Sicherheitslücken bei neuer Internet-Telefonie Droht im deutschen Festnetz ein großer Lauschangriff?
Das alte Festnetz wird abgelöst: Mehr als 13 Millionen Anschlüsse in Deutschland funktionieren bereits mit der neuen Technik der Internet-Telefonie. Und auch tausende Kunden der Telekom werden derzeit in die Umstellung auf das sogenannte "VoiceOver IP" gedrängt. Doch die neue Technologie ist nicht so sicher, denn die Gespräche laufen ohne Standard-Verschlüsselung durchs Netz und können mit einfachen Programmen problemlos abgehört werden. Behörden und Geheimdienste scheinen das noch zu befördern. Datenschützer zeigen sich angesichts der report-Recherchen entsetzt.
report in Kooperation mit der Wochenzeitung Die Zeit.
„Mein Name ist Kucher…“
Hannelore Kucher streitet sich mit ihrem Telekommunikationsanbieter. Wochenlang. Denn der will ihr eine neue Technologie installieren: VoiceOver-IP. Telefonieren übers Internet. Das habe nur Vorteile für sie… Doch das will sie nicht:
Hannelore Kucher: „Ich muss nicht über den Computer telefonieren und über den Computer Fernsehen schauen. Das sind alles Sachen, die wir nicht brauchen.“
Noch wehrt sich Frau Kucher, aber irgendwann wird auch sie umstellen müssen. Denn die alte Technik, wie ISDN, wird abgelöst, von der Voice Over-IP-Telefonie. Das ist für die Unternehmen günstiger. Das Telefongespräch läuft jetzt durchs Netz. Allein in Deutschland gibt es schon mehr als 13 Millionen Anschlüsse. Doch ist diese Technik sicher?
Hamburg. Hier sitzt Michael Foth, ein Computerforensiker. Gleich wird er sich in ein Festnetztelefonat hacken - ein „Man in the Middle“ Angriff. Dazu muss er keine einzige Leitung anzapfen. Alles was er braucht, ist ein Computerprogramm und eine IP-Adresse - eine Art Spur, die man schnell im Netz hinterlässt. Per Mausklick gibt Foth verschiedenen Telefonen den Befehl, ihre Signale zuerst über seinen Computer zu schicken.
Michael Foth, Computerforensiker:„Das Opfer, das Telefon und der Empfänger, merkt davon gar nichts, dass sein ganzer Verkehr auch durch mein Gerät mitgeht und wenn dieser Verkehr unverschlüsselt ist, kann ich alles im Klartext mitlesen.“
Als Simulation rufen wir von einem Festnetztelefon eine Ärztin an. Nur ein Test, aber auch hier wären die Informationen vertraulich.
report München:„Ich grüße Sie, ich würde gerne einen Termin bei Ihnen ausmachen weil ich…“
Sobald gesprochen wird, rattern neue Daten über Foths PC und müssen nur noch zusammengesetzt werden:
Michael Foth, Computerforensiker:„Ich kann mir beide jetzt hier anhören und das ganze macht Spaß, denn das eine kommt durch den linken, das andere durch den rechten Lautsprecher, dann sagen wir Wiedergabe… „Praxis Dr. Foth, Sie sprechen mit…“ Und jetzt hören wir auch, was die Sprechstundenhilfe gesprochen hat, was wir eben nicht gehört haben.“
Das Ergebnis: ein kompletter Mitschnitt.
Wir zeigen unsere Abhör- Simulation Thilo Weichert, dem Datenschutzbeauftragten von Schleswig-Holstein.
Thilo Weichert, Datenschutzbeauftragter Schleswig-Holstein: „Insbesondere wenn man dann mit einem Arzt spricht oder eine andere vertrauliche Kommunikation über das Telefon ausüben möchte, das ist hochproblematisch.“
Doch warum geht Abhören so leicht? Das Telefonieren übers Internet, IP-Telefonie, könnte eigentlich komplett sicher sein, abhörsicher. Dafür müsste man die Kommunikation verschlüsseln – am besten direkt bei den beiden Gesprächspartnern: eine Ende zu Ende-Verschlüsselung. Technisch ist das möglich. Auf die Frage nach einer Standardverschlüsselung antwortet die Deutsche Telekom
„dass perspektivisch Inhalte Ende zu Ende verschlüsselt werden sollen“
Und Vodafone räumt ein: „Durch eine verschlüsselte Kommunikation lässt sich die Sicherheit zusätzlich erhöhen.“
Doch warum wurde es dann bisher nicht gemacht?
Thilo Weichert, Datenschutzbeauftragter Schleswig-Holstein: „Ein Grund sind ganz offensichtlich die Sicherheitsbehörden, Polizei, Staatsanwaltschaften, Geheimdienste wollen natürlich zumindest im Bedarfsfall auch mithören und bei der Ende zu Ende-Verschlüsselung ist es unmöglich oder sehr, sehr schwierig. Die NSA zeigt, dass selbst sie es oft nicht schafft, eine solche Verschlüsselung zu knacken. Die wollen mithören und versuchen zu verhindern, dass eine starke Verschlüsselung in der Telekommunikation praktiziert wird.“
Verhindern Behörden und Geheimdienste also bewusst, dass VoIP-Telefonie verschlüsselt wird? Wir gehen dem Verdacht nach. Im Büro der Internetplattform von Netzpolitik hat man über Jahre die Geheimdienstaktivitäten bei der Internetüberwachung beobachtet.
Markus Beckedahl, Netzpolitik.org:„Wir wissen, dass dort immer der britische Geheimdienst, aber auch der deutsche Geheimdienst mit am Tisch sitzen, teilweise 10 Jahre bevor so eine Telekommunikation-Technologie ausgerollt wird, und sich mit den Telekommunikationsunternehmen Gedanken machen, wie denn die passenden Überwachungsschnittstellen in die Standardisierung eingebaut werden können. “
Kann das sein? Sitzen internationale Geheimdienste gemeinsam am Tisch und versuchen Standards schon frühzeitig zu beeinflussen, auch in Deutschland? Wir bekommen Dokumente zugespielt, einige sind streng vertraulich.
Es sind Papiere des Europäischen Instituts für Telekommunikationsstandards, ETSI, das in Europa wichtigste Gremium zur Festlegung von technischen Standards. Die Geheimdienste trafen sich demnach schon 2004 mit Unternehmen. In der Teilnehmerlistedabei: der National Technical Assistance, er gehört zum britischen GCHQ, der kanadische Geheimdienst, das deutsche Bundesamt für Verfassungsschutz und das amerikanische FBI. Der Grund des Treffens: die „Entwicklung von VoIP LI“. LI, das steht für „Lawful Interception“, also das „gesetzliche Überwachen“ von Internet-Telefonie wurde hier verhandelt.
Dass es keine Standardverschlüsselung gibt, führt zu Problemen - was man uns hier am Institut für Internet-Sicherheit an der Hochschule in Gelsenkirchen zeigt. Das System ist längst Ziel von Hackern, allein das Voice-over-IP-System ihrer Hochschule wird aus aller Welt attackiert:
Bartholomäus Jan Tyka , Westfälische Hochschule: „Wir werden ständig angegriffen, also eigentlich im Minutentakt, wir haben hier permanente Ausschläge, einmal Warning und Security, das sieht man auf unserem Monitor genau, dass Angriffsversuche gestartet werden…“
Prof. Norbert Pohlmann, Westfälische Hochschule: „Also einerseits greifen natürlich Kriminelle an und Kriminelle haben immer das Ziel, dass sie damit Geld verdienen. Eine andere Gruppe sind die Spione, und die würden dann versuchen hier Know-how abzugreifen, ob hier irgendwas zu holen ist, ob hier irgendwelche Informationen ausgetauscht werden über das Telefon.“
Angriffe und Abhörstandards. Datenschützer sind alarmiert.
Thilo Weichert, Datenschutzbeauftragter Schleswig-Holstein: „Unsere Forderungen sind, dass also die Telekommunikationsanbieter ihren Austausch der Telekommunikation generell, aber auch insbesondere der Telefonie verschlüsseln.“
Bis etwas passiert, bleibt VoiceOver-IP ein Einfallstor – für Neugierige, Angreifer und für Geheimdienste.
Manuskript zum Druck
Manuskript als PDF: