Angaben zur Quelle [Bearbeiten]
| Autor | André Adelsbach, Ammar Alkassar, Karl-Heinz Garbe, Mirko Luzaic, Mark Manulis, Edgar Scherer, Jörg Schwenk, Eduard Siemens |
| Titel | VoIPSEC Studie zur Sicherheit von Voice over Internet Protocol |
| Ort | Bonn |
| Jahr | 2005 |
| URL | https://www.bsi.bund.de/cae/servlet/contentblob/476516/publicationFile/30634/voipsec_pdf.pdf |
Literaturverz. |
ja |
| Fußnoten | ja |
| Fragmente | 14 |
| [1.] Mb/Fragment 174 04 - Diskussion Zuletzt bearbeitet: 2012-08-28 07:04:48 Hindemith | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 174, Zeilen: 4-11 |
Quelle: VoIPSEC 2005 Seite(n): 42;45, Zeilen: 2-3;27-28, 31-35 |
|---|---|
| Durch den Transport von Sprachdaten über offene IP-Datennetze ergeben sich spezifische Bedrohungen gegen Voice over IP-Systeme.597 Herkömmliche leitungsvermittelte Telefonie läuft meist über separate Transportnetze, weshalb ein Angreifer sich zunächst physischen Zugang zu diesem Transportnetz verschaffen muss. Voice over IP-Systeme verwenden dagegen ein IP-Transportnetz, auf das zunächst alle angeschlossenen Rechner Zugriff haben. Die Vertraulichkeit von Sprachdaten, also die Abhörsicherheit von Telefonaten, ist daher von zentraler Bedeutung. [...]598
597 Zu den technischen Schutzmaßnahmen im Zusammenhang mit VoIP insgesamt sogleich unter I. III. 598 Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI), VoIPSEC, Studie zur Sicherheit von Voice over Internet Protocol, 2005, S. 42; die Studie ist im Internet abrufbar unter <http://downloads.bsi-fuerbuerger. de/literat/studien/VoIP/voipsec.pdf>. |
[S. 42]
Durch den Transport von Sprachdaten über standardisierte, offene Datennetze ergeben sich zahlreiche Bedrohungen gegen VoIP Systeme. [S. 45] Wenn im Kontext von VoIP-Systemen über Vertraulichkeit gesprochen wird, liegt der Fokus dabei meist auf der Vertraulichkeit der Sprachdaten, [...] Traditionelle Telefonie läuft meist über separate Transportnetze, weshalb ein Angreifer sich zunächst physischen Zugang zu diesem Transportnetz verschaffen muss. Im Gegensatz dazu verwenden VoIP-Systeme ein IP-Transportnetz, das sie sich mit dem normalen Datenverkehr teilen und auf das daher zunächst auch alle angeschlossenen Rechner Zugriff haben. |
Ungekennzeichnete Übernahme, eine Quellenangabe erfolgt erst zwei Sätze weiter unten |
|
| [2.] Mb/Fragment 174 11 - Diskussion Zuletzt bearbeitet: 2012-08-09 16:24:26 Kybot | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 174, Zeilen: 11-25 |
Quelle: VoIPSEC 2005 Seite(n): 85, Zeilen: 5-10, 16-18, 22-25 |
|---|---|
| Die einzige effektive Maßnahme gegen das Dekodieren der übertragenen Datenströme und das Abhören der Gesprächsinhalte ist eine Verschlüsselung der Daten. Dies kann entweder durch die Verschlüsselung der RTP-Datenströme oder durch Schaltung von Tunneln erfolgen.598 Bei letzterer Vorgehensweise werden Tunnel zwischen zwei Netzen statisch oder dynamisch aufgebaut und damit sowohl die Sprachdaten als auch die Signalisierungsdaten verschlüsselt übertragen.599 Die Verschlüsselung der RTP-Datenströme kann durch SRTP erfolgen, einem Verschlüsselungsmechanismus, der lediglich die Sprachinformationen verschlüsselt. SRTP muss von beiden beteiligten Endgeräten unterstützt werden. Die Daten werden mit einem symmetrischen Schlüssel verschlüsselt, so dass am Anfang der Sprachübertragung ein Schlüsselaustausch erfolgen muss. Dies geschieht in der Regel während des Verbindungsaufbaus im Signalisierungsprotokoll. Sowohl das Protokoll SIP als auch H.323 unterstützen bereits Methoden zum Schlüsselaustausch für SRTP.600
598 Studie des Bundesamtes für Sicherheit in der Informationstechnik (BSI), VoIPSEC, Studie zur Sicherheit von Voice over Internet Protocol, 2005, S. 42; die Studie ist im Internet abrufbar unter <http://downloads.bsi-fuerbuerger.de/'literat/studien/VoIP/'voipsec.pdf>. 599 Hierfür werden die Protokolle IPSec oder PPTP benutzt, vgl. VoIPSEC-Studie des BSI, a. a. O., S. 85. 600 VoIPSEC-Studie des BSI, a. a. 0., S. 85. |
[Seite 85, Zeilen 5-10]
Die einzige effektive Maßnahme gegen das Dekodieren der Medienströme ist eine Verschlüsselung der Daten. Die Verschlüsselung kann wahlweise durch Schaltung von Tunneln oder durch die Verschlüsselung der RTP-Datenströme erfolgen. Die Schaltung von Tunneln – z. B. mit IPSec oder PPTP - hat den Vorteil, dass diese zwischen zwei Netzen statisch oder dynamisch aufgebaut werden und damit sowohl die Sprachdaten als auch Signalisierungsdaten verschlüsselt übertragen werden. [Seite 85, Zeilen 16-18] Mit SRTP steht ein Verschlüsselungsmechanismus zur Verfügung, welcher lediglich für die Verschlüsselung der Sprachinformationen verwendet wird. SRTP muss von den beteiligten Endgeräten unterstützt werden. [Seite 85, Zeilen 22-25] Die Daten im SRTP werden mit einem symmetrischen Schlüssel verschlüsselt. Somit muss am Anfang einer verschlüsselten Sprachübertragung ein Schlüsselaustausch erfolgen. Dies erfolgt in der Regel während des Verbindungsaufbaus im Signalisierungsprotokoll. Die Protokolle H.323, SIP und SCCP unterstützen bereits Methoden zum Schlüsselaustausch für SRTP. |
Quelle ist in der Fn. angegeben; es müßte wohl S. 85 statt S. 42 heißen. Die wortlautnahe Übernahme geht aus der Fn. nicht hervor. Als Zitat ist hier nichts gekennzeichnet worden. |
|
| [3.] Mb/Fragment 174 27 - Diskussion Zuletzt bearbeitet: 2012-08-18 18:26:39 Fret | Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, Verschleierung, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 174, Zeilen: 27-30 |
Quelle: VoIPSEC 2005 Seite(n): 65, 66, Zeilen: 38-40, 44-45; 3-5 |
|---|---|
| In den nächsten Jahren wird mit einer stark zunehmenden Verbreitung von WLANs gerechnet, da sie leicht aufgebaut werden können und dem Nutzer einen flexiblen, positionsunabhängigen Netzzugang innerhalb der Reichweite der Basisstation bieten. Gerade der kostengünstige kabellose Aufbau von [WLANs könnte Unternehmen zum Aufbau eines separaten Voice over IP-Netzwerks auf WLAN-Basis bewegen.] | [Seite 65, Zeilen 38-40]
So können WLANs sehr leicht aufgebaut werden, weil sie keine aufwändige Verkabelung voraussetzen und dem Nutzer flexiblen, positionsunabhängigen Netzzugang innerhalb der Reichweite der Basisstation (engl. access point) bieten. [Seite 65, Zeilen 44-45] Aus diesen Gründen wird in den nächsten Jahren mit einer weiteren, stark zunehmenden Verbreitung von WLANs zum Aufbau geschlossener Netzwerke gerechnet. [Seite 66, Zeilen 3-5] Gerade auch der kostengünstige kabellose Aufbau von WLANs könnte Anwender, insbesondere kleine bis mittelgroße Unternehmen, dazu bewegen ein separates VoIP-Netzwerk auf WLAN-Basis aufzubauen. |
aus Originalbausteinen zusammengebaut; trotz vieler Übereinstimmungen ist nichts als Zitat gekennzeichnet; kein Hinweis auf eine mögliche Quelle. |
|
| [4.] Mb/Fragment 175 01 - Diskussion Zuletzt bearbeitet: 2012-08-24 08:18:09 Fret | Fragment, Gesichtet, KeineWertung, Mb, SMWFragment, Schutzlevel, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 175, Zeilen: 1-2, 5-7 |
Quelle: VoIPSEC 2005 Seite(n): 66, Zeilen: 1-5 |
|---|---|
| [Gerade der kostengünstige kabellose Aufbau von] WLANs könnte Unternehmen zum Aufbau eines separaten Voice over IP-Netzwerks auf WLAN-Basis bewegen. [...] Diese Hotspots bieten einen öffentlichen drahtlosen Internetzugang in Ballungsgebieten und an öffentlichen Orten wie Bahnhöfen, Flughäfen und Universitäten aber auch z. B. in Cafés und Hotels. | [Gleichzeitig geht man von einer] starken Verbreitung so genannter öffentlicher Hotspots aus, die drahtlosen Internetzugang in Ballungsgebieten und öffentlichen Orten wie Bahnhöfen und Flughäfen bieten werden.
Gerade auch der kostengünstige kabellose Aufbau von WLANs könnte Anwender, insbesondere kleine bis mittelgroße Unternehmen, dazu bewegen ein separates VoIP-Netzwerk auf WLAN-Basis aufzubauen. |
Fortsetzung des Fragments der vorangegangenen Seite; trotz vieler Übereinstimmungen ist nichts als Zitat gekennzeichnet; kein Hinweis auf eine mögliche Quelle. Übernahme wird in Mb/Fragment_175_07 nahtlos fortgesetzt. Dort findet sich zum Schluss (Zeile 11, FN 601) dann auch ein Hinweis auf die Quelle.
|
|
| [5.] Mb/Fragment 175 07 - Diskussion Zuletzt bearbeitet: 2012-08-09 16:24:57 Kybot | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 175, Zeilen: 7-11 |
Quelle: VoIPSEC 2005 Seite(n): 67, Zeilen: 6-8, 9-10 |
|---|---|
| Drahtlose Netzwerke sind im Allgemeinen anfälliger gegen Angriffe von außen. Angreifer erhalten viel einfacher Zugang zum Netzwerk, selbst außerhalb der physischen Grenzen der betreibenden Organisation. Sie können daher aus sicherer Entfernung operieren und vergleichsweise anonym handeln.601
601 VoIPSEC-Studie des BSI, a. a. O., S. 67. |
[Seite 67, Zeilen 6-8]
Im Allgemeinen sind drahtlose Netzwerke anfälliger gegen jegliche Art von Angriffen, gleich ob aktiv oder passiv, da ein Angreifer sehr viel einfacher Zugang zum Netzwerk, sogar außerhalb der physischen Grenzen der betreibenden Organisation, erhalten kann [...]. [Seite 67, Zeilen 9-10] Somit können Angreifer aus sicherer Entfernung und vergleichsweise anonym operieren. |
Schließt unmittelbar an Mb/Fragment_175_01 an; wie dort auch hier: weitgehend wörtliche Übernahme ohne Kenntlichmachung eines Zitats. Quellenverweise sind zwar vorhanden, lassen den Leser aber im Unklaren über Art und Umfang der Übernahme. |
|
| [6.] Mb/Fragment 188 24 - Diskussion Zuletzt bearbeitet: 2012-08-27 22:22:14 Fret | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 188, Zeilen: 24-31 |
Quelle: VoIPSEC 2005 Seite(n): 72, Zeilen: 36-42 |
|---|---|
| b) Mögliche Sicherheitsmaßnahmen
Voice over IP-Systeme können durch geeignete Sicherheitsmaßnahmen auch bei einem Ausfall der Stromversorgung verfügbar gehalten werden. Ein physikalischer Schutz der Stromversorgung der Endgeräte kann durch „Power-over-Ethernet“ (PoE) gewährleistet werden.645 Die Stromversorgung kann dann über die gleichen Netzwerkleitungen erfolgen, die auch für die Sprach- und Datenkommunikation genutzt werden, so dass keine zusätzlichen Netzteile für die IP-Telefone verwendet werden müssen. 645 VoIPSec-Studie des BSI, a. a. O., S. 72. |
[2] Sicherungsmaßnahmen für eine Stromversorgung
Um das Telefoniesystem auch bei einem partiellen oder vollständigen Ausfall der Stromversorgung verfügbar zu halten, sind Maßnahmen zur Sicherung der Stromversorgung zu ergreifen. Power-over-Ethernet (PoE): Die Stromversorgung der Endgeräte kann mittels PoE physikalisch über die gleichen Netzwerkleitungen gewährleistet werden, die auch für die Sprach- und Datenkommunikation genutzt werden, so dass keine zusätzlichen Netzteile für die VoIP-Telefone verwendet werden müssen. |
Weitgehend wörtliche Übernahme ohne Kenntlichmachung eines Zitats. Quellenverweise sind zwar vorhanden (am Ende des nächsten Satzes folgt ein weiterer Verweis auf die Quelle: FN 647), lassen den Leser aber im Unklaren über Art und Umfang der Übernahme. |
|
| [7.] Mb/Fragment 189 01 - Diskussion Zuletzt bearbeitet: 2012-08-27 22:12:42 Hindemith | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 189, Zeilen: 1-4 |
Quelle: VoIPSEC 2005 Seite(n): 73, Zeilen: 13-14, 19-20, 20-23 |
|---|---|
| [Die Stromversorgung der anderen Systemkomponenten sollte durch geeignete USV646-Systeme abgesichert wer]den.647 Zu den Sicherungsmaßnahmen gehört auch eine regelmäßige Wartung und Überprüfung der Notstromversorgungsanlage durch Fachpersonal. In einem Voice over IP-Betriebskonzept können zudem eine automatische Überwachung und Meldesysteme über den Zustand der Energieversorgung integriert werden.
[646 USV steht für Unterbrechungsfreie Stromversorgung.] 647 VoIPSec-Studie des BSI, a. a. O., S. 73. |
[Seite 73, Zeilen 13-14]
Unterbrechungsfreie Stromversorgung (USV): Die Stromversorgung der Middleware und der Übertragungswege (Switche, Router) sollte durch geeignete USV-Systeme abgesichert werden. [Seite 73, Zeilen 19-23] Zu den Sicherungsmaßnahmen der Energieversorgung gehört eine regelmäßige Wartung und Überprüfung der USV- und Notstromversorgungsanlage durch Fachpersonal [...]. Eine automatische Überwachung und Meldesysteme (E-Mail, SMS) über den Zustand der Energieversorgungsanlagen, sowie ein Entstörungsmanagement sollten in einem VoIP-Betriebskonzept integriert werden. |
Weitgehend wörtliche Übernahme ohne Kenntlichmachung eines Zitats. Ein Quellenverweis ist zwar vorhanden, lässt den Leser aber im Unklaren über Art und Umfang der Übernahme, die auch nach dem Verweis weitergeht. |
|
| [8.] Mb/Fragment 230 22 - Diskussion Zuletzt bearbeitet: 2012-08-09 16:26:37 Kybot | Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, Verschleierung, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 230, Zeilen: 22-27 |
Quelle: VoIPSEC 2005 Seite(n): 42, Zeilen: 1-5 |
|---|---|
| 2.) Bedrohungslage für Voice over IP-Systeme
Bei Voice over IP-Systemen erfolgt die Übertragung von Sprachdaten über standardisierte, offene Datennetze. Daraus ergeben sich zahlreiche Bedrohungsszenarien. Hinzu kommt, dass Voice over IP-Systeme aus vielen Einzelkomponenten bestehen und jede dieser Komponenten eine Vielzahl von Schwachstellen aufweisen kann. |
3. Bedrohungsanalyse beim Einsatz von VoIP-Systemen
Durch den Transport von Sprachdaten über standardisierte, offene Datennetze ergeben sich zahlreiche Bedrohungen gegen VoIP Systeme. Verschärft wird die Bedrohungslage dadurch, dass VoIP-Systeme aus vielen Einzelkomponenten bestehen und jede dieser Einzelkomponenten für sich genommen bereits ein komplexes, vielschichtiges System mit möglichen Schwachstellen darstellt. |
nichts ist als Zitat gekennzeichnet, kein Hinweis auf irgendeine Quelle. |
|
| [9.] Mb/Fragment 230 27 - Diskussion Zuletzt bearbeitet: 2012-08-09 16:26:47 Kybot | Fragment, Gesichtet, KeineWertung, Mb, SMWFragment, Schutzlevel, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 230, Zeilen: 27-32, 103-105 |
Quelle: VoIPSEC 2005 Seite(n): 42, Zeilen: 39-43 |
|---|---|
| In Kommunikationssystemen werden drei klassische primäre Sicherheitsziele unterschieden: Vertraulichkeit, Integrität und Verfügbarkeit.826 Unter Vertraulichkeit wird in diesem Kontext der Schutz vor unbefugter Preisgabe von Informationen, unter Integrität der Schutz vor unbefugter Datenveränderung und unter Verfügbarkeit der Schutz vor unbefugter Vorenthaltung von Informationen verstanden.
826 Department of Trade and Industry: Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik, 1991, abrufbar unter <http://www.bsi.bund.de/zertifiz/itkrit/itsec.htm>. |
In allgemeinen Kommunikationssystemen unterscheidet man die drei klassischen primären Sicherheitsziele [ITSEC91]:Vertraulichkeit (engl. confidentiality), Integrität (engl. integrity) und Verfügbarkeit (engl. availability). Dabei bezeichnet „Vertraulichkeit“ den Schutz vor unbefugter Preisgabe von Informationen, „Integrität“ den Schutz vor unbefugter Veränderung von Informationen und Verfügbarkeit den Schutz vor unbefugter Vorenthaltung von Informationen.
[ITSEC91] Department of Trade and Industry: Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik; London, UK, Juni 1991, abrufbar unter http://www.bsi.bund.de/zertifiz/itkrit/itsec.htm |
In der genannten Quelle heißt es wörtlich: "In diesem Zusammenhang bedeutet IT-Sicherheit Interessant, dass die selbstformulierte Überschrift dieser Quelle mit derjenigen in der ungenannten Quelle übereinstimmt und dass wie in der ungenannten Quelle die "Betriebsmittel" im letzten Punkt fehlen. |
|
| [10.] Mb/Fragment 231 02 - Diskussion Zuletzt bearbeitet: 2012-08-27 21:51:32 Hindemith | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 231, Zeilen: 2-7 |
Quelle: VoIPSEC 2005 Seite(n): 48, Zeilen: 22-23, 27, 28-30, 36-37 |
|---|---|
| Durch einen physikalischen Angriff auf die Netzwerkinfrastruktur besteht die Möglichkeit einer totalen Kompromittierung des Voice over IP-Systems. Die Bedrohung umfasst hier sämtliche IT-Komponenten, wie insbesondere Call-Server, Voice-Mail-Server, Gateways, Gatekeeper, Router, etc.827 Betroffen sein können aber auch Kabeltrassen, das Kabelverteilersystem oder der Zugang zu den entsprechenden Räumlichkeiten.
827 Vgl. hierzu die umfassende Analyse der VoIPSEC-Studie des BSI, a. a. O., S. 48 ff. |
[Seite 48, Zeilen 22-23]
Durch einen physikalischen Zugriff auf IP-Telefonsysteme, das Netzwerk oder die Netzwerkkomponenten besteht die Möglichkeit einer totalen Kompromittierung des Systems. [Seite 48, Zeile 27] Die physikalische Bedrohung umfasst alle IT-Komponenten [...]. [Seite 48, Zeilen 28-30] Insbesondere betrifft das sämtliche Call-Server, VoiceMail-Server, Gateways, Gatekeeper, sowie alle Router, Core-Switches und Workgroup-Switches. [Seite 48, Zeilen 36-37] Zu den bedrohten Bereichen gehören auch alle wichtigen Kabeltrassen, Kabelverteilersysteme, Datenverteiler, USV-Räume, Leittechnikräume und Klimaräume. |
Trotz der Quellenangabe sind Art und Umfang der wörtlichen Übernahmen nicht ersichtlich. Die Übernahme setzt sich aus der gleichen Quelle fort. Siehe: Mb/Fragment_231_08 |
|
| [11.] Mb/Fragment 231 08 - Diskussion Zuletzt bearbeitet: 2012-08-27 21:50:10 Hindemith | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 231, Zeilen: 8-28 |
Quelle: VoIPSEC 2005 Seite(n): 47-48, Zeilen: S.47,21-23.24-27.29-31.33-43 und S.48,1.2-6 |
|---|---|
| Netzwerkangriffe können in sog. Netzwerk- und Port-Scans bestehen, bei denen der Angreifer Anfragen in ein Netzwerk oder an einen Rechner sendet, um bestimmte Informationen zu ermitteln. In der Praxis werden diese Zugriffe meist zum Auffinden möglicher Schwachstellen benutzt und dienen so der Vorbereitung des eigentlichen Angriffs.828 Eine andere Angriffsart ist das sog. Spoofing, bei dem der Angreifer seine Identität verschleiert, indem er Nachrichten oder Pakete mit gefälschten Informationen sendet. Beim IP-Spoofing fälscht der Angreifer Teile des IP-Headers, um z. B. das Vertrauen des Empfängers in die ihm bekannte Adresse auszunutzen. Beim DNS-Spoofing kann das System des Opfers auf die IP-Adresse des Angreifers umgeleitet werden, indem der Angreifer DNS-Antworten fälscht. Bei sog. Replay-Angriffen zeichnet ein Angreifer Nachrichten auf, um sie zu einem späteren Zeitpunkt erneut zu senden.
DoS829-Attacken zielen auf die Verfügbarkeit von IT-Systemen, indem deren Ressourcen in extrem hohem Maße in Anspruch genommen werden. Oftmals werden hierbei Schwachstellen in Implementierungen oder Protokollen ausgenutzt. Der Angreifer kann den Service des Opfers aber auch regulär nutzen und z.B. durch eine große Anzahl legaler Suchanfragen überbelasten. DDoS830-Attacken bezeichnen konzentrierte DoS-Angriffe, bei denen mehrere Systeme einen DoS-Angriff auf das Opfersystem durchführen. Voice over IP-Systeme sind aufgrund der hohen Quality-of-Service-Anforderungen831 extrem anfällig für DoS- und DDoS-Angriffe. 828 VoIPSEC-Studie des BSI, a. a. O., S. 47. 829 Denial of Service. 830 Distributed Denial of Service. 831 S. dazu unter Kapitel 2 C. VI. 2.). |
[Seite 47]
Netzwerk- und Port-Scans Bei Netzwerk- und Port-Scans sendet der Angreifer Anfragen in ein Netzwerk oder an einen Rechner, um bestimmte Informationen [...] zu ermitteln. In der Praxis werden sie meist zum Auffinden möglicher Schwachstellen und zur Vorbereitung des eigentlichen Angriffs verwendet. Spoofing Angriffe Bei Spoofing Angriffen sendet der Angreifer Nachrichten oder Pakete mit gefälschten Informationen. [...] Bekannte Spoofing Angriffe umfassen das IP Spoofing, wobei der Angreifer Teile des IP-Headers (meist die IP-Quelladresse) fälscht, beispielsweise, um Adressen-basierendes Vertrauen in dem Opfersystem auszunutzen. [...] Beim DNS Spoofing fälscht der Angreifer DNS-Antworten und kann dadurch das Opfersystem auf seine eigene IP-Adresse umleiten. Replay Angriffe Replay Angriffe bestehen darin, dass ein Angreifer (authentisierte) Nachrichten aufzeichnet, um sie zu einem späteren Zeitpunkt erneut zu senden. DoS und DDoS Angriffe DoS (engl. denial of service) Angriffe zielen auf die Verfügbarkeit von IT-Systemen, indem deren Ressourcen wie Speicher, Rechenleistung oder Netzwerkbandbreite in hohem Maße durch den Angreifer verbraucht werden. DoS Angriffe können darin bestehen, dass der Angreifer den Service des Opfersystems regulär nutzt (beispielsweise eine große Anzahl legaler Suchanfragen startet). Häufiger werden jedoch Schwachstellen in Implementierungen [...] [Seite 48] oder in Protokollen [...] ausgenutzt. Unter DDoS (engl. distributed denial of service) Angriffen versteht man einen konzertierten DoS Angriff, bei dem mehrere Systeme, häufig durch den Einsatz von Malware und durch einen einzelnen Angreifer gesteuert, einen DoS Angriff gegen das Opfersystem durchführen. Durch die hohen QoS-Anforderungen von VoIP-Systemen sind diese extrem anfällig gegen DoS-Angriffe. |
Die Quelle wird systematisch zusammengefasst. Hier wurde nichts als Zitat gekennzeichnet, die einzige Fußnote steht mitten im Text und macht das umfängliche Ausmaß der Übernahme nicht deutlich (hierzu hätte es mindestens die Angabe "S. 47f" bedurft). Ein weiterer Verweis auf die Quelle etwas weiter oben im Text verweist mit "Vgl. hierzu die umfassende Analyse der VoIPSEC-Studie des BSI, a. a. O., S. 48ff." ebenfalls nicht auf die hier herangezogenen Ausführungen. Die häufigen Umstellungen und leichten stilistischen Veränderungen ändern nichts daran, dass hier praktisch durchgehend Formulierungen der Quelle benutzt werden. |
|
| [12.] Mb/Fragment 232 01 - Diskussion Zuletzt bearbeitet: 2012-08-09 19:59:46 Fret | Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, Verschleierung, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 232, Zeilen: 1-18 |
Quelle: VoIPSEC 2005 Seite(n): 61, Zeilen: 13-22, 24-30, 32-37, 40-42 |
|---|---|
| b) Bedrohungen auf Anwendungsebene
aa) Schadprogramme Auf Anwendungsebene ergeben sich Risiken für Voice over IP-Systeme durch unterschiedliche Programme mit Schadensfunktionen, sog. Malware.832 Eine Bedrohung kann sich durch Computer-Viren, Würmer, Trojanische Pferde oder durch Implementierungsfehler ergeben. Viren sind nichtselbstständige Programme, die sich selbst reproduzieren, indem sie sich an andere Programme des Betriebssystems anhängen und so vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornehmen.833 Würmer sind hingegen selbstständige Programme, die sich selbst reproduzieren. Würmer versuchen, Computer in einem Netzwerk zu infizieren, während Viren Dateien auf einem Computersystem verseuchen. Da Würmer Systemressourcen stark beanspruchen können, werden durch diese Beeinträchtigung der Leistung des infizierten Systems auch DoS-Angriffe ermöglicht.834 Trojanische Pferde sind Schadprogramme, die scheinbar nützliche Funktionen enthalten. Sie können ohne Wissen des Nutzers Manipulationen ausführen, Daten ausspähen und weiterleiten.835 Auch durch Fehler der Implementierung von Software können unbeabsichtigt Sicherheitslücken entstehen. 832 Wortkonstruktion aus malicious (boshaft) und Software. 833 Holznagel, Recht der IT-Sicherheit, S. 22 f. 834 VoIPSEC-Studie des BSI, a. a. O., S. 61. 835 Holznagel, Recht der IT-Sicherheit, S. 21. |
3.4 Bedrohungen auf Anwendungsebene
3.4.1 Programme mit Schadensfunktionen Unterschiedliche Programme mit Schadensfunktionen (Malware), wie Viren, Würmer und Trojanische Pferde, sowie Fehler in der Implementierung (Bugs) stellen ein Risiko für die Funktionalität und Sicherheit von Anwendungen der IP-Telefonie dar. Viren Computer-Viren sind nichtselbstständige Programme, die sich selbst reproduzieren, indem sie sich an andere Programme oder Bereiche des Betriebssystems anhängen und, einmal aktiviert, vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornehmen. [...] Würmer Computer-Würmer sind selbstständige Programme, die sich selbst reproduzieren, indem sie über ein Netzwerk an Programmen oder Betriebssystemen anderer Computer Manipulationen vornehmen. Die Abgrenzung zu Viren besteht darin, dass ein Wurm versucht eine Zahl von Computern in einem Netzwerk zu infizieren, während ein Virus versucht, Dateien auf einem Computersystem zu infizieren. Würmer beanspruchen Systemressourcen und können die Leistung des infizierten Systems beeinträchtigen und somit DoS-Angriffe verursachen. [...] Trojanische Pferde Trojanische Pferde sind Programme, die neben scheinbar nützlichen auch verborgene, schädliche Funktionen enthalten und diese unabhängig vom Benutzer und ohne dessen Wissen ausführen. [...] Trojanische Pferde werden zur Manipulation, oder Ausspähung und Weiterleitung von vertraulichen Daten, sowie zwecks eines vom Benutzer unkontrollierten Fernzugriffs auf das System eingesetzt. [...] Durch Fehler in der Implementierung können unbeabsichtigt Sicherheitslücken geöffnet und das Schadensrisiko unnötig gesteigert werden. |
In der Mitte weitgehende ungekennzeichnete Übereinstimmung, am Anfang und Ende Paraphrasierung unter Benutzung vorgefundener Textbausteine ohne Nennung der eigtl. Quelle. |
|
| [13.] Mb/Fragment 232 20 - Diskussion Zuletzt bearbeitet: 2012-08-24 08:26:43 Fret | Fragment, Gesichtet, KeineWertung, Mb, SMWFragment, Schutzlevel, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 232, Zeilen: 19-25 |
Quelle: VoIPSEC 2005 Seite(n): 62, 63, Zeilen: 13-15; 15-18 |
|---|---|
| bb) Endgeräte
Voice over IP-Endgeräte sind IP-Telefone und Soft-IP-Telefone.836 Soft-IP-Telefone sind besonders gefährdet, von Schadprogrammen angegriffen zu werden. Das liegt daran, dass sie meistens auf den weit verbreiteten Betriebssystemen, wie Windows, basieren und Ressourcen mit anderen installierten Anwendungen teilen, die wiederum eigene Sicherheitslücken aufweisen können.837 836 Siehe dazu bereits unter Kapitel 2 C. I. 837 VoIPSEC-Studie des BSI, a. a. O., S. 63. |
[S. 62, Z. 13-15]
3.4.2 VoIP – Endgeräte [S. 63, Z. 15-18] Generell lässt sich sagen, dass Softphones besonders stark für die Angriffe von Programmen mit Schadensfunktionen (z. B., Code-Red und Nimda) anfällig sind, weil sie meistens auf den weit verbreiteten Betriebssystemen, wie Windows, Unix, oder Linux basieren und Ressourcen mit anderen installierten Anwendungen teilen, die eigene Sicherheitslücken haben können. |
Weitgehend wörtliche Übernahme ohne Kenntlichmachung eines Zitats, hierbei starke Kürzung der Darlegungen der Quelle. Quellenverweise sind zwar vorhanden, lassen den Leser aber im Unklaren über Art und Umfang der Übernahme. |
|
| [14.] Mb/Fragment 235 05 - Diskussion Zuletzt bearbeitet: 2012-09-07 08:55:55 Graf Isolan | BauernOpfer, Fragment, Gesichtet, Mb, SMWFragment, Schutzlevel sysop, VoIPSEC 2005 |
|
|
|
| Untersuchte Arbeit: Seite: 235, Zeilen: 5-16 |
Quelle: VoIPSEC 2005 Seite(n): 86, Zeilen: 22-23, 30-32, 35-38, 39-44 |
|---|---|
| Eine Firewall soll ein internes, sicheres System vor unberechtigten Zugriffen schützen und gleichzeitig berechtigte Zugriffe zu geschützten Bereichen zulassen.848 Wird eine Identifizierungs-Instanz eingerichtet, so sollte diese mit den schützenden Firewallsystemen verbunden werden. Bei der Leitung von Sprachdaten über die Grenzen der Firewall hinaus ist möglichst eine Voice over IP-fähige Firewall zu verwenden, die die verwendeten Signalisierungsprotokolle mit dem gesamten Rufauf- und -abbau analysieren kann. Anhand dieser Protokollanalyse werden die benötigten Ports für die Dauer der Kommunikation geöffnet.849 Hierdurch kann allerdings die Qualität der Sprachübertragung leiden, da der Einsatz einer leistungsfähigen Firewall negativen Einfluss auf Delay und Jitter850 der übertragenen Sprachsignale haben kann.
848 Holznagel, Recht der IT-Sicherheit, a. a. O., S. 32. 849 VoIPSEC-Studie des BSI, a. a. 0 ., S. 86. 850 Eine Erklärung dieser Begriffe befindet sich in Kapitel 2 C. 2.). |
Eine Firewall soll ein internes, sicheres System vor unberechtigten Zugriffen aus einem unsicheren Netz schützen und gleichzeitig berechtigte Zugriffe zu den geschützten Bereichen zulassen. [...]
Zugriffe auf VoIP-Systemkomponenten durch berechtigte Nutzer bzw. Administratoren sollten erst nach erfolgreicher zentraler Authentisierung möglich sein, wobei die Authentifizierungs-Instanz ihrerseits mit den schützenden Firewallsystemen verbunden ist. [...] Werden Signalisierungs- und Sprachdaten über Firewallgrenzen hinaus geleitet, sollte eine so genannte VoIP-fähige Firewall verwendet werden, die in der Lage ist, die verwendeten Signalisierungsprotokolle mit dem gesamten Rufauf- und -abbau zu analysieren und die jeweiligen Zustände zu speichern. Anhand der Protokollanalyse [...] werden die benötigten Ports für die Dauer der Kommunikation geöffnet. Die Leistungsfähigkeit des eingesetzten Firewallsystems beeinflusst nicht nur den Schutz, sondern auch die Qualität der übertragenen Sprache. Durch die Verarbeitung vieler kleiner Datenpakete, wie sie bei VoIP üblich sind, wird die CPU einer Firewall stark belastet, was direkte Auswirkungen auf Delay und Jitter der übertragenen Sprachsignale haben kann. |
Gekürzt, aber die Einzelteile bleiben unverkennbar wie im Original. Keinerlei Kennzeichnung als Zitat. Der erste, durch FN 848 Holznagel (2003) zugeschriebene Satz ist in der genannten Quelle so nicht zu finden. Zwar werden unter RN 10 auf Seite 32 von Holznagel (2003) Firewalls behandelt, die hier benutzte Formulierung stammt aber nicht von dort. |
|