IP-Telefonie

Sicherheit ist machbar

26.01.2007 | Autor / Redakteur: Pietro Guidato / Andreas Donner

Redundant ausgelegte Systeme stehen für eine hohe Verfügbarkeit der IP-Telefonie
Redundant ausgelegte Systeme stehen für eine hohe Verfügbarkeit der IP-Telefonie

Unternehmen, die eine IP-Telefonie-Lösung einführen wollen, sollten sich durch Sicherheitsfragen nicht abschrecken lassen. Gerade im Unternehmensumfeld lässt sich das Thema Voice over IP (VoIP) gut beherrschen. Wer die richtigen technischen und organisatorischen Maßnahmen ergreift, kann IP-Telefonie-Lösungen so sicher und verfügbar machen, wie man es von der klassischen Telefonie gewohnt ist.

Deutsche Unternehmen diskutieren nicht nur über Voice over IP, sie investieren auch in IP-Telefonie-Lösungen. Einer Studie der Berliner Marktforscher Berlecon zufolge nutzt zirka jedes dritte Unternehmen in Deutschland mit mehr als 500 Mitarbeitern bereits Voice over IP beziehungsweise IP-Telefonie-Lösungen, ein weiteres Drittel plant die Nutzung.

Während die einen die Chancen der IP-Telefonie für sich erkannt hat, zögern andere. Immerhin 46 Prozent der Nichtnutzer äußerten Berlecon zufolge Sicherheitsbedenken, 27 Prozent erschien der Nutzen zu gering und 24 % gaben an, sie seien technisch noch nicht vorbereitet.

Gerade bei neuen Kommunikationstechnologien wie der IP-Telefonie spielt die Sicherheit eine wichtige Rolle: Da sind auf der einen Seite die „gefühlten Sicherheitslücken“, gespeist durch täglich neue Meldungen über Viren, Würmer, Trojaner und Phishing-Attacken aller Art. Zutreffend ist auf der anderen Seite jedoch auch, dass in vielen Unternehmen das Sicherheitsbewusstsein nur schwach ausgeprägt ist. Vielerorts gibt es weder ein unternehmensweites IT-Securitykonzept noch ein IT-Security-Management. Das ist eine der möglichen Erklärungen, warum Unternehmen zögern, IP-Telefonie einzuführen.

Vertraulichkeit, Integrität und Verfügbarkeit

An Konzepten und Vorschlägen hier Abhilfe zu schaffen, mangelt es nicht. So hat sich beispielsweise auch das Bundesamt für Sicherheit in der Informationstechnik in der Studie „Sichere Umstellung der Sprachkommunikation auf IP-Technologie“ zu dem Thema geäußert. Das BSI erläutert in der Stellungnahme, was bei der Konvergenz von Sprach- und Datendiensten technisch und organisatorisch notwendig ist. Zusammenfassend nennt das BSI drei Säulen der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit.

Damit beschreibt das BSI die wesentlichen Zutaten eines Security Frameworks, mit dem Anwender eine vergleichbar hohe Verfügbarkeit, Vertraulichkeit und Sicherheit bei der IP-Telefonie erreichen können, wie sie bei den traditionellen Telekommunikationsnetzen vorausgesetzt wird. Ein solches Security Framework, wie es Damovo entwickelt hat, enthält eng aufeinander abgestimmte Maßnahmen auf drei Ebenen: Server, LAN-Infrastruktur und Endgeräte. Dabei sind alle Einzelmaßnahmen technisch und organisatorisch eng miteinander verzahnt.

Security für Server

Zum direkten Schutz der IP-Telefonie-Server ist zunächst einmal der Einsatz speziell optimierter und gehärteter Betriebssysteme mit standardmäßig integrierten Firewallfunktionen erforderlich, seien es spezielle Varianten von Linux, Solaris oder Windows. Gehärtete Hardware bedeutet unter anderem: Es sind nur die für Telefonie-Anwendungen benötigten Schnittstellen zugänglich. Arbeiten die IP-Telefonie-Server mit Windows, sollte bereits bei der Installation darauf geachtet werden, die Funktion des Internet Information Server abzuschalten. Sie wird auf Telefonie-Servern in aller Regel nicht benötigt.

Notwendig sind darüber hinaus Viren-Scanner, die auf den Servern Viren aufspüren, sie isolieren und löschen. Ergänzt werden die Viren-Scanner durch Intrusion-Detection/Prevention-Systeme (IDS/IPS). Solche Lösungen schlagen Alarm, sobald sie in den überwachten Daten einen vermeintlichen Angriff erkennen. Ein IDS/IPS muss so konfiguriert sein, dass es die spezifische Signalisierung der IP-Telefonie-Kommunikation richtig interpretiert und nicht als Angriff auf das System wertet.

Security für die Netzwerk-Infrastruktur

Die bislang getrennten Netzwerke von Sprache und Daten werden bei der IP-Telefonie unter der Maßgabe der Konvergenz zusammengeführt. Aus Qualitäts- und Sicherheitsgründen erfolgt jedoch logisch eine Untergliederung in virtuelle LANs (VLANs), um etwaige Störungen auf ein Segment zu begrenzen und Gefahren zu minimieren. Mit Hilfe von Switches sind die Server in einem VLAN zu logischen Gruppen zusammengefasst. Alle Geräte in einem VLAN können zunächst einmal ausschließlich mit den anderen Devices im eigenen VLAN kommunizieren, sodass das geswitchte Netzwerk wie eine Anzahl mehrerer, nicht verbundener LANs zu betrachten ist.

Der Einsatz einer Firewall ist ein weiterer Aspekt der Netzsicherheit. Bekanntermaßen ist die Firewall ein Thema, wenn es um die Absicherung des Internetzugangs nach außen geht. Hier ist jedoch eine neue, interne Firewall gefragt, die nur bestimmte, dedizierte Verbindungen erlaubt. Ein solcher, höchst effektiver Schutz wird benötigt, wenn von einem Notebook durch einen Software-Client eine Verbindung in das Telefonie-VLAN benötigt wird. Ein weiteres Szenario: Der Unified-Communication-Server steht im Daten-VLAN, um eine direkte Kommunikation mit dem Webkonferenz-Server zu ermöglichen und muss gleichzeitig auch für IP-Telefone aus dem Telefonie-VLAN für das Abrufen der Sprachnachrichten erreichbar sein. Auch wenn über das IP-Telefon mit seinen neuen Möglichkeiten der Verschmelzung von Applikationen nun ein Zugriff auf das Internet oder Intranet erfolgen soll, kann für diese Verbindungen ein Weg durch die Firewall in das andere virtuelle LAN ermöglicht werden.

Um Manipulationen zu vermeiden und den „Einbruch“ in ein Netzwerk so schwer wie möglich zu machen, müssen sich alle Benutzer und Endgeräte möglichst authentifizieren. Niemand soll sich als jemand anderes ausgeben können. Zur Authentifizierung kommen hier Standards wie IEEE 802.1x zum Einsatz. Am LAN-Zugang oder einem logischen VLAN erfolgt eine Authentifizierung, wobei ein Authentifizierungsserver (RADIUS-Server) die übermittelten Informationen prüft und den Zugriff auf das VLAN zulässt oder abweist.

Notwendig bei der Sicherheit der Netzwerk-Infrastruktur ist schließlich eine gesicherte End-to-End-Verschlüsselung unter Nutzung von SRTP (Secure Real-time Transport Protocol, eine verschlüsselte Variante des Real-Time Transport Protocol zur Übertragung audiovisueller Daten in IP-Netzwerken), IPsec und MPLS (Multiprotocol Label Switching). Bei MPLS geht es unter anderem um die Quality of Service (QoS), mit der das ordnungsgemäße Funktionieren aller zusammenwirkenden Komponenten eines Telekommunikationsnetzes bezeichnet wird.

Security für Endgeräte

Viele der Aspekte, die für die Sicherheit im LAN sorgen, gelten auch für die Endgeräte, seien es IP-Telefone, Soft-Clients auf stationären Desktopsystemen oder Notebooks, aber auch Smartphones und IP-fähigen Mobiltelefone. Auch hier zählen Maßnahmen wie Viren-Scanner, eine Personal Firewall, die Authentifizierung, die Datenverschlüsselung auf den Devices und die verschlüsselte Übertragung der Informationen.

Entscheidend für das Gesamtkonzept der Sicherheit rund um die IP-Telefonie sind neben der Auswahl der passenden technologischen Konzepte organisatorische Maßnahmen. Eine Risikoanalyse, wie sie Damovo fordert, deckt Schwachstellen auf und zeigt, wie die Sicherheitslücken zu schließen sind. Denn Unternehmen, die ihre Sicherheitsrisiken beim Einsatz neuer Kommunikationstechnologien realistisch einschätzen, sind besser für den Ernstfall gewappnet.

Security für Anwender

Mit Technologie alleine ist es jedoch nicht getan. Denn die beste Security-Technologie nutzt nichts, wenn Mitarbeiter die grundlegenden Sicherheitsregeln eines Unternehmens missachten. Zu den wichtigsten Maßnahmen zählt neben der Nutzung eines in vorgegebenen Intervallen zu ändernden Passworts eine gründliche Schulung der Mitarbeiter über potenzielle Gefahren sowie eine regelmäßige Bewertung der gesamten IT-Security. Erst durch unmissverständliche Verhaltensregeln entwickelt ein IT-Security-Konzept seine volle Wirkung. Denn was bewirkt das beste Sicherheitskonzept, wenn Mitarbeiter beispielsweise Firmeninterna in der Öffentlichkeit per Handy mit ihren Kollegen austauschen oder ihre mobilen Endgeräte im Außendienst ohne ausreichenden Passwortschutz und Verschlüsselung der sensiblen Unternehmensdaten verwenden?

Zentraler Bestandteil eines Security-Konzepts ist daher die realistische Bewertung der IT-Security-Risiken, eine Identifikation möglicher Schwachstellen und damit verbundener Bedrohungsszenarien. Erst aus dieser Risikobewertung, die die Eintrittswahrscheinlichkeit und die Schadenshöhe (gering, spürbar, hoch oder gar unternehmenskritisch) einschätzt, ergeben sich konkrete Hinweise, an welchen Stellen gezielte Security-Investitionen vorzunehmen sind. Einer der wichtigsten Aspekte: IT-Security muss kontinuierlich auf den Prüfstand, um einen Soll-Ist-Vergleich zu erstellen und bei Bedarf zusätzliche Maßnahmen einzuleiten.

Über den Autor

Pietro Guidato ist Leiter Solution Engineering und IP-Telefonie-Experte bei Damovo in Neuss.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002043 / Protokolle und Standards)