14.05.2007, 08:29 Uhr
Voip und Sicherheit - ein Widerspruch?
Damit die Sicherheit einer IP-Telefonielösung gewährleistet ist, müssen alle Schichten der ihr zugrunde liegenden Architektur ausreichend geschützt werden.
Beat Stettler ist Professor an der Hochschule für Technik Rapperswil. Thomas Jenni ist Security-Experte bei Sunrise.
Das Internet ist nicht sicher. Wie kann dann die Internet-Telefonie sicher sein? Eine berechtigte Frage. Trotzdem nutzen Millionen Menschen eine Software wie Skype, um online zu kommunizieren. Dass viele Gratis-Tools Lücken aufweisen, ist bekannt. Doch wie sicher sind kommerzielle IP-Telefonielösungen für Firmen? Um dieser Frage auf den Grund zu gehen, muss die Architektur von IP-Telefonie-lösungen untersucht werden. Diese besteht aus drei Schichten: Die Basis bildet das IP-Netzwerk mit Komponenten wie Switches, Router, Firewalls und Wireless-Techniken. Darauf aufsetzend befinden sich die eigentlichen IP-Telefonie-Produkte, bestehend aus Hard- oder Softphones sowie den «Intelligenzen». Letztere steuern die Endgeräte und sind zuständig für den Auf- und Abbau sowie den Unterhalt von Verbindungen. Die oberste Schicht bilden die geschäftsrelevanten -Applikationen wie Büroanwendungen, E-Mail, Datenbanken, CRM- oder ERP-Systeme.
Damit eine IP-Telefonielösung als sicher beurteilt werden kann, müssen alle Schichten ihren Beitrag leisten. Erschwert wird dies dadurch, dass in den drei Bereichen meist mehrere Hersteller und Lieferanten involviert sind und somit eine aktive Steuerung und Koordination aller Beteiligten nötig ist.
Das Netzwerk
Bei der Voip-Einführung unterteilen viele Firmen ihr IP-Netz in einen Daten- und eine Voice-Teil. So kann die Sprache einfacher mit der nötigen Quality-of-Service versehen werden und die Endgeräte lassen sich besser schützen. Layer-2-Angriffe zum Umleiten des Sprachverkehrs oder zur Störung der Telefoniesysteme können ausgebremst werden. Allerdings verhindert die Trennung oft den Einsatz nützlicher Anwendungen wie Softphones auf Laptops und das Telefonieren aus Office- und ERP-Applikationen. Deshalb verschieben sich die Sicherheitsbemühungen zunehmend auf die nächsthöhere Schicht.
Die IP-Telefoniesysteme
Essenziell ist der Schutz der Telefoniekomponenten, insbesondere der Kommunikationsserver. Diese müssen vor Angriffen aus dem Firmennetz abgesichert werden. Solche Attacken stammen von unzufriedenen Mitarbeitern oder von eingeschleppten Viren. Fehlt der Schutz, kann die gesamte IP--Telefonie lahm gelegt werden. Zudem sind heutige IP-Telefone meist mit einem Webserver ausgerüstet, damit sie einfach konfiguriert und verwaltet werden können. Dieser kann bei einigen Produkten deaktiviert oder Passwort-geschützt werden.
Die IP-Telefoniesysteme selbst sollten zudem wichtige Sicherheitsfunktionen unterstützen, um Benutzer zu identifizieren, den Kontroll- und den Sprachverkehr zu verschlüsseln und zu unterbinden, dass private Gesprächsgebühren auf die Firma umgelagert werden.
Die Applikationen
Zunehmend werden auch Geschäftsanwendungen mit Telefoniefunktionen ausgestattet. So wird etwa die nächste Version von Microsoft Office entsprechend erweitert. Verbindungen sollen aus verschiedenen Anwen-dungen heraus gestartet werden können. Zudem können Anrufer durch die Caller ID identifiziert werden. Dies erlaubt etwa bei CRM-Applikationen, das richtige Kundendossier automatisch zu öffnen. Allerdings lassen sich Caller IDs auch fälschen. Wie bei jeder anderen Applikation muss zum Schutz der unterstützten Geschäftsprozesse ein genügendes Mass an Sicherheit aufgebaut und gewährleistet werden. Es stellen sich Fragen zum Schutzbedarf, zu möglichen Risiken, sowie der Integration von Voip ins IT-Umfeld und der Anpassung der IT-Security-Policy. Immer komplexere IT-Landschaften, organisierte kriminelle Angreifer aus dem Netz und regulatorische Anforderungen verlangen daher nach einer starken Verankerung der Sicherheit im Unternehmen und im Management.
Der Aufbau eines Information Security Management Systems (ISMS), gestützt auf Standards und Good Practices wie ISO27001und ISO17799, stärkt das Unternehmen in seinem Bestreben nach optimierter, wirksamer und betreibbarer Sicherheit. Nebst der Infrastruktur fokussiert ein ISMS auch auf die Organisation und Prozesse sowie Gebäude und Anlagen.
Fazit: Frühzeitig planen
Jede Firma muss sich die Frage stellen, wie schützenswert ihre Telefonate sind und wie stark sie auf eine stets funktionierende Telefonanlage angewiesen ist. Die Antwort wird je nach Branche und Betrieb unterschiedlich ausfallen und so werden auch unterschiedlich starke Securitymassnahmen zum Tragen kommen. Daher gilt, dass schon vor dem Kauf des IP-Telefoniesystems die Sicherheitsbedürfnisse formuliert und in die Evaluation miteinbezogen werden müssen. Die Implementierung einer Voip--Lösung beziehungsweise deren Sicherheit ist der ideale Zeitpunkt, dies auf der Basis eines ISMS zu realisieren und so die Sicherheit des ganzen Unternehmens zu stärken.
In eigener Sache
Voip: Ganzheitliches Sicherheitsmanagement
Zum Thema «Voip und Security - ein Widerspruch?» findet eine Vortragsreihe von Sunrise in Zusammenarbeit mit Computerworld statt. Lassen Sie sich die Aspekte von Voip-Security und die Integration auf der Ebene eines ganzheitlichen -Security-Managements aufzeigen.
Referenten:
o Fredy Haag, Chefredaktor -Computerworld
o Professor Beat Stettler, Hochschule für Technik Rapperswil
o Martin Leuthold, Mitglied der Geschäftsleitung AWK Engineering
o Thomas Jenni, Security-Experte bei Sunrise
Daten:
Zürich, Dienstag, 22. Mai 2007
Bern, Donnerstag, 31. Mai 2007
Basel, Mittwoch, 6. Juni 2007
Infos und Anmeldung unter: www.sunrise.ch/business-circles
Beat Stettler, Thomas Jenni