Sicherheitslücken bei neuer Internet-Telefonie – Droht im deutschen Festnetz ein großer Lauschangriff?

Das alte Festnetz wird abgelöst: Mehr als 13 Millionen Anschlüsse in Deutschland funktionieren bereits mit der neuen Technik der Internet-Telefonie. Und auch tausende Kunden der Telekom werden derzeit in die Umstellung auf das sogenannte „VoiceOver IP“ gedrängt. Doch die neue Technologie ist nicht so sicher, denn die Gespräche laufen ohne Standard-Verschlüsselung durchs Netz und können mit einfachen Programmen problemlos abgehört werden. Behörden und Geheimdienste scheinen das noch zu befördern. Datenschützer zeigen sich angesichts der report-Recherchen entsetzt. Mehr

 

Kommentieren:

Kommentare werden vor der Freischaltung geprüft. Mehr in den Kommentarrichtlinien.
  1. Eigentlich sollte einen im Überwachungsstaat Deutschland nichts mehr schockieren und trotzdem trifft einen jede weitere „Offenbarung“ wie ein Faustschlag.

    This is not my country anymore. Can I have a new one?

    • Der Faustschlag ist nicht das technische Detail, ob analoge, digital-leitungsvermittelte oder digital paket-vermittelte Daten abgehört werden. Der Faustschlag ist, wie die Telekom und der BND das praktizieren. (siehe entsprechende Berichterstattung im NSA-Untersuchungsausschuss)

  2. Allein der Teaser ist bereits ekelhaft reißerisch. Ich kenne den vollen Beitrag noch nicht, allerdings ändert sich allein durch die Umstellung auf VoIP nichts. Auch das herkömmliche Telefonsystem war anfällig für Abhören oder Missbrauch. Einen grauen Telekom-Kasten auf der Straße aufbrechen und dort entsprechendes Equipment anbringen ist recht einfach. Im Gegenteil. Um bei VoIP Gespräche mithören zu können, muss man Zugang zu Routern haben, durch die die Gespräche geleitet werden. Und diese Hürde ist in meinen Augen eher höher als niedriger als bei herkömmlicher Telefonie.

    Natürlich wäre eine Verschlüsselung – ob nun komplett zwischen zwei Teilnehmern oder zumindest bis zu den Servern des eigenen Telefonanbieters – wünschenswert. Aber das Fehlen allein rechtfertigt solch einen medialen Aufschrei nicht.

      • Sie werden mir doch sicher zustimmen wenn ich sage: Sich physikalisch irgendwo durch Einbruch Zutritt zu verschaffen, wie es bei einem grauen Verteiler der Telekom an der Strasse notwendig ist, um Telefonate mithören zu können, ist ein himmelweiter Unterschied, zu den Abhörmöglichkeiten per Software, bequem vom Laptop aus, aufgrund von unverschlüsselten Kommunikationskanälen.

        • In der Tat. Allerdings ist das Mithören nicht so einfach wie im Beitrag dargestellt. Anhand der IP-Adressen konnte man sehen, dass hier Verkehr im lokalen Netz abgefangen wurde. Nämlich da, wo man evtl. noch an Router oder Switches rankommt. Außerhalb des lokalen Netzes braucht es einen Einbruch in ein Rechenzentrum oder einen Router, um an Daten zu kommen. Und diese Hürde ist bedeutend höher als einen grauen Kasten aufzubrechen.
          Mithören ist also maximal von Netzbetreibern, Telekommunikationsanbietern oder eben durch die Justiz möglich. Und all diese Stellen hatten schon vorher Zugriff auf die Gespräche.

          • O Gott, man hat sogar gesehen mit welchen Programm der Fake hergestellt wurde (Fake deshalb, weil wie schon oben erwähnt, dazu Zugriff auf (m)eine Wohnung erforderlich ist um sich ins LAN einzuklinken)

            Ich sehe morgen schon die Schlagzeile „Verbietet endlich wireshark!“.
            Herrn Weichert nehme ich sein Statement nicht übel, er ist kein Techniker, der muss glauben, was im vorgeführt/gezeigt wird.

        • Ich weiß, wie ich meine eigenen Gespräche bei der Fritzbox via Laptop „abhören“kann.

          Wenn Sie es schaffen mit Ihrem Laptop meinen Anschluss abzuhören, gebe ich Ihnen einen aus und anschließend mache ich ein Ticket bei AVM auf.

          Wenn Sie dagegen bei den Schlapphüten arbeiten und einen gesonderten Zugang zur Telekom/Vodafone usw. haben und dort beliebige Personen überwachen(können), dann muss ich Ihnen sagen, dass da der Komfort dank der Digitalisierung gestiegen sein mag, nur das ging auch schon vor 30 Jahren und ist kein Qualitätsmerkmal von VOIP, das hieß früher schon Lawful Interception.

        • Nein, das trifft so nicht zu. Sich illegal Zugang zu privater Kommunikation zu verschaffen – egal ob physisch oder mithilfe von Elektronik oder Software macht rechtlich keinen Unterschied. Beides ist rechtswidrig. Die Kommunikation via VoIP – selbst ohne Datenverschlüsselung – ist derzeit durch andere technische Massnahmen geschützt und stellt logische Punkt-zu-Punkt Verbindung dar. Um sich in diese Verbindung „einzuklinken“ bedarf es aktiver krimineller Energie – oder zumindest in Deutschland einen richterlichen Beschluss. Ansonste bleibt das strafbar.

  3. Es ist schon beängstigend, was anders denkende aus einer Demokratie machen können.
    Terror hin oder her, wir lassen uns ein Korsett umschnallen, das wir nie wieder los bekommen und das, weil irgend welche Fanatiker uns „bedrohen“.
    Das Geheimdienste schon immer wissbegierig waren, ist bekannt. Aber das hier die Privatsphäre eines jeden Bürgers mit dem Hinweis auf Terrorbekämpfung angegriffen, missachtet und verletzt wird erachte ich als grenzwärtig.
    Das Schlimme an der Sache ist die Wehrlosigkeit. Man kann sich gegen diese Machenschaften nicht wehren, selbst wenn man sich entzieht. Dann ist man erst recht im Visier!

    • Liebe Silke,
      Du hast mit Deinem Beitrag sicher recht. Nur hat dies mit dem Beitrag nichts zu tun. Die Überreaktion des Staates ist aber geschichtlich nicht unbekannt. Auch in den 70er Jahren gab es massive Einschränkungen in die Bürgerrechte – siehe RAF.
      Also alles nichts neues. Aufregen darf man sich aber sehr wohl. Nur fehlen bisher komplett alternative Konzepte.

  4. Also das ist ja nun wirklich keine Neuheit, dass VOIP-Telefonate absolut unsicher sind und jeder Hobby-Hacker mit dafür frei zugänglichen Programmen, VOIP-Telefonate abhören und mitschneiden kann (z.B. per „man in the middle“ attack).

    Anbei (falls Links hier erlaubt sind) zwei schon 10 Jahre alte News-Meldungen:
    [Hier hat die Redaktion zwei Links entfernt, vgl. Kommentarrichtlinien]

    Das Unangenehme ist ja nicht nur, dass vielleicht vertrauliche Gespräche abgehört werden können, sondern dass es richtig böse Folgen haben kann z.B für alle, die. Telefonbanking machen. Hier ist es spielend einfach, bei der Einwahl ins Telefonbanking alle relevanten Daten und Pins abzufangen!
    Das wird m.E. sehr viele zwangsweise auf ALL IP umgestellten Mitbürgerbetreffen, die gar kein Internet (also auch kein online-Banking per https) verwenden, sondern nur klassische Telefonie.

  5. Die Telekom zwingt ihre Kunden, auf VoIP umzusteigen, ansonsten werden die Altverträge gekündigt, wie es mir bereits geschehen ist. Die dortigen Mitarbeiter zeigen keinerlei Bereitschaft (und natürlich auch keine Befugnis), sich auf Diskussionen einzulassen. Stattdessen wird man belächelt und belogen („VoIP ist sicherer“).
    Ich finde es unglaublich, was man sich als Bürger, Kunde und Zahlvieh heute bieten lassen muss. Da aber auch hier dem medialen Aufschrei das große öffentliche Schweigen und fatalistische und gedankenlose Hinnehmen folgen wird, gibt es keine Chance, sich zu wehren – außer, man schafft sein Telefon ab.
    Eines Tages wird uns dies alles Leid tun, aber dann wird es zu spät sein.

    • Hallo Michael,
      niemand kann Sie zwingen auf VoiP umzusteigen. Man kann ja auch kdg., wenn man Bedenken hat. Nur muß man wissen, das die bisherigen Netze sicherheitstechnisch genauso sicher/unsicher sind wie VoiP. Ferner sind es nicht nur Kostenaspekte, die die Telekom bewogen haben auf VoiP umzurüsten. Die aktuelle Technik (digitale Vermittlung) ist technisch veraltet und es werden schon lange keine Ersatzteile mehr produziert. Wollen wir warten, bis nichts mehr geht ?
      Den Aufschrei möchte ich aber dann auch nicht hören. Leider lebt das Thema massiv von Unwissenheit und Telekombashing. Wie immer. Die blöden Beamten der alten Telekom haben ja auch keine Ahnung.

  6. Auch ich habe – ohne es explizit zu wissen – von der TELEKOM einen solchen IP-basierten Telefonanschluss bekommen, nur mit dem Witz, dass dieser nicht funktionert! Hier meine Frage: Kann ich aus diesem Vertrag deshalb wieder aussteigen? Was ist mit anderen Anbietern? Gibt es überhaupt eine Alternative? Nach dem Film „Citizen Four“ über die Snowden Enthüllungen bin ich (zu Recht!?) alarmiert!

    • Alle Anbieter stellen auf VOIP um oder haben schon umgestellt. Wie in der Ankündigung zu lesen funktioniert es auch schon millionenfach.
      Nur die Behauptung, dass damit automatisch der Lauschangriff vereinfacht würde, stimmt nicht.

      Um „analoge“ Anschlüsse abzuhören brauchte man früher nur eine Gelegenheit an die Leitung zu kommen und einen Kopfhörer.
      Bei ISDN (ebenfalls ohne Verschlüsselung) war das notwendige Equipment schon aufwendiger aber auch nicht unmöglich zu beschaffen. Bei DSL/Kabel ist es auf dem Weg zum Amt eigentlich noch schwieriger mit einfachen Mitteln (von einem Angriff auf dem Router daheim mal abgesehen) an die Sprachdaten zu kommen.
      Die gesetzlich erlaubten (und die unerlaubten) Lauschangriffe fanden/finden an den Abhörschnittstellen der Anbieter bzw. deren Netzen statt, oder wie im Fall von internationalen Verbindungen irgendwo auf dem Weg zum Gesprächspartner. (Seekabelstationen)

      Unter diesen Umständen ist es in Ordnung die Verschlüsselung der Daten zu fordern. (ob tatsächlich, oder nur zur Beruhigung mit einer schwachen Verschlüsselung sei dahin gestellt )
      Aber zu behaupten, dass früher alles besser gewesen sei, stimmt eben nicht.

      Das Problem ist in D das G10-Gesetz, welches den gleichnamigen Artikel des Grundgesetzes praktisch außer Kraft setzt.
      Auslandsspionage ist noch mal ein anderes Kapitel.

  7. Eigentlich hatte ich mir von diesem Teil des „report München“ erhofft, dass eine differenzierte und kritische Beschäftigung mit diesem durchaus wichtigen Thema statt findet. Bereits seit dem Morgengrauen wurde auf allen Kanälen (Radio, Soziale Netzwerke, etc) auf diesen doch so wichtigen Beitrag hin gewiesen, entsprechend neugierig war ich.

    Schade, die Macher haben es verpasst eine differenzierte Darstellung der Problematik zu geben. Stattdessen wurde der geneigte Zuschauer mit doch verhältnismäßig reißerischen Aussagen, schnellen Schnitten für die Dramatik und Informationen, die er in keiner Weise adäquat beurteilen kann in die gedankliche Ecke „VoIP ist böse…“ getrieben.

    Ich frage mich, was wohl die Admins der Asterisk-Installation an der Uni geritten hat, solche Kommentierungen zu ihrem Logfile zu geben. Aber dafür können die Macher der Sendung nichts. Wobei die roten „WARN“ und „SECURITY“ Einträge in der Nahaufnahme des Logfiles für spannende Unterhaltung sorgen.

  8. Dass unverschlüsselte VOIP-Telefonate (und andere digitale Kommunikation) in einem lokalen Netzwerk abgehört werden können ist eigentlich keine Neuigkeit. Ebenfalls ist es keine, dass Staaten sich die Möglichkeit reservieren die Kommunikation politisch missliebiger oder krimineller Personen zu überwachen (= lawful interception /LI) mit oder ohne IP Telefonie. Relativ neu ist, dass die Telekom ihre Telefonbestandskunden auf VOIP umstellt, was teilweise zu Problemen der Umstellung führt. Der Beitrag konstruiert daraus eine neue Qualität der Einschränkung der Bürgerrechte, die ich so nicht sehe. Wem die staatliche Überwachung nicht passt, sollte das Thema grundsätzlicher angehen als sich über technische Änderungen zu beschweren und den Zusehern zu suggerieren alles wäre gut, wenn es nur diese Änderung nicht gäbe.

  9. Schon als die ältere Dame zu Beginn des Beitrags unkommentiert sagte, sie müsse nun über einen Computer telefonieren und fernsehen bzw. wolle selbiges nicht, dachte ich mir, der Beitrag geht in eine komische Richtung. Dann dieser Mitschnitt des Telefonat – was zeigt uns, dass der Herr sein Notebook nicht an den eigenen Router angeschlossen und den eigenen Verkehr mitgeschnitten hat? Die Geheimen arbeiten an den Standardisierungen mit, das ist doch kein Geheimnis mehr!

    Der Beitrag übertreibt ziemlich und lässt trotzdem noch so viele Probleme rund um IP-Telefonie außer Acht. Reißerischer Versuch, auf der Snowden-Welle mitzuschwimmen?

    Übrigens: Welchen Tip hat Report für die ältere Dame im Beitrag, ihre analoge Telefonie zu verschlüsseln?

  10. Es wurde ja schon in einigen Kommentaren genannt: Der sogenannte Hackerangriff fand NICHT über das Internet statt und es war – so habe ich die Beschreibung verstanden – kein Man-in-the-Middle-Angriff. Es war eine einfach Umkonfiguration des Telefons: Eine Anweisung das Gespräch auf ein zweites Gerät (Laptop) im LAN zu spiegeln. Das ist jetzt nicht gerade ein Hack aus dem Internet.

    Ich verstehe, dass man das Allgemeinpublikum nicht mit technischen Details konfrontieren kann. Aber es wäre nett wenn in Zukunft bei solchen Beispielkonfigurationen, die als Beweis für Behauptungen herangeführt werden, zumindest auf der Homepage eine detaillierte Beschreibung des Aufbaus und der Abläufe hinterlegt wird. So bleibt bei mir der Eindruck haften, dass die Redaktion offensichtlich einem Fake aufgesessen ist.

    Vollkommen unverständlich finde ich, dass der Lawful Interception-Standard von ETSI in einen Zusammenhang von VoIP-Standardisierung und Verschlüsselung gebracht wird. Das ist eine Schnittstellen-Spezifikation die den Austasuch von Daten – kopierter/gespiegelter Gespräche – zwischen Diensteanbieter und Strafverfolgungsbehörde regelt. Über diese Schnittstelle werden die Daten in die Datenbank der Polizei eingespielt.
    Das hat nun wirklich ABSOLUT NICHTS mit Hacking und Aufweichen von Verschlüsselungsmechanismen zu tun. Und dass Strafverfolgungsbehörden an der Spezifikation der Schnittstelle ihrer eigenen Datenbank mitarbeiten, ist nun wirklich nicht verwunderlich. Das sollte man erwarten, dass die dort auftauchen. Dafür werden die schließlich bezahlt.

    Wahrscheinlich wollte man auf die Aufweichung von Standards hinweisen, wie sie mit den Snowden-Veröffentlichungen bekannt wurden. Dann sollte man auch auf diese Gremien verweisen und Beweise dazu vorlegen und nicht auf inhaltlich andere Sache hinweisen, nur weil man dazu gerade was auf dem Schreibtisch hat.

    Was Schutz vor Abhören angeht, so ist es doch irreführend wenn man vom Provider eine „Standard-Verschlüsselung“ verlangt. Gerade an diese Schlüssel kommt der Staat doch per Gesetz heran und sie ist damit unbrauchbar. Also bleibt doch nur eine Ende-zu-Ende-Verschlüsselung vollkommen ohne Mitwirken/Kenntnis des Diensteanbieters. Das liegt dann natürlich in der Verantwortung des Endkunden/Verbrauchers. Das hätte man m.E. ganz deutlich herausstellen müssen. So glaubt der Laie jetzt, dass er geschützt ist wenn er Verschlüsselung im Bundle mit dem Telefondienst kauft.

    • Natürlich ist es ein Man-In-The-Middle-Angriff, wenn er die Telefone anweist (evtl. per ARP-Spoofing?), den Datenverkehr an sich zu schicken und er ihn dann seinerseits an die Endstelle weiterleitet. So habe ich den Versuchsaufbau verstanden und das würde auch ganz gut mit Wireshark zusammenpassen. Und ja, prinzipiell gibt es da auch Möglichkeiten aus dem Internet – wäre ja nicht das erste mal, dass ein Router (beim Kunden) eine Lücke hat. Und gerade die Router der großen Provider haben ja regelmäßig das Problem, dass ich als Kunde hier nichts dran machen kann (Updates etc.) sondern das zentral vom Provider via TR-069 eingespielt wird – und da lassen sich manche Provider (auch die Telekom schon) öfter mal länger Zeit, auch bei kritischen Lücken…

      • Gerade Telekom-Router fielen mir bisher eher positiv auf. Begrenzte Einstellmöglichkeiten (Nerds und Profis haben ohnehin eher ein eigenes Gerät von AVM & Co. laufen), kritische Updates kommen frühzeitig und werden ggf. manuell angestoßen. Perfekt sind die Dinger auch nicht, aber einfach und sicher genug für Otto Normalverbraucher und der Support-Aufwand für die Telekom bleibt überschaubar.

        just my 0,02€

      • So natürlich ist das nicht. Mein Eindruck war, dass entweder der Router oder das Telefon angewiesen wurden, dass Gespräch parallel auch an den Laptop zu senden. Über das Konfigmenü der Geräte. Wahrscheinlich der Router. Dann über TR-064, da im LAN. Oder auch meinetwegen UPnP, das ist dann egal. Wahrscheinlich hat der Experte noch seine eigene FritzBox benutzt. 😉
        Aber selbst wenn, es Man in the Middle war, dann ist alles im LAN passiert. Wird denn überhaupt im LAN verschlüsselt? Ich denke nicht. Warum auch? Der VoIP-Call aus dem Netz wird doch im Provider-Router terminiert. Dort endet dann auch die Transportverschlüsselung – wenn vorhanden.
        Der Wireshark-Mitschnitt im LAN bringt nichts zur Unterstützung der Behauptung, dass prinzipiell jeder Internet-Nutzer ein fremdes Telefon anzapfen kann.
        Und wenn es um Geheimdienste geht – was ja später angedeutet wurde – dann ist so eine Transport-Verschlüsselung (im Bericht Standard-Verschlüsselung genannt) unnütz. Da hilft nur Ende-zu-Ende-Verschlüsselung und zwar in Eigenverantwortung durch den Endkunden.
        Was denn in dem Versuchsaufbau wirklich passiert ist, werden wir wohl nie erfahren, da das anscheinend geheim gehalten werden soll. Spricht m.E. nicht für sorgfältige journalistische Arbeit (Stichwort QUalitätsjournalismus).

  11. Ich habe heute in einem Forum gelesen, die Telekom versuche srtp in die WLAN Router zu implementieren, was bei manchen schon gelungen sei, und dies im Laufe des nächsten Jahres auch auf weitere Telekomrouter-Modelle ausweitet. Diese Verschlüsselung gildt als sicher und wird auch von Experten benutzt. Deswegen kann ich diese Hetzte nicht verstehen, da man dann eine, momentan, als sicher geltende Verschlüsselung anbietet, die nur noch vom Endkunden aktiviert werden muss. Obwohl es schade ist, das es noch eine Weile dauert, wäre VoIP eine sichere Technik. Meinem Verständnis nach, müsste, wenn nur ein Gesprächstpartner srtp aktiviert hatt, zumindest eine Transportverschlüsselung, und wenn beide srtp aktivieren eine Ende-zu-Ende Verschlüsselung standardisiert angewendet werden.

    • Da wäre ich mir nicht so sicher – wenn sie es ernsthaft wollten, könnten sie SRTP in relativ kurzer Zeit implementieren… Zeit genug hatten sie dafür schon.
      Es ist ja auch so, dass SRTP die Telekom Serverressourcen (also Geld) kostet – und daran haben die natürlich kein Interesse…

  12. Fast alle Nutzer nutzen dynamische IP – Adressen – die sich mindestens einmal täglich ändern. Da lache ich mich doch schlapp, dass da – wer auch immer – sich die Mühe macht, vor diesem Hintergrund immer wieder täglich aufs neue hinter dem deutschen Internetmichel her zu spionieren.

    Schlecht informierte Radakteure gehen eben auch manchmal sog. Spezialisten auf den Leim.

    Schade, dass solche schlecht recherchierten und reißerischen Berichte dem wichtigen und berechtigten Interesse an einem gut funktionierenden Datenschutz immer wieder Schaden zufügen.

    • Also das mit den IP-Adressen ist kein Problem – du musst ja nicht die IP des Anschlussinhabers wissen, du musst nur die IP des Servers rausfinden – und das geht, indem du den Datenverkehr an deinem eigenen Anschluss mitsniffst. Und schon kannst du einen Man-In-The-Middle versuchen…

  13. Ich kann mich nur vorher gehenden Argumenten anschließen. Ein Abhören in den eigenen vier Wänden ist bei Analog- und ISDN-Telefonie auch nicht viel schwieriger. Zumal bei vielen alten Gebäuden der APL frei zugänglich am äußeren der Gebäude angebracht ist.
    Für einen öffentlich rechtlichen Sender ist diese Leistung sehr sehr erbärmlich.

    • Stimmt,
      das hat schon unterstes BILD-Niveau.
      Ferner sind die meisten Telefone auch heute noch analoger Natur (incl. DECT) und werden unverschlüsselt an das heutige Netz angeschlossen. Man kann für ein paar Euro Investition mit einem „Prüfgerät 1a) jeden analogen Anschluß abhören. Heute schon – vorrausgesetzt man hat Zugang zur Leitung, egal wo.

  14. Eine ETSI Spezifikation wie im Bericht gezeigt als „geheime Unterlage“ zu bezeichnen ist nun wirklich mehr als lächerlich. ETSI Dokumente beschreiben weltweit gültige Technologiestandards und sind alles andere als geheim. Sie sind sind öffentlich zugänglich bzw. für Mitglieder frei verfügbar. Ein Lawful Intercept Interface gibt es auch in bisherigen Telekommunikationsnetzen bereits seit Jahrzehnten – daran ändert VoIP überhaupt nichts. VoIP ist lediglich eine neue Technologie. Lawful Intercept ist im übrigen in Deutschland streng reglementiert. Dieser gesamte report Bericht ist reißerisch, völlig überzogen und hat einen Neuigkeitswert der gegen Null geht. Es ist eine Tatsache, dass die zugrunde liegende Technologie unserer bisherigen Telekommunikationsnetze 25 oder mehr Jahre alt ist. Teilweise unterstützen Hersteller diese Technologien bereits nicht mehr. Ich kenne niemanden der noch mit 25 Jahre alten Röhrengeräten Fernsehen schaut und Autos gelten mit 25 Jahren bereits als Oldtimer. Aber anscheinend wird erwartet, dass hochkomplexe Telekommunikationsnetze wundersamerweise nie „altern“. Mit diesem Anspruch gäbe es auch heute noch nur handvermittelte Gespräche wie vor 100 Jahren. Stattdessen sollten wir versuchen neue Technologien wie VoIP mit ihren neuen Möglichkeiten genauso zu akzeptieren und zu nutzen wie wir es mit dem Internet, den Mobilfunknetzen oder Smartphones ohne zu jammern bereits seit Jahren gewohnt sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *


<b>Spamschutz: geben Sie die fehlende Ziffer ein.</b> *