Die Kehrseite von All-IP
11.06.2018, 12:56 Uhr
Hacker-Angriffe auf Telefonanlagen
Mit der All-IP-Umstellung wird das Telefon immer öfter zum Tatort. Hacker nutzen dabei zahlreiche Angriffsmuster und richten Schäden in Milliardenhöhe an.
Meist geschehen die Angriffe nachts, am Wochenende und an Feiertagen: Hacker dringen in die Telefonanlagen ein und verursachen durch Anrufe an kostenpflichtige Rufnummern Schäden, die häufig – wenn überhaupt – erst bei der nächsten Telefonrechnung bemerkt werden.
Dieser Voice Fraud genannte Gebührenbetrug ist beileibe nicht das einzige Angriffsszenario rund ums Telefon. Beim «Identity Fraud» etwa telefonieren Hacker auf Kosten Dritter, beim «Call ID Spoofing» nutzen sie eine bekannte Rufnummer, etwa die der IT-Abteilung, um beim Angerufenen Vertrauen zu erwecken und zu gutgläubigen Transaktionen zu bewegen. Das kann der Rückruf über eine hochpreisige Rufnummer sein, aber auch die Preisgabe von Firmengeheimnissen.
Beim «SIP Registration Spoofing» melden Hacker im SIP-Registrar ein unberechtigtes Endgerät mit falscher Identität an, um es dann für weitere Attacken zu nutzen. Manchmal werden auch Fraud- und Spoofing-Methoden kombiniert.
Wie einträglich dieses Hacking sein kann, rechnet Achim Hager, CEO von HFO Telecom, vor: «Meist befindet sich die angerufene Servicenummer im Ausland, ein Anruf kostet zum Beispiel 4,00 Euro pro Minute. Der Hacker ist Inhaber der Nummer und bekommt ein Kick-Back von 2,50 bis 3,00 Euro pro Minute überwiesen – Fraud ist damit eine Lizenz zum Gelddrucken.»
Genaue Zahlen über die bei ihnen entstandenen Schäden wollen die Netzbetreiber nicht nennen. Ein Sprecher des Münchner Regio-Carriers M-net gibt allerdings einen Anhaltspunkt: «Voice Fraud verursacht bei uns einen nicht unbeträchtlichen Schaden. 2017 belief er sich auf eine Summe im sechsstelligen Bereich. Zu den monetären Schäden kommen natürlich noch die internen Aufwände für die Erkennung, Aufklärung und Lösung der Fraud-Fälle hinzu.»
Geschäftskunden und private Nutzer im Visier
Grundsätzlich sind von Fraud-Attacken sowohl gewerbliche Anschlussnutzer als auch Privatkunden betroffen – bei M-net hat man aber beobachtet, dass der Schaden im Privatkundenbereich vergangenes Jahr nahezu stagnierte, während er im Geschäftskundenumfeld deutlich angestiegen ist.
Weltweit entsteht der Telekommunikationsindustrie laut der Communication Fraud Control Association (CFCA) ein Schaden von rund 30 Milliarden Dollar. Die Dunkelziffer dürfte noch um einiges höher sein: Hacker-Angriffe, bei denen es über einen längeren Zeitraum nur zu kleineren Schäden kommt, werden oft erst spät oder überhaupt nicht bemerkt.
Entwarnung ist nicht in Sicht – im Gegenteil. Markus Schneider, Director Operation, Implementation & Customer Care bei Toplink, geht davon aus, dass durch die All-IP-Umstellung die Fraud-Attacken zunehmen. «Durch die öffentlich im Internet stehenden Systeme sind die in den Firmen oftmals nachlässig administrierten Anlagen und Sicherheitsmechanismen per Remote wesentlich leichter zu hacken als im klassischen ISDN-Telefonsystem», betont er. Eine Meinung, die man bei der Telekom nicht teilt, obwohl auch die Bonner von einer Verlagerung der bisherigen Angriffe auf Routerhacking, Identitätsdiebstahl und Call ID Spoofing ausgehen.
Anomalien-Monitoring
Die Netzbetreiber arbeiten seit Jahren hart daran, die Schäden zu begrenzen. Im Zentrum stehen dabei Monitoring-Tools, mit denen der Datenverkehr gescannt und auf Anomalien überprüft wird. «Alarm wird zum Beispiel dann ausgelöst, wenn in gewissen Abständen immer wieder die gleichen Rufnummern in bestimmte Länder angewählt werden. Oder wenn innerhalb eines bestimmten Zeitraums eine aussergewöhnlich hohe Summe für Telefongespräche überschritten wird», erklärt Carina Panek, Leiterin Regulierung und Fraud Management bei der QSC AG. Dazu sind bei den meisten Netzbetreibern Expertenteams im Einsatz, die den Telekommunikationsverkehr ebenfalls auf Anomalien überprüfen.
Toplink entwickelt seit vielen Jahren im Rahmen von Forschungsprojekten gemeinsam mit der Hochschule Darmstadt Fraud-Erkennungssysteme auf Basis von Anomalien. Trusted Telephony, so der Name des ersten Projekts, ermöglicht das frühzeitige Erkennen und Abwehren von Fraud-Attacken. Allerdings ist der Einsatz von Trusted Telephony nur in Verbindung mit einem SIP-Trunk von Toplink möglich. Im zweiten Projekt – TrustCom – geht Toplink noch einen Schritt weiter: Die Lösung soll Fraud erkennen, noch bevor er stattfindet. Grundlage bilden Erkennungsmuster, die Anomalien im Verbindungsaufbau schon wesentlich früher feststellen sollen.
QSC bietet Wiederverkäufern den Service Resale Fraud Control an. Damit können sie für ihre Kunden individuelle Kriterien wie etwa durchschnittliche Telefongebühren festlegen. Werden diese überschritten, wird ein Alarm ausgelöst, und QSC verspricht, den Anschluss in maximal zwei Stunden zu blockieren. Zwar haben die Hacker dann immer noch zwei Stunden Zeit, um ihre Ziele anzugreifen – aber zumindest kann der Schaden damit etwas begrenzt werden.
Für HFO-Chef Achim Hager ein wichtiger Schritt, der aber nicht ausreicht – zumal nicht alle Netzbetreiber diesen Service anbieten. «Aktuell hat jeder Carrier eigene Massnahmen zur Fraud-Bekämpfung entwickelt. Die Resultate dieser Analysen werden aber nicht immer schnell genug an die Wholesale-Partner weitergeleitet», erklärt er. Die Folge: Da fast jeder Anbieter auch Leistungen von Wholesale-Partnern einkauft, entsteht die Gefahr, dass Anomalien zwar erkannt, aber die Reseller nicht schnell genug über die Gefahr informiert werden – am Ende hat der Hacker mehr Zeit für seine Attacken, und die Schäden sind höher als eigentlich nötig.
HFO-Chef Hager, der vor knapp einem Jahr in den Vorstand des DVTM (Deutscher Verband für Telekommunikation und Medien) gewählt wurde, möchte deshalb über den Verband einen runden Tisch zum Thema Fraud ins Leben rufen. Ziel ist, so Hager, gemeinsam einen Kodex zu entwickeln, um Betrug zu bekämpfen. Und am Ende könnten sich die Netzbetreiber, aber auch Systemhäuser und Unternehmen, gegen Fraud versichern, wenn sie sich an den Kodex halten. Ob es je so weit kommt, ist aber offen. Bis dahin wird es bei den Insellösungen der Netzbetreiber bleiben – und Unternehmen und Systemhäuser tun gut daran, sich und ihre Kunden so weit wie möglich gegen das Hacken ihrer Telefonanlagen zu schützen. Die Instrumente sind bekannt, allerdings werden sie allzu oft ignoriert – bis ein Kunde zum Opfer wurde.
Interview mit DVTM-Vorstandsmitglied Achim Hager
Computerworld: Der DVTM hat Voice Fraud den Kampf angesagt – was planen Sie?
Achim Hager: Wir haben einen ganzen Katalog an Massnahmen entwickelt, wie die Betroffenen – Netzbetreiber, Systemhäuser, Hersteller und auch Kunden – die Hacker-Angriffe besser bekämpfen können. Am Ende wird es einen Kodex geben, der für alle Beteiligten einen höheren Schutz zur Folge hat, wenn sie sich an die Vereinbarung halten. Echte Sicherheit wird es bei diesem Thema nie geben, aber man kann viele Löcher stopfen, die den Hackern in die Hände spielen. Und genau das haben wir mit unserem Kodex vor.
Computerworld: Und was sind die zentralen Elemente bei diesem Kodex, zumindest in der aktuellen Version?
Hager: Wir haben beispielsweise definiert, wie die Zusammenarbeit zwischen Netzbetreibern und Resellern verbessert werden könnte. Aktuell hat jeder Carrier eigene Massnahmen zur Fraud-Bekämpfung entwickelt, meist über das Monitoring der Netze. Die Resultate dieser Analysen werden aber nicht immer schnell genug an die Wholesale-Partner weitergeleitet. Doch nur wenn wir als Reseller zeitnah von Auffälligkeiten erfahren, die auf einen Angriff hindeuten, können wir uns und unsere Kunden besser schützen.
Computerworld: Welche Massnahmen haben Sie beispielsweise für Systemhäuser vorgesehen?
Hager: Diese verpflichten sich unter anderem, Updates der Anlagen-Software schnell einzuspielen. Ausserdem haben wir etliche Einstellungen vorgegeben, die eigentlich selbstverständlich sind – aber dennoch häufig missachtet werden. Dazu gehört zum Beispiel, dass die Anlagen-Software keine Rufumleitung aus Mailboxen erlaubt.
Computerworld: Wie werden Sie weiter vorgehen, wie sehen die nächsten Schritte aus?
Hager: Wir haben unser Konzept der Bundesnetzagentur vorgestellt und auch schon mit dem Bundesverband Breitbandkommunikation darüber gesprochen. Vor etlichen Jahren gab es schon einmal einen runden Tisch zu diesem Thema, den wollen wir nun wiederbeleben. Dort können wir gemeinsam über den Kodex diskutieren.
Unser Ziel ist, dass sich möglichst viele Unternehmen an dem Kodex beteiligen. Dann kann man anhand des Regelwerks auch ein Schadensabwicklungsverfahren etablieren, ganz nach dem Vorbild der Streitbeilegungshilfe bei Strom und Gas. Das würde auch mehr Rechtssicherheit bringen, denn die Gerichte entscheiden bei den einzelnen Fällen vollkommen unterschiedlich. Und als Nächstes werden wir unsere Pläne dem Bundeswirtschaftsministerium vorstellen und versuchen, in dieser Richtung eine Gesetzgebungsinitiative zu starten.
Computerworld: Aber wenn es ein Gesetz gibt, ist der Kodex doch überflüssig …
Hager: Aber es muss auch jemanden geben, der die Ausführung kontrolliert. Und natürlich ist unser Ziel, dass maximal viel von dem Kodex in das Gesetz einfliesst. Der erste Schritt ist aber jetzt erst einmal der runde Tisch, um den permanenten Austausch zwischen allen Beteiligten anzufeuern. Parallel dazu sprechen wir schon heute mit Versicherungen, damit diejenigen, die sich an den Kodex halten, im Schadensfall abgesichert sind.
Computerworld: Also eine Art Cyberversicherung?
Hager: Ja, denn auch wenn wir unsere Bemühungen im Kampf gegen Hacker-Angriffe ausbauen, so wird es doch immer Schäden geben – die Täter sind ja sehr erfinderisch. Unternehmen, die sich an unseren Kodex halten, können sich dann dagegen versichern. Doch das ist eigentlich der übernächste Schritt. Erstes Ziel muss jetzt sein, gemeinsam gegen Fraud anzukämpfen, statt immer nur den Schwarzen Peter hin- und herzuschieben, wie es heute leider allzu häufig noch der Fall ist.