beispiel nach Diebstahl Ihrer unverschlüsselten Telefonbuchdaten über das Internet) vorgetäuscht, versagt auch dieser restriktive Mechanismus.
  • Ähnlich wie bei der Befüllung von Internetformularen könnte eine Art CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) Mensch und Maschine unter den Anrufern unterscheiden. Anstatt wie bei Web-Formularen üblich ein kompliziertes Bild interpretieren zu lassen, könnte eine Ansage dazu auffordern, einen bestimmten Code einzugeben. Solange die anrufende Maschine diesen Befehl nicht umsetzen kann, wird der unerwünschte Anruf auch nicht durchgestellt. Solche Funktionen sind jedoch bislang nicht im Standardumfang bei VoIP
  • Das Fraunhofer-Institut für Sichere Informationstechnologie SIT hat ein Testprogramm entwickelt, das SPIT-Anrufe simuliert und die Anfälligkeit der VoIP-Anlage überprüfen kann. Damit sollen VoIP-Anbieter unterstützt werden, ihre Systeme besser gegen SPIT zu schützen. Die ersten verwundbaren Systeme wurden durch die Forscher bereits damit identifiziert.

Somit sind gerade auch die Anbieter im Bereich Internettelefonie gefordert, die SPIT-Thematik gezielt anzugehen, um die Anwender in Zukunft besser schützen zu können.

Auf Anwenderseite sollten Sie insbesondere
  • die VoIP-Nutzer im Unternehmen auf die SPIT-Gefahr hinweisen
  • die Sicherheit der VoIP-Anlage hinterfragen
  • die Verschlüsselung der von der Anlage vorgehaltenen Daten überprüfen
  • den VoIP-Anbieter nach entsprechenden Schutzmaßnahmen wie Black-Lists befragen

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln