Bedrohungen moderner Unified Communications-Lösungen

Bedrohungen

Moderne Telefon- und Unified Communications-Lösungen sind den gleichen Bedrohungen ausgesetzt wie traditionelle, vernetzte IT-Systeme. Zusätzlich gibt es aber weitere, die in diesem Blog beschrieben sind.

Physische Bedrohungen

Physisch sind zentrale Systeme je nach Schutzmaßnahme (wie z.B. versperrte Serversysteme) meist sehr gut geschützt. IP-Telefone oder Smartphones sind physisch nicht so einfach vor Sabotage oder mechanische Beschädigung zu schützen.

Logische Bedrohungen

Logisch ist der Zugriffsschutz (meist über ein Netzwerk) auf moderne Telefonlösungen über Firewalls und andere bekannte IT-Maßnahmen gegeben. Die größte Schwachstelle sind heute hauptsächlich Smartphones als Einfallstor für Schadprogramme oder unerlaubte Systemzugriffe.

TheVoIPReport führt 4 Punkte an, die bei Voice over IP-Lösungen zu beachten sind (Quelle: http://thevoipreport.com/article/sip-vulnerable-to-attack/) :

  • Authentifizierung: können Anwender die Identität anderer Anwender stehlen?
  • Integrität: Ist die empfangene SIP-Nachricht die gleiche, die zuvor versendet wurde?
  • Vertraulichkeit: hört jemand anderer beim Verbindungsaufbau zu?
  • Nichtabstreitbarkeit der Urheberschaft: kann man Anrufer nachverfolgen?

Alle 4 Punkte sind zu beachten. Für jeden davon sind geeignete Maßnahmen zu ergreifen.

Abhören von Gesprächen

Gespräche lassen sich bei Voice over IP-Lösungen sehr leicht abhören. Es sind lediglich IP-Pakete mitzulesen (Pakete zu kopieren, die übertragen werden). Werkzeuge sind gratis verfügbar (z.B. Wireshark, siehe http://www.wireshark.org) und zum Abhören aufgezeichneter Gespräche reichen bei Wireshark wenige Klicks: Aufzeichnungsdatei öffnen – Menüleiste „Telephonie“ wählen – aus Untermenü ersten Menüpunkt „VoIP Anrufe“ wählen – im geöffneten Fenster aus der Liste aller aufgezeichneter Gespräche eines anklicken – Taste „Stream abspielen“ in der Fußzeile anklicken – Play „>“ klicken – Zuhören!

Achten Sie auf Verschlüsselung des Medienstroms und, bei Bedarf, der Signalisierung. Viele der heute erhältlichen Produkte sind mit dieser Technik ohne Aufpreis ausgestattet.

Systemredundanz

Redundanz und Ausfallsicherheit gehören in modernen Rechenzentren zum Stand der Technik. Bei Telefonlösungen sind geeignete Maßnahmen erforderlich, um Bedrohungen der Verfügbarkeit der Dienste und der Betriebsstabilität zu gewährleisten. Dazu zählen redundante Serversysteme, redundant ausgeführte Übertragungsstrecken und Netzwerkelemente wie Router oder Switches, aber auch Multimedia-Gateways, auf die Systeme im Fehlerfall automatisch umschalten.

Authentifizierung

Fehlende Authentifizierung erlaubt die Anschaltung beliebiger, oftmals unbekannter und vielleicht gefährlicher Endgeräte (z.B. privat eingebrachte IP-Telefone oder WLAN-Access Points). Damit lassen sich Firewalls umgehen, Schadprogramme verteilen, Einfallstore für Hacker öffnen, und vieles andere mehr. Die besten Schutzmechanismen der IT-Welt helfen nicht, wenn Mitarbeiter Fremdgeräte an das Netzwerk anschalten und das Netz diese nicht erkennt (Anmerkung: Filterung von Ethernet-Rahmen oder IP-Paketen mit unbekannten Hardware- bzw. IP-Adressen ist keine ausreichende Authentifizierungsmethode). Alle am Netz anzuschließenden Systeme sind am Netzwerk zu authentifizieren. Nur so sind autorisierten IP-Telefone oder Gateways berechtigt, auf Netzwerkresourcen und -dienste zuzugreifen. Unerlaubte Endgeräte sind gleichzeitig ausgesperrt.

Verkehrspolitik

Fehlende Verkehrspolitik für Telefon- und Videodienste (also alle Echtzeit-Kommunikationsdienste) führt zu Bedrohungen der Netzwerkeleemente und Protokolle. Sprach- und Videoqualität und Verkehrsklassifizierung (Class of Service, CoS) auf Port-, Anwendungs- und Benutzerebene ist wichtig. Dabei berücksichtigt die Verkehrspolitik auch die Übertragung bzw. Umleitung sensibler Medienströme auf sichere Übertragungsstrecken im Regel- und Fehlerfall oder bei Cyberattacken.

Verfügbarkeit

Ausfälle von Telefondiensten verursachen materielle oder immaterielle Schäden. Planen Sie Bedrohungen durch Ausfälle ein und definieren Sie, wie hoch verfügbar Ihre Lösung sein soll. Neben dem VoIP-Verkehr sind andere wichtige Anwendungen (z.B. Thin Client-Verkehr über Weitverkehrsstrecken) im Netzwerk zu berücksichtigen. Es ist zu klären, was mit diesen Anwendungen im Fehlerfall passieren muss. Das kann großen Einfluss auf die Dimensionierung unterbrechungsfreier Stromversorgungen für Server, Switches oder Router, Bandbreiten auf WAN-Strecken bis hin zur Auslegung von Gebäuden (Bandabschotungen, Dieselaggregate, Leiterquerschnitte, Kabelträger, Mauern, usw.) haben.

Attacken erkennen

Viele Attacken bleiben unerkannt. Der Netzbetreiber wiegt sich in Sicherheit, da er keine Informationen über Sicherheitsverletzungen erhält. Hacker schalten Alarmsysteme bewußt aus, um in Ruhe zu arbeiten. Fragen Sie Ihren Anbieter, welche Methoden in der Telefonlösung implementiert sind, um Attacken zu erkennen. Klären Sie auch, wer die Lösung kontrolliert und welchen Komponenten dafür erforderlich sind. Automatisieren Sie Arbeitsvorgänge zur Entlastung Ihrer eigenen IT-Mannschaft und erhöhen Sie die Betriebssicherheit.

Sicherheitsfunktionen im Netzwerk

Definieren Sie, welche Sicherheitsfunktionen Sie von Ihrem System erwarten. Integrieren Sie viele davon in Ihre Netzkomponenten. Sie entlasten damit die am Netz angschlossenen Server, Clients und Gateways.

Gesetzliche Vorschriften

Berücksichtigen Sie für Ihr Telefonprojekt die von Ihrer Firma definierte Sicherheitsphilosophie und auch die gesetzlichen Vorschriften (Stichwort: General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679)). Denken Sie auch an Branchenvorgaben oder Unternehmenswertungen (durch Ihren eigenen Konzern, Bankenstandards o.Ä.).

 

Unterschiede Sicherheit bei Telefonanlagen und VoIP-Systemen?

Welcher Unterschied besteht aus Sicht der Sicherheit zwischen einer traditionellen Telefonanlage und einem VoIP-System (oder Unified Communications-Lösung)?

Traditionelle Nebenstellenanlagen

Sind schon sehr lange mit Computertechnik ausgestattet. Auch mit lokalen Netzwerken sind sie schon lange gekoppelt, da externe Server für spezifische Anwendungsfälle (z.B. Computer Telefonie Integration, CTI) erforderlich waren. Die zugrundeliegende Technik der Nebenstellenanlagen war meist proprietär. Die wenigen, auf dem System gespeicherten Daten (Anwender-, Gruppen-, Rechte-, Verkehrsdaten) waren für Hacker mit bestimmten Absichten sicher interessant, aber nicht so leicht zugänglich, da sie häufig in den Anlagen direkt gespeichert wurden. Verbindungen zu anderen Systemen waren selten vorhanden. Die Schnittstellen zu den öffentlichen und privaten Vermittlungssystemen sind für Hacker meist schwerer erreichbar als jene der VoIP-Welt. Die gespeicherten Daten (Benutzernamen, Verbindungsdaten,…) sind am Weltmarkt weniger wertvoll als Gesundheits- oder Bankkontodaten.

Moderne VoIP- und Unified Communications-Systeme

Laufen auf Standard-Server-Hardware und Standard-Betriebssystemen bzw. in virtualisierten Umgebungen. Sie sind voll in das Netzwerk integriert und mit den gleichen oder ähnlichen Werkzeugen zu verwalten wie andere IT-Komponenten. Benutzerdaten sind häufig in zentralen Verzeichnissen gespeichert, wobei hier auch viele zusätzliche persönliche Daten wie Geburtsdaten, Familienstand, Arbeitsplatzbeschreibungen, Anwesenheitszeiten uvam. gespeichert sind.

Somit sind auch die gesetzlichen Vorschriften wie die General Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) zu beachten.

General Data Protection Regulation (GDPR) und Meldung beim Datenverarbeitungsregister

Für Österreich gilt insbesondere: ob und in welchem Umfang die in Ihrem Unternehmen gespeicherten Daten zu einer verpflichtenden Meldung beim Datenverarbeitungsregister führen oder nicht, ist von Juristen zu klären. Derzeit gibt es einige definierte Standard- und Musteranwendungen (lt. BGBl. II Nr. 312/2004 und BGBl. II Nr. 278/2015, abrufbar unter http://www.ris.bka.gv.at/), die nur eine vereinfachte Meldung beim Datenverarbeitungsregister (DVR) erfordern. Zusätzlich gelten damit vereinfachte Bestimmungen für die Protokollierung der Übermittlung von Daten oder der Informationsverpflichtung gegenüber Betroffenen. Weitere Informationen finden Sie bei der Datenschutzbehörde der Republik Österreich unter https://www.dsb.gv.at/. Österreichische Gesetze sind unter https://www.jusline.at/gesetze.html abrufbar.

 

Sie haben Fragen oder Beiträge? Nutzen Sie bitte die Kommentarfunktion am Ende des Blogbeitrags. Vielen Dank.

 

Weitere Informationen

Seminare:

Unified Communications-Technologie – Teil I

Unified Communications-Technologie – Teil II

Unified Communications: Anforderungen an Netze

SIP-Protokoll – Details

Seminarunterlagen:

Einsparungspotentiale der IP-Telefonie

Voice over IP-Technologie

Corporate Telephony Strategies for Enterprise Customers and Organizations (englisch)

Weitere Bücher von Ronald Schlager:

Siehe Buchthemen

Über den Autor

Ronald Schlager ist unabhängiger Trainer, Consultant, Buchautor und Blogger mit den Schwerpunkten Kommunikationstechnologien und deren Anwendungen.

Profile:
Ronald Schlager´s BioAmazonFacebookLinkedInSmashwordsTwitterXing

Fotoquelle: pixabay.com, Künstler: geralt