Mein Geschäftspartner Manfred Grosse – Geschäftsführer der Devenia Communications GmbH & Co. KG in Augsburg im Gastartikel über die neue Sicherheitslücke ShellShock:

Die neu bekanntgewordene Sicherheitslücke in der Linux Shell Bash macht voller Sorge die Runde durch alle IT-News.

Was bedeutet das für gängige VoIP Telefon-Systeme? Unsere Antwort kann nur lauten: extreme Gefahr. Viele VoIP-Systeme bauen auf dem Linux Betriebssystem auf. Auch hier wird die Sicherheitslücke zu finden sein und so können Angreifer vollen Zugriff auf das Betriebssystem erlangen und die Telefonanlage übernehmen.

Aus welchem Grund könnten diese das Ziel sein? Halten wir uns vor Augen, dass Kriminelle stets darauf aus sind finanzielle Vorteile zu erlangen, dann wird schnell klar, dass eine Telefonanlage aus der Sicht eines hackenden Kriminellen ein Jackpot ist.

Hier lassen sich über den Missbrauch von 0900 Rufnummern innerhalb kürzester Zeit deutliche Beträge abgreifen. Über eine gehackte Mailbox entstand unlängst ein Schaden im 6-stelligem Bereich. Der Clou ist ganz einfach: Die Kriminellen richten sich eine 0900 Rufnummer mit möglichst hohen Kosten ein (bis zu 10 Euro je Anruf) und lassen die anfallenden Gebühren auf ein ausländisches Konto begleichen. Die Bezahlung erfolgt direkt vom Netzbetreiber (Telekom, Vodafone, M-Net, etc) und das ausländische Konto ist vor dem Zugriff durch deutsche Strafverfolgungsbehörden geschützt. Zudem ist meistens zu spät wenn der Schaden bemerkt wird. Oft fällt dieser erst Wochen später bei Sichtung der nächsten Telefonrechnung auf.

Was können Sie also tun um Ihr Telekommunikations-System vor dem Zugriff durch Kriminelle zu schützen?

Sichern Sie Ihre Telefonanlage nach außen hin ab! Insbesondere Zugriffe auf die Standardports für den Webzugriff HTTP (TCP Port 80) und HTTPS (TCP Port 443) sind gefährlich und natürlich auch der Zugriff auf die SSH (TCP Port 22) Konsole selbst sollte nie von außen erreichbar sein. Generell gilt: Was nicht unbedingt erreichbar sein muss, sollte es auch nicht sein. Zudem kann man mit bereits kleinen Veränderungen die automatisierten Skripts potentieller Angreifer deutlich erschweren. Und nicht zuletzt fragen Sie durchaus auch mal einen Experten auf diesem Gebiet.

Vorsicht ist besser als Nachsicht – hier kann es um viel Geld gehen.

Manfred Grosse

DEVENIA Communications – professionelle Telefonanlagen für Geschäftskunden https://www.devenia.de