Zurück

VoIP: Gefahren umfassend managen

VoIP alles wird besser, oder doch nicht?

Die IP-Telefonie (VoIP) bietet Unternehmen völlig neue Möglichkeiten zur kostengünstigen Kommunikation. Die Integration von Daten- und Sprachnachrichten in einem gemeinsamen Kanal birgt aber auch eine ganze Reihe von Risiken. Nur mit Hilfe eines umfassenden Risikomanagements lassen sich diese Gefahren in ihrer Gesamtheit erkennen und kontrollieren. VoIP wird so zu einer nicht nur nützlichen, sondern auch zur sicheren Technologie ...

Ein realistischer Fall: Ein Unternehmen hatte seit wenigen Wochen seine ISDN-Telefonanlage durch eine hochmoderne VoIP-Anlage ersetzt. Man erhoffte sich zahlreiche Vorteile durch diesen Schritt: Neben Kosteneinsparungen war einer der Hauptgründe die bessere Einbindung von Außendienstmitarbeitern und Home-Office-Nutzern. Doch schon bald gab es die ersten Probleme: Mitarbeiter beklagten, dass der Speicherplatz ihrer Voice-Mailboxen ständig durch automatische Werbeanrufe belegt sei, die ersten Rechnungen wiesen jede Menge nicht zuzuordnender Anrufe auf und eine kleinere Störung des IT-Netzwerkes hatte den Ausfall der kompletten Telefonanlage zur Folge.

Tatsächlich birgt die Einrichtung einer VoIP-Anlage neben zahlreichen Vorteilen auch viele Risiken - von massenhaften Werbeanrufen bis hin zu kriminellen Abhörangriffen. Wie aber kann ein Unternehmen sich vor solchen Gefahren schützen? Und lohnt sich angesichts der Risiken die Anschaffung einer VoIP-Anlage überhaupt?

Keine essenziell neuen Risiken

"Die Verunsicherung hinsichtlich der Sicherheitsrisiken von VoIP ist groß", erklärt Frank Reiländer, Leiter Business Unit IT-Security der Infodas GmbH, eines führenden deutschen Spezialisten für IT Security Management. "Unternehmen befürchten zu Recht, dass sie gravierende Schäden erleiden, durch den Diebstahl von schützenswerten Informationen und auch Gebührenbetrug. Entscheidend bei der Abwehr dieser Risiken ist jedoch, zu erkennen, dass VoIP keine essenziell neuen Sicherheitsrisiken mit sich bringt." Denn dem VoIP-Telefonsystem liegt ein IP-Netz zugrunde, wie es bereits seit Jahren in den Unternehmen z.B. für die E-Mail-Kommunikation genutzt wird.

So trifft man bei den Gefahren für VoiP auf viele alte Bekannte: Was die Spam-Flut bei E-Mails ist, ist der so genannte SPIT-Angriff (Spam over Internet Telephony) beim VoIP: Das massenhafte Aussenden von Werbebotschaften per Sprachnachricht. Die Verfügbarkeit von Mitarbeitern, Voice-Mailboxen und im Extremfall des Servers wird damit eingeschränkt. Auch betrügerische Angriffe, wie das so genannte IP-Spoofing, werden für das Telefonsystem zur Gefahr. Mit gefälschten IP-Adressen geben sich Betrüger gegenüber dem System als autorisierte Nutzer aus, um Sicherheitsmaßnahmen auszutricksen. Gebührenbetrug oder illegales Anmelden eines IP-Telefons an einem VoIP-Server sind so möglich. Und mit so genannten Denial-of-Service-Attacken legen Angreifer das komplette Daten- und Sprachnetz lahm, indem Unmengen von Anfragen gesendet werden.



Pharming, Viren und Würmer

Laut aktueller Studien sehen Unternehmen eine der größten Gefahren bei der VoIP-Technologie im Abhören von Gesprächen durch Dritte. Da die Sprachpakete beim VoIP normalerweise unverschlüsselt sind, ist diese Sorge durchaus berechtigt. Eine bereits aus der IT-Welt bekannte Betrugsmethode ist dabei das Pharming: Gespräche werden unbemerkt über einen Fremdserver geleitet, um sie abzuhören oder z. B. VoIP-Passwörter abzufangen. Und weitere bekannte Gefahren gehen beim Herunterladen von Programmen durch Spyware, Viren, Würmer und andere Malware aus.

Doch wie bei anderen IT-Anwendungen auch, ist es beim VoIP möglich, sich vor solchen Gefahren zu schützen. Alle Einzelkomponenten des VoIP-Systems müssen dabei mit einbezogen werden. Einige technische Sicherheitsvorkehrungen sind:

* Daten und Sprache zumindest logisch voneinander trennen, um Denial-of-Service- und Abhörangriffe zu erschweren.
* Starke Zugangskontroll- und Authentifizierungssysteme für alle VoIP-Komponenten installieren.
* Technische Lösungen implementieren, um Denial-of-Service- und andere Formen von IP-Attacken zu verhindern (z. B. Anti-Spoofing-Filter).
* Jeder User sollte sich für die IP-Telefonie mit einem Benutzer-Kennwort einloggen.
* Softphones wo möglich vermeiden, da diese besonders anfällig für Angriffe durch Malware sind.
* Patches erneuern: Patches zum Schutz des VoIP-Systems immer sofort aktualisieren.
* Das System bestmöglich durch Anti-Viren-Programme oder eine lokale Firewall absichern.

Um sich vor SPIT zu schützen sollte zusätzlich darauf geachtet werden, dass die VoIP-Kennung nicht in die falschen Hände gerät. Außerdem kann es langfristig Sinn machen, ähnlich wie bei der Auswahl einer E-Mail-Adresse, darauf zu achten, dass die SIP-Kennung nicht ohne weiteres erratbar bzw. automatisch generierbar ist.

Sicherheitsrisiko Mitarbeiter Technische Maßnahmen allein reichen bei der Bekämpfung von IT-Risiken allerdings nicht aus. Denn neben Viren und Würmern stellen Mitarbeiter seit jeher eines der Hauptrisiken für die IT-Sicherheit in Unternehmen dar. Frank Reiländer kennt die Gefahren aus seiner Praxis als ISO 27001/IT-Grundschutz-Auditor des BSI (Bundesamt für Informationstechnik): "Passwörter werden oftmals für andere einsehbar notiert und Geräte nicht gesperrt, so dass Sicherheitslücken auf Kosten des Unternehmens ausgenutzt werden können." Das gilt auch beim VoIP: Das ungesperrte Telefongerät eröffnet Dritten Einblick in Ruflisten, Voicemails und Telefonbücher. Der Angreifer kann an einem ungesperrten VoIP-Endgerät zudem die Sprachverschlüsselung deaktivieren und die Gespräche über seinen Rechner leiten.

Auch die Infrastruktur eines Unternehmens stellt eine gravierende Sicherheitslücke dar. "Wer den Weg zu seiner zentralen IT-Infrastruktur bereits am Empfang durch große Hinweisschilder jedem Fremden kenntlich macht und Zugangstüren dann auch noch offen stehen lässt, darf sich nicht wundern, wenn Server durch Dritte manipuliert oder Daten geklaut werden", erklärt Reiländer.

Umfassendes Sicherheitsmanagement mit Methode

Entscheidend für die Sicherheit von VoIP ist daher die Einbindung sowohl technischer als auch organisatorischer Maßnahmen und zwar bezogen auf alle Komponenten des Systems. "Den besten Schutz", so Reiländer, "gewährleistet ein Sicherheitsmanagement, das die Gefahren in ihrer Gesamtheit erkennt. Nur so können Risiken, egal ob durch neue oder bestehende Anwendungen, kontrolliert werden."

Einen solchen Gesamtschutz bietet das BSI Unternehmen seit Jahren mit dem IT-Grundschutz-Verfahren an. Das Grundschutz-Verfahren berücksichtigt neben der Netzwerksicherheit auch grundlegende organisatorische Aspekte, wie Mitarbeiterschulungen und die Infrastruktur. Seit 2006 ist auch der Baustein VoIP-System integriert. Mittels einer ganzheitlichen Sicherheitsanalyse können Unternehmen die Gefahren für die IT gezielt aufdecken, um sie dann besser zu kontrollieren. Der Einführung einer hochmodernen VoIP-Telefonanlage steht dann nichts mehr im Weg.

Quelle: Pressebox 12.1.2007

Zurück