Die meisten Unternehmen nutzen VoIP-Telefone, die ins Firmennetzwerk eingebunden sind. Das Fraunhofer SIT hat nun 33 VoIP-Telefongeräte von 25 Herstellern auf Lücken und Schwachstellen geprüft. Dafür wurden die webbasierten Benutzeroberflächen der Geräte untersucht, über die Administratoren die Telefone konfigurieren können. Das Ergebnis war alarmierend: Insgesamt wurden 40 teils gravierende Sicherheitslücken entdeckt, über die Angreifer an sensible Daten und Dienste gelangen.

Durch eine besonders schwerwiegende Art der Schwachstelle war es bei sieben VoIP-Telefon sogar möglich, die komplette administrative Kontrolle über das Gerät zu erlangen. „Das ist ein Sicherheitstotalausfall“, urteilt Philipp Roskosch vom Fraunhofer SIT. Angreifer könnten durch die Lücke auch weitere Geräte im Netzwerk manipulieren, wie Rechner oder Produktionsmaschinen. Ein weiteres Angriffsszenario war eine Denial-of-Service-Attacke, die die VoIP-Telefone außer Gefecht setzt – für Kundenhotlines extrem geschäftsschädigend.

Die Hersteller der VoIP-Telefone wurden über die Ergebnisse informiert und haben die Schwachstellen inzwischen eliminiert. Nutzern wird dringend empfohlen, die entsprechenden Updates der Geräte-Firmware einzuspielen. Weitere technische Details finden sich unter www.sit.fraunhofer.de/cve .