Immer mehr Unternehmen migrieren von der herkömmlichen Telefonie zu VoIP. Allerdings wird der Sicherheitsaspekt von den meisten Unternehmen vernachlässigt und somit Tür und Tor für Hacker und Spione geöffnet.
Jeder spricht heutzutage über Internettelefonie oder Voice over IP (VoIP). Vor allem Unternehmen interessieren sich immer mehr für diese schnelle und kostengünstige Form der Telekommunikation und stellen ihre Telefonanlagen auf VoIP um. Bei vielen Großunternehmen mit eigenen Netzen gehört das Telefonieren über IP-basierte Netzwerke bereits heute zum Standard und auch bei kleinen und mittelständischen Unternehmen findet VoIP zunehmend Anklang. Besonders interessant ist diese neue Technologie deshalb, weil Firmen die bereits bestehenden Datennetzwerke relativ einfach für die IP-Sprachkommunikation und Zusatzfunktionen wie Videokonferenzen, Instant Messaging oder Audiokonferenzen nutzen können. Laut einer Studie der Unternehmensberatung Deloitte aus dem August 2005 soll der Markt für VoIP-Lösungen in Deutschland bis 2007 ein Volumen von 528 Millionen Euro erreichen.
VoIP – so (un)sicher wie E-Mail-Services
Bei aller Begeisterung für VoIP dürfen Entscheider in Unternehmen jedoch nicht vergessen, dass VoIP zahlreichen Sicherheitsgefahren innerhalb und außerhalb des Betriebes ausgesetzt ist. Letztlich bedeutet VoIP, dass Sprachsignale in Datenpakete umgewandelt und als solche über das Internet übermittelt werden. Dadurch unterliegen diese Sprachinformationen den gleichen digitalen Risiken wie herkömmliche internetbasierte Applikationen, beispielsweise die E-Mail-Services: Diese Datenpakete können demnach abgehört, entwendet oder manipuliert werden. Hacker können sich Zugänge zu Computern verschaffen und persönliche Daten ausspionieren.
Da sich durch die Verbindung von Telefon und Internet das Risiko erhöht, dass Internetbedrohungen auch auf die Telekommunikationssysteme übergreifen, müssen Unternehmen bei der Investitionsplanung sämtliche Sicherheitsaspekte, die auch für die übrige IT-Infrastruktur gelten, berücksichtigen.
Alte Bekannte auf neuem Terrain: Viren, Würmer, Trojaner, Hacker…
Grundsätzlich stellt jede Anwendung, die auf einer Verbindung zum Internet basiert, eine zusätzliche Gefahrenquelle für Unternehmensnetze dar. Durch VoIP können bösartige Bedrohungen wie Viren, Würmer oder Trojanische Pferde ins Netzwerk eindringen. Überdies können VoIP-Systeme mit massiven DoS-Attacken komplett lahm gelegt werden.
Darüber hinaus bedeuten neue Protokolle, die das Telefonieren über das Internet unterstützen, neue potenzielle Schwachstellen. Es ist also zu erwarten, dass Hacker deshalb nicht nur die bekannten Möglichkeiten für ihre Attacken auf VoIP-Anwendungen ausschöpfen, sondern auch die neuen Protokolle für ihre Zwecke nutzen. Schon jetzt lassen sich via Web geführte Telefongespräche leicht und von überall auf der Welt abhören, beispielsweise durch Softwareanwendungen wie „Vomit“. Der Diebstahl schützenswerter Informationen durch Industriespionage erreicht somit eine neue Bedrohungsstufe. Neben den Risiken, die die Vertraulichkeit und Integrität von Unternehmensinformationen bedrohen, taucht in Analogie zu Spam ein Phänomen auf, das die Produktivität in Unternehmen empfindlich herabsetzen könnte: Gemeint ist SPIT (Spam over Internet Telephony), eine neue, dreiste Form des automatisierten Telefonmarketings.
Fest steht: VoIP wird noch für einige Jahre unsicherer sein als die Festnetztelefonie.
Wie können Unternehmen sich schützen?
Mit VoIP wird die Sorge um die Sicherheit der Telekommunikation vom Festnetzbetreiber auf die IT-Abteilungen der Unternehmen verlagert. Ein großes Problem ist, dass Anbieter von VoIP-Lösungen und -Dienstleistungen bisher zu wenig auf die Sicherheitsprobleme der Internettelefonie aufmerksam machen. Unternehmen müssen den Aufbau ihrer VoIP-Architektur deshalb sorgfältig planen und dabei ihre Erfahrungen aus der Netzwerksicherheit nutzen, um Sicherheitsrisiken zu minimieren.
Grundsätzlich ist eine sichere und verfügbare IT-Infrastruktur die Voraussetzung für den Einsatz von VoIP. Die Sicherheitsmaßnamen, sollten in das gesamte Netzwerk integriert und aufeinander abgestimmt sein.
Folgende Schritte sind hier unabdingbar:
Verschlüsselung der Sprachdatenpakete: Wer sicher gehen will, dass niemand die eigenen Gespräche belauschen kann, sollte zur Sicherung der Sprachpakete eine Verschlüsselungssoftware mit einem hohen Verschlüsselungsstandard wie beispielsweise IPSec einsetzen.
Konsequentes Richtlinienmanagement: Regelmäßige Überprüfungen sämtlicher VoIP-Komponenten auf Übereinstimmung mit den Sicherheitsrichtlinien ist gerade in einem so dynamischen Umfeld wie der Internettelefonie wichtig.
IDS, IPS und Firewalls: Diese halten ungebetene Gäste und Fremdtelefonierer fern und warnen vor unautorisierten Zugriffen. Eine Firewall ist ein effektiver Schutz vor Hackern, Datendieben und auch Spyware. Zudem muss unbedingt eine Einbruchsblockierung (Intrusion Detection System, Intrusion Prevention System) vorhanden sein: Sobald das Programm bei einem ankommenden Daten- oder Sprachpaket ungewöhnliche „Anhänge“ erkennt, blockt es den Zugang zum Rechner. Zudem sollte die Firewall sowohl den ein- als auch den ausgehenden Datenverkehr überwachen, damit niemand während eines Gesprächs heimlich (Sprach-)Daten klauen kann.
Virenschutz-Software: Für einen ganzheitlichen Schutz des Unternehmens vor Viren, Würmern, Trojanern oder auch Spyware muss auf allen Ebenen des Netzwerks und an allen Eintrittsstellen in das Netzwerk eine Virenschutz-Software vorhanden sein. Um jederzeit auch vor den neuesten Gefahren geschützt zu sein, müssen die Sicherheitsfunktionen der Virenschutz-Software kontinuierlich aktualisiert werden. Regelmäßige Updates – professionelle Programme erledigen das automatisch, sobald der Nutzer online ist – sorgen hier für optimalen Schutz.
Patchmanagement und automatisierte Upgrades der Software: VoIP-Software und damit verbundene immanente Schwachstellen sind in der Regel anbieterspezifisch. Auch hier ist es unabdingbar, dass die Applikation stets auf dem neusten Stand ist und verfügbare Patches überall und sofort auf dem Unternehmensnetzwerk angebracht werden.
Frühwarnsysteme: Sie erlauben es Unternehmen, mögliche Angriffe bereits im Vorfeld zu erkennen und sich mit geeigneten Abwehrmaßnahmen dagegen zu wappnen.
Absicherung der WLANs: Mitarbeiter, die geschäftlich unterwegs sind, können via Laptop über das IP-Netz telefonieren. Wie generell bei der Internetsicherheit muss auch hier besonderes Augenmerk auf die Sicherung des mobilen Geräts – insbesondere bei der Einwahl in einen Hotspot – gelegt werden, damit die Mitarbeitenden nicht Opfer von Lauschangriffen werden.
Die Entwicklungs- und Positionierungschancen von VoIP im Unternehmensbereich werden von Marktforschern sehr positiv beurteilt. CIOs sollten bei der Entscheidung für diese neue Technologie allerdings bedenken, dass nur eine sichere und verfügbare IT-Infrastruktur die Voraussetzung für den sicheren Einsatz von Voice over IP ist.
Bündnis gegen VoIP-Risiken
Ende 2004 wurde die VoIP Security Alliance (VOIPSA) aus der Taufe gehoben, eine Vereinigung von VoIP-Anbietern, Universitäten, Sicherheitsspezialisten und Forschern, der sich auch Symantec angeschlossen hat. Ihr Ziel ist es, die Sicherheit und den Datenschutz bei VoIP zu untersuchen und geeignete Technologien zu ihrer Verbesserung zu entwickeln. Mehr Informationen zu diesem Bündnis unter www.voipsa.org.
(Autor: Guido Sanchidrian)