Markus Hansen: Datenschutz und VoIP - Unabhängiges ...

Ruf mich an! 

Datenschutz & Voice-over-IP 

Markus Hansen 

Unabhängiges Landeszentrum für Datenschutz 

Schleswig-Holstein 

Innovationszentrum Datenschutz & Datensicherheit 

markus@privacyresearch.eu 

Heise-CeBIT-Forum Sicherheit und IT-Recht 

Hannover, 2007-03-20 

Markus Hansen: Datenschutz und VoIP | markus@privacyresearch.eu

Wer erzählt Ihnen heute was? 

● Unabhängiges Landeszentrum für Datenschutz 

Schleswig-Holstein (ULD) 

– Aufsichtsbehörde für Verwaltung und Wirtschaft 

– Beratung zu technischen und rechtlichen Datenschutzfragen 

– Zertifizierende Instanz für Datenschutz-Gütesiegel 

– Fort- und Weiterbildung (z.B. Datenschutzakademie) 

https://www.datenschutzzentrum.de/ 


Wer erzählt Ihnen heute was? 

● Innovationszentrum Datenschutz & Datensicherheit (ULD-i) 

– Beratung über Fördermöglichkeiten 

– Vermittlung von Kooperationspartnern 

– Unterstützung bei der Entwicklung von 

datenschutzgerechten Produkten und Geschäftsmodellen 

– Wissenstransfer 

– Durchführung und Begleitung von Datenschutz- und 

Datensicherheitsprojekten 


Datenschutz & Datensicherheit 

● Datenschutz 

– Recht auf informationelle Selbstbestimmung 

„Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich 

selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu 

bestimmen.“ BVerfGE 65,1 

– Recht von Kunden, Arbeitnehmern, ... 

– Datensicherheit ist (eine) Vorraussetzung für Datenschutz 

● Datensicherheit? – CIA ;-) 

– Confidentiality (Vertraulichkeit) 

Zugriff auf Daten nur für Berechtigte 

– Integrity (Integrität) 

Daten sind authentisch, vollständig, verlässlich, ... 

– Availability (Verfügbarkeit) 

Daten sind im Bedarfsfall für Berechtigte abrufbar. 


Anforderungen an VoIP 

● Entschließung der 

Konferenz der Datenschutzbeauftragten 

des Bundes und der Länder: 

– Aufforderung an Hersteller, Anbieter und Anwender 

von VoIP-Lösungen: 

Grundgesetzlich geschütztes Fernmeldegeheimnis 

bewahren! 


Datenschutz-Anforderungen 

an VoIP 

● Angemessene technische und 

organisatorische Maßnahmen treffen, um 

sichere und datenschutzgerechte Nutzung von 

VoIP in einem Netzwerk zu ermöglichen. 

● Verschlüsselungsverfahren anbieten bzw. 

nutzen. 

● Sicherheits- und Datenschutzmängel in 

Protokollen und Software durch Beteiligung an 

Weiterentwicklung möglichst schnell 

beseitigen. 


Datenschutz-Anforderungen 

an VoIP 

● Offene und standardisierte Lösungen 

verwenden, Protokolle offenlegen. 

● VoIP-Kunden über Gefahren und 

Einschränkungen gegenüber PSTN 

informieren. 

● Bei VoIP alle datenschutzrechtlichen 

Vorschriften genauso wie bei herkömmlicher 

Telefonie beachten. 

Kurz: 

VoIP statt PSTN darf keine Nachteile bzgl. TK- 

Geheimnis und Datenschutz bedeuten. 


VoIP – auch nur Telefon? 

● Fragen vor dem Einsatz von VoIP: 

– Was wird wo mitgeloggt? 

– Wer hat Zugriff auf Logfiles? 

– Kann auf Kommunikationsinhalte zugegriffen 

werden? 

– Von wem unter welchen Umständen? 

– Werden solche Zugriffe protokolliert? 

– Werden Betroffene informiert? 

– Wie wird Authentizität der Gesprächsteilnehmer 

gewährleistet? 


VoIP: Kostenvorteile? 

● In Unternehmen / Organisationen / Behörden: 

– Größere Unabhängigkeit von einzelnen Anbietern. 

– Nur noch einmal Know-How (für IP). 

– Nur noch einmal Personal für Administration. 

– Nur noch ein Netz für Telefonie und Daten? 

– Nur noch ein Point-of-Failure? 

– Reicht ein erfolgreicher Angriff für Zugriff auf Daten und 

gesamte Kommunikation im Unternehmen? 

=> Bei Aufrechterhaltung gleicher Verfügbarkeit, 

Sicherheit, ... keine realen Kosteneinsparungen. 

(Vergl. VoIPSec-Studie des BSI.) 


Was ist neu an VoIP? 

● Telefonie – aber nicht nur ... 

● Instant Messaging (Chat) 

● Datei-Transfer 

● Video-Konferenzen 

=> Konvergenz (Unified Messaging) 

● Welchen Weg nimmt das Gespräch durch die 

Leitungen? (Routing statisch vs. dynamisch) 

● Was ist ein eigentlich ein „Telefonanschluß“? 

– Nomadische Nutzung 

=> Lokalisierung im Notfall („Röchelanruf“) 


Probleme von VoIP 

● Lokalisierung von „Anschlüssen“ (Notruf) 

● C: Vertraulichkeit (Abhörmöglichkeiten) 

● I: Integrität (Manipulierbarkeit Caller-ID) 

● A: Verfügbarkeit (Denial-of-Service Attacks) 

● SPIT (Spam-over-Internet Telephony) 


Vertraulichkeit von VoIP? 

● Internet-Telefonie 

– SIP/RTP 

SIP: Session Initiation Protocol 

RTP: Realtime Transfer Protocol 

Security: „Broken by Design“ 

in den meisten Implementierungen 

Vorschlag von Phil Zimmermann (PGP): ZRTP 

– Skype 

Security: by Obscurity 

Skype reverse engineered -> BlackHat Europe 2006 

„Biggest Botnet ever“ (Silver Needle in the Skype) 

● Sonstiges 

– z.B. TeamSpeak, BattleCom, GameVoice 


Internet-Telefonie: SIP, RTP 

Bildquelle: Thomas Skora, Sicherheit von VoIP-Systemen 


● SRTP: 

Internet-Telefonie: 

Verschlüsselung? 

– SRTP-Key wird im SIP meist im Klartext übertragen, 

wenn keine Public Key Infrastructure (PKI) besteht. 

● SIP over TLS: 

– Erzeugt vergleichsweise viel Rechenlast, wird 

daher kaum eingesetzt. 

– Verschlüsselung nur Hop-to-hop => MitM 

● ZRTP 

– Key Exchange Protocol (Zfone) 

für Ende-zu-Ende-Verschlüsselung des Inhalts. 

(Phil Zimmermann, PGP) 


Internet-Telefonie: SIP, RTP, SRTP 

Bildquelle: Eric Chen, A Tour Through Zfone 


Internet-Telefonie: ZRTP / MitM 

Bildquelle: Eric Chen, A Tour Through Zfone 


Abhörbarkeit von VoIP (1) 

● Privacy & Security-Fachleute: 

„VoIP deutlich anfälliger für Abhör-Angriffe als 

herkömmliche Telefonie.“ 

● Sog. Bedarfsträger: 

„Abhören bei VoIP viel problematischer als bei 

herkömmlicher Telefonie.“ 

● Nanu? 


Abhörbarkeit von VoIP (2) 

● Signal (SIP) und Media (RTP) gehen meist 

unverschlüsselt über ein offenes Netz 

(Internet). 

=> viele Angriffspunkte! 

● VoIP im Intranet: 

Reicht ein infizierter PC zum Abhören der 

gesamten Kommunikation? 

● Signal und Media gehen ggf. über disjunkte 

Routen. 

=> höherer Aufwand für Lawful Interception. 


SPIT: 

Spam over Internet Telephony 

● SPIT-Abwehr-Lösung www.spit-abwehr.de 

● Öffentliche Förderung 2005 – 2006 (2007): 

e-Region Plus (Schleswig-Holstein) 

EFRE – 

Europäischer Fonds für Regionale Entwicklung 


SPIT-AL: Motivation 

● VoIP für Telefonie wie E-Mail für Schriftwechsel 

SPAM => SPIT 

automatisierte Cold Calls 

noch nerviger, da synchrones Medium 

=> Schutz der Privatsphäre erforderlich. 

● Rechtliche Unterlassungsansprüche gegen 

Anrufer aus dem Ausland kaum durchsetzbar. 

=> Technischer Ansatz erforderlich. 

● Telekommunikation ist (grund-)gesetzlich 

besonders geschützt. 

=> Rechtskonformität erforderlich. 


● White Paper 

● Prototyp 

SPIT-AL: Projektverlauf 

● Probebetrieb mit 1000 Nutzern 

● Open Source-Projekt 

Public Funding => Public Benefit! 

● Diplomarbeit (TU Dresden) 

● Integration weiterer Services, 

z.B. medienübergreifendes Erreichbarkeits- 

und Identitätsmanagement 


SPIT-AL: Rechtliche Aspekte 

● Fernmeldegeheimnis 

– .eu: Art. 8 Europ. Menschenrechtskonvention 

– .de: Art. 10 GG, § 88 TKG, § 206 StGB 

– Schützt Inhalt der Kommunikation und Tatsache, 

dass diese überhaupt stattgefunden hat (auch 

erfolglos). 

– Verpflichtet Telekommunikationsanbieter und deren 

Mitarbeiter. 

– Kontrolle über SPIT-Filter muss daher in Hand des 

Nutzers als einem der Kommunikationspartner 

liegen. 



● Telekommunikationsrecht 

– § 88 Fernmeldegeheimnis 

– §§ 148 f. – Nachrichtenunterdrückung 

(Ablehnen des Anrufes, Greylisting) 

– TK-rechtlich ist VoIP noch wenig erschlossen. 



● Datenschutzrecht 

– §§ 91 – 107 TKG, BDSG subsidiär 

– SPIT-Filter als Auftragsdatenverarbeitung? 

– Unterschiedliche SPIT-AL-Maßnahmen für 

Privatpersonen, Unternehmen oder Behörden 

(Verwaltungsrecht: Gewährung rechtlichen Gehörs) 

– Vergl. Art 29 Data Protection Working Party Opinion 

2/2006 on privacy issues related to the provision of 

email screening services (WP118). 

– Whitelists / Blacklists sind Verarbeitung 

personenbezogener Daten 

=> Infrastruktur für Einwilligung / Widerruf 

=> Tele(medien)diensterecht 



● Eckpunkte für die Entwicklung: 

– Nutzerkontrollierte Filterung 

– Transparenz und Kontrolle der Datenverarbeitung 

und ihrer Folgen 

– Voreinstellungen für verschiedene Nutzergruppen 

– Einstelloptionen feingranular 


SPITting into your Ear 

● Menschliche Anrufer: Call Center 

● Automatische Anrufe: Spam Bots 

● Ringtone SPIT: Alert-Info SIP-Header 

● Kombinationen 


SPIT-AL: Technischer Ansatz 

● E-Mail-Spam: Analyse von Header und Content 

● Auswertung des Audio- 

Kommunikationsinhaltes: 

– Geht nicht vor Anruf, da synchrones Medium 

– Technisch aufwändig, bindet Ressourcen 

– Unnötig, sobald Sprachverbindung aufgebaut 

– Ggf. Eingriff in Fermeldegeheimnis (strafbewehrt) 

– In SPIT-AL nicht vorgesehen 



● Auswertung von Informationen über Anrufer: 

– Caller-ID? (Fehlende Authenticity bei SIP) 

– Herkunft: PSTN / SIP (Proxy, IP-Range)? 

– Whitelists / Buddylists / Blacklists 

– Rekursive Listen / Vertrauensnetz 

● Auswertung von Informationen über Anruf: 

– Uhrzeit? (Fünf Uhr? Morgens? Och nö, Mutti ...) 

● Ergebnisse gewichten und zusammenführen. 



● Verschiedene Maßnahmen als Reaktion: 

– Simulation eines Gesprächspartners 

(vergl. Telecrapper 2000) 

● Bindet eigene Ressourcen! 

– Honeyphones (siehe in Honeypots, Honeynets) 

● Sammeln und Analysieren von SPIT 

– Ablehnen des Anrufes: Nachrichtenunterdrückung 

– Alles nicht in SPIT-AL 

● 'Filtern' nicht angemessen. Daher: 

Reachability Management gegen SPIT 



● Verschiedene Maßnahmen als Reaktion: 

– Durchleiten zum Angerufenen (einfach!) 

– „Besetzt“ beim ersten Versuch (Greylisting) 

– Aufgabe für den Anrufer: 

„Bitte drücken Sie #42*.“ (Voice-Menu) 

„Wieviel ist sieben minus zwei?“ 

– Umleitung zum Anrufbeantworter 

für asynchrone Übermittlung 

– Hinweis auf alternativen Gesprächsaufbau 

(ggf. höhere Kosten) 



Ansätze zur SPIT-Bekämpfung 

● SPIT-AL – www.spit-abwehr.de 

nicht nur für IP-Telefonie! 

● Vergleichbare Entwicklung bei NEC 

● Microsoft: V-Priorities (Content) 

● RfC-Proposals als Erweiterung für SIP 

Problem: 

Nicht alle Telefone unterstützen gleiche SIP-Features. 


VoIP – Ein Fazit 

● VoIP als Telekommunikation benötigt 

Datensicherheit und Datenschutz. 

● VoIP darf keine Verschlechterung des 

Datenschutzes im Vergleich zum PSTN sein. 

● VoIP bietet mit Verschlüsselungsoptionen die 

Grundlage für Schutz von Privatsphäre und 

Betriebsgeheimnissen. 

● Existierende Standards haben noch 

Verbesserungbedarf; 

Herstellerunabhängigkeit wichtig! 


Zukunft gestalten 

● Technik und Zukunft datenschutzgerecht 

gestalten 

● Projektpartner zusammenbringen 

● Förderungs-Beratung 

markus@privacyresearch.eu

Markus Hansen: Datenschutz und VoIP - Unabhängiges ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?