Google+ Facebook Twitter XING LinkedIn GoogleCurrents YouTube

Internet-Telefonie

Sicher und schadenfrei kommunizieren mit VoIP

09.02.2007 | Autor / Redakteur: Frank Reiländer / Dietmar Kuhn

Bild 1: Ein großer Vorteil der VoIP-Technologie ist die Einbindung von Außendienstmitarbeitern in das interne Telefonnetz; der Nachteil: Gerät die VoIP-Kennung in die falschen Hände, verstopfen bald Werbebotschaften per Sprachnachricht die Voice-Mailboxen der Mitarbeiter und verhindern so deren Erreichbarkeit. Bild: Arcor
Bild 1: Ein großer Vorteil der VoIP-Technologie ist die Einbindung von Außendienstmitarbeitern in das interne Telefonnetz; der Nachteil: Gerät die VoIP-Kennung in die falschen Hände, verstopfen bald Werbebotschaften per Sprachnachricht die Voice-Mailboxen der Mitarbeiter und verhindern so deren Erreichbarkeit. Bild: Arcor

Die IP-Telefonie (VoIP) bietet Unternehmen völlig neue Möglichkeiten zur kostengünstigen Kommunikation. Die Integration von Daten- und Sprachnachrichten in einem gemeinsamen Kanal birgt aber auch eine ganze Reihe von Risiken. Nur mit Hilfe eines umfassenden Risikomanagements lassen sich diese Gefahren in ihrer Gesamtheit erkennen und kontrollieren. VoIP wird so zu einer nicht nur nützlichen, sondern auch zur sicheren Kommunikations-Technik.

Ein realistischer Fall: Ein Unternehmen hatte seit wenigen Wochen seine ISDN-Telefonanlage durch eine hochmoderne VoIP-Anlage ersetzt. Man erhoffte sich zahlreiche Vorteile durch diesen Schritt: Außer Kosteneinsparungen war einer der Hauptgründe die bessere Einbindung von Außendienstmitarbeitern und Home-Office-Nutzern (Bild 1). Doch schon bald gab es die ersten Probleme: Mitarbeiter beklagten, dass der Speicherplatz ihrer Voice-Mailboxen ständig durch automatische Werbeanrufe belegt sei, die ersten Rechnungen wiesen jede Menge nicht zuzuordnender Anrufe auf und eine kleinere Störung des IT-Netzwerkes hatte den Ausfall der kompletten Telefonanlage zur Folge.

Tatsächlich birgt die Einrichtung einer VoIP-Anlage außer den zahlreichen Vorteilen auch viele Risiken – von massenhaften Werbeanrufen bis hin zu kriminellen Abhörangriffen. Wie aber kann ein Unternehmen sich vor solchen Gefahren schützen? Und lohnt sich angesichts der Risiken die Anschaffung einer VoIP-Anlage überhaupt?

VoIP birgt keine essenziell neuen Risiken

Unternehmen befürchten zu Recht, dass sie gravierende Schäden erleiden, durch den Diebstahl von schützenswerten Informationen und auch Gebührenbetrug. Entscheidend bei der Abwehr dieser Risiken ist jedoch, zu erkennen, dass VoIP keine essenziell neuen Sicherheitsrisiken mit sich bringt. Denn dem VoIP-Telefonsystem liegt ein IP-Netz zugrunde, wie es bereits seit Jahren in den Unternehmen beispielsweise für die E-Mail-Kommunikation genutzt wird.

So trifft man bei den Gefahren für VoiP auf viele alte Bekannte: Was die Spam-Flut bei E-Mails ist, ist der so genannte SPIT-Angriff (Spam over Internet Telephony) beim VoIP: Das massenhafte Aussenden von Werbebotschaften per Sprachnachricht. Die Verfügbarkeit von Mitarbeitern, Voice-Mailboxen und im Extremfall des Servers wird damit eingeschränkt. Auch betrügerische Angriffe, wie das so genannte IP-Spoofing, werden für das Telefonsystem zur Gefahr. Mit gefälschten IP-Adressen geben sich Betrüger gegenüber dem System als autorisierte Nutzer aus, um Sicherheitsmaßnahmen auszutricksen. Gebührenbetrug oder illegales Anmelden eines IP-Telefons an einem VoIP-Server sind so möglich. Und mit so genannten Denial-of-Service-Attacken legen Angreifer das komplette Daten- und Sprachnetz lahm, indem Unmengen von Anfragen gesendet werden.

Pharming, Viren und Würmer

Laut aktueller Studien sehen Unternehmen eine der größten Gefahren bei der VoIP-Technik im Abhören von Gesprächen durch Dritte. Da die Sprachpakete beim VoIP normalerweise unverschlüsselt sind, ist diese Sorge durchaus berechtigt. Eine bereits aus der IT-Welt bekannte Betrugsmethode ist dabei das Pharming: Gespräche werden unbemerkt über einen Fremdserver geleitet, um sie abzuhören oder beispielsweise VoIP-Passwörter abzufangen. Und weitere bekannte Gefahren gehen beim Herunterladen von Programmen durch Spyware, Viren, Würmer und andere Malware aus.

Doch wie bei anderen IT-Anwendungen auch, ist es beim VoIP möglich, sich vor solchen Gefahren zu schützen (Bild 2). Alle Einzelkomponenten des VoIP-Systems müssen dabei mit einbezogen werden. Einige technische Sicherheitsvorkehrungen sind:

  • Daten und Sprache zumindest logisch voneinander trennen, um Denial-of-Service- und Abhörangriffe zu erschweren (Bild 3).
  • Starke Zugangskontroll- und Authentifizierungssysteme für alle VoIP-Komponenten installieren.
  • Technische Lösungen implementieren, um Denial-of-Service- und andere Formen von IP-Attacken zu verhindern (zum Beispiel Anti-Spoofing-Filter).
  • Jeder User sollte sich für die IP-Telefonie mit einem Benutzer-Kennwort einloggen.
  • Softphones wo möglich vermeiden, da diese besonders anfällig für Angriffe durch Malware sind.
  • Patches erneuern: Patches zum Schutz des VoIP-Systems immer sofort aktualisieren.
  • Das System bestmöglich durch Anti-Viren-Programme oder eine lokale Firewall absichern.

Um sich vor SPIT zu schützen sollte zusätzlich darauf geachtet werden, dass die VoIP-Kennung nicht in die falschen Hände gerät. Außerdem kann es langfristig Sinn machen, ähnlich wie bei der Auswahl einer E-Mail-Adresse, darauf zu achten, dass die SIP-Kennung nicht ohne weiteres erratbar beziehungsweise automatisch generierbar ist.

Sicherheitsrisiko Mitarbeiter

Technische Maßnahmen allein reichen bei der Bekämpfung von IT-Risiken allerdings nicht aus. Denn außer Viren und Würmern stellen Mitarbeiter seit jeher eines der Hauptrisiken für die IT-Sicherheit in Unternehmen dar. Passwörter werden oftmals für andere einsehbar notiert und Geräte nicht gesperrt, so dass Sicherheitslücken auf Kosten des Unternehmens ausgenutzt werden können. Das gilt auch beim VoIP: Das ungesperrte Telefongerät eröffnet Dritten Einblick in Ruflisten, Voicemails und Telefonbücher. Der Angreifer kann an einem ungesperrten VoIP-Endgerät zudem die Sprachverschlüsselung deaktivieren und die Gespräche über seinen Rechner leiten.

Auch die Infrastruktur eines Unternehmens stellt eine gravierende Sicherheitslücke dar. Wer den Weg zu seiner zentralen IT-Infrastruktur bereits am Empfang durch große Hinweisschilder jedem Fremden kenntlich macht und Zugangstüren dann auch noch offen stehen lässt, darf sich nicht wundern, wenn Server durch Dritte manipuliert oder Daten geklaut werden.

Umfassendes Sicherheitsmanagement mit Methode

Entscheidend für die Sicherheit von VoIP ist daher die Einbindung sowohl technischer als auch organisatorischer Maßnahmen und zwar bezogen auf alle Komponenten des Systems. Den besten Schutz gewährleistet ein Sicherheitsmanagement, das die Gefahren in ihrer Gesamtheit erkennt. Nur so können Risiken, egal ob durch neue oder bestehende Anwendungen, kontrolliert werden.

Einen solchen Gesamtschutz bietet das BSI Unternehmen seit Jahren mit dem IT-Grundschutz-Verfahren an. Das Grundschutz-Verfahren berücksichtigt über die Netzwerksicherheit hinaus auch grundlegende organisatorische Aspekte, wie Mitarbeiterschulungen und die Infrastruktur. Seit 2006 ist auch der Baustein VoIP-System integriert. Mittels einer ganzheitlichen Sicherheitsanalyse können Unternehmen die Gefahren für die IT gezielt aufdecken, um sie dann besser zu kontrollieren. Der Einführung einer hochmodernen VoIP-Telefonanlage steht dann nichts mehr im Weg.

Frank Reiländer ist Leiter Business Unit IT-Security der Infodas GmbH in Köln, Tel. (02 21) 7 09 12-85, security@infodas.de

VoIP-Begriffe kurz erklärt

MediaGateway:

Ermöglichen die Verbindung vom IP-Netz zu einem herkömmlichen Festnetzanschluss. Gateways sind zum einen mit dem Computernetzwerk als auch mit dem normalen Telefonnetz verbunden und leiten die Anfragen in beide Richtungen weiter.

IP-Telefon:

Eigenständige Telefon-Geräte, mit Hardwarekomponenten, die direkt an das IP-Netzwerk angeschlossen werden.

SIP:

SIP steht für „Session Initiation Protocol“ und ist ein Protokoll, über das eine Kommunikationssitzung mittels IP aufgebaut werden kann. Weitere Protokolle sind das veraltete H.323 oder das herstellerspezifische Protokoll von Skype.

Softphones:

Auf dem Computer installierte Anwendungsprogramme, deren Funktionalität der eines IP-Telefons entsprechen.

Voice-Mail:

Sprachspeicherdienst, der Sprache elektronisch speichert. Die Abfrage ist dann per Mailbox oder Email möglich und kann auch als Anhang versendet werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 198302 / Betriebstechnik)

Themen-Newsletter Betriebstechnik abonnieren.
* Ich bin mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung einverstanden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechenaufgabe (Addition) ein.

Dossier Maschinensicherheit 2019

Funktionale Sicherheit in allen Facetten

Ohne geht's nicht: Maschinensicherheit steht bei Konstrukteuren und Entwicklern ganz oben auf der Prioritätenliste – Hier die spannendsten Artikel der letzten Monate rund um die Funktionale Sicherheit in einem Dossier zusammengefasst. lesen

Sonderausgabe elektrotechnik AUTOMATISIERUNG

Konstruktion & Integration von Industrierobotern

Der Roboter als Komponente und Joker: In der Sonderausgabe "Robotik & Automation" erhalten Sie Tipps, Tricks und Praxis-Insights für Konstruktion, Automation und Integration von Insutrierobotern. lesen