IT-Abteilungen müssen für VoIP-Sicherheit sorgenSichere Internet-Telefonie in Unternehmen

VoIP setzt sich in Unternehmen durch – Security-Handlungsbedarf!

IT-Abteilungen müssen für VoIP-Sicherheit sorgen

Derzeit telefonieren 9 Prozent der Unternehmen und 11 Prozent der Privatanwender in Deutschland über das Internet-Protokoll, gab der Branchenverband Bitkom im Oktober 2006 bekannt. Wer auf Voice over IP umsteigt, kann demnach bis zu 30 Prozent Kosten sparen, schätzt Bitkom-Präsident Willi Berchtold.

Viele Unternehmen haben diesen Trend erkannt. So erscheint VoIP erstmals mit hoher Priorität auf ihrer Agenda, erfuhr das Beratungsunternehmen Experton bei einer branchen- und größenübergreifenden Befragung von 465 Firmen in Deutschland im ersten Halbjahr 2006. Unter den KMUs aber fühlen sich nur wenige Firmen wohl bei dem Gedanken, ihre in Sprachpakete zerstückelten Gespräche querbeet durch das Internet zu schicken. Genauer gesagt sind es 7,8 Prozent. Das stellt der Verband der EDV- Software- und -Beratungsunternehmen (VDEB) fest.

Kurz gesagt: Es besteht Handlungsbedarf in Sicherheitsdingen.

Im Einsatz befindet sich VoIP derzeit überwiegend in internen Firmennetzen, auch standortübergreifend. Wo Daten und Sprache nur noch über ein gemeinsames Netz laufen, erübrigt sich die Infrastruktur für die klassische Festnetztelefonie – und die wird nach Expertenmeinung im Laufe der nächsten Jahre vollständig durch VoIP abgelöst werden (siehe Grafik)

IT-Sicherheits-Maßnahmen auch für VoIP nötig

IT-Abteilungen müssen für VoIP-Sicherheit sorgen

“Mit VoIP wird die Sorge um die Sicherheit der Telekommunikation vom Festnetzbetreiber in die IT-Abteilungen der Unternehmen verlagert”, betont Guido Sanchidrian Gonzalez, Product Marketing Manager bei Symantec.

Da Daten und Sprache über ein gemeinsames Netz transportiert werden, gelten nun auch für das Telefonieren typische IT-Sicherheitsthemen wie Verschlüsselung, Firewalls, Denial-of-Service (DoS), Spoofing oder Spam.

Hohe Bedeutung bekommt auch die Ausfallsicherheit, denn wenn die IT-Anlage abstürzt, ist auch die Telefonanlage lahm gelegt – eine Vorstellung, bei der 66,7 Prozent der von VDEB Befragten Bauchschmerzen bekommen. Denn eine Nicht-Erreichbarkeit wirkt sich negativ aus: Vertrauens- und Imageverlust, Umsatzausfälle. Viel wird davon abhängen, ob VoIP-Systeme die gleiche Verlässlichkeit besitzen wie die bisherigen Telefonsysteme.

Über zusätzliche Sicherheitsfunktionen wird “viel zu viel Wind gemacht”, so Klaus Lenßen, Senior Business Development Manager Security von Cisco Systems, wobei es deutlich zu unterscheiden gelte zwischen einem VoIP-Einsatz im Unternehmen und im privaten Bereich.

VoIP-Abhör- und Ausfallgefahr – nötige Vorkehrungen

IT-Abteilungen müssen für VoIP-Sicherheit sorgen

Ein Unternehmen müsse mit seinem normalen IT-Grundschutz auch sicheres VoIP absichern können, führt Klaus Lenßen aus. Sicherheitsrelevante Daten werden ja nicht nur über Sprache, sondern auch per E-Mail versandt.

Für Gespräche über VoIP sind zwei getrennte Kommunikationswege abzusichern. Da die Voice-Datenpakete in Echtzeit bei den Gesprächsteilnehmern ankommen müssen, laufen Sprach- und Kontrolldaten über zwei getrennte Kommunikationswege. Für die Kontrolldaten gibt es Protokolle wie SIP (Session Initiation Protocol), SCCP oder H.323, die Sprachdaten selbst laufen über das Realtime Transport Protokol RTP, und zwar standardmäßig im Klartext. Damit besteht hier die Möglichkeit, ein Gespräch mit verfügbaren Werkzeugen wie “Vomit” abzuhören. Möglich ist ein Anzapfen der Leitung aber auch bei klassischen Telefonanlagen.

Die Lösungen von Cisco nutzen das Skinny Client Control Protocol (SCCP) und verschlüsseln die Signalisierungsdaten über TLS (Transport Layer Security), die Sprachdaten über SecureRTP (SRTP). Damit ist ein Abhören der Gespräche innerhalb des Unternehmens nicht mehr möglich.

Nach außen, “ins freie Internet” nutzen Unternehmen in der Regel VoIP noch nicht, sondern leiten ihre Telefonate über ein Voice-Gateway in das traditionelle Festnetz.

Zahlreiche Unternehmen verbinden aber unterschiedliche Standorte mit VoIP. Vorteile: Anwendungen und Telefonie lassen sich verbinden, zum Beispiel die Integration von Groupware in die Voice-Anwendung. Und natürlich sollen weniger Kosten anfallen, wobei allerdings auch Hard- und Software für Sicherheit, Beratung und Schulung der Mitarbeiter nicht umsonst sind.

Anbieter wie Cisco und Symantec empfehlen Virtual Private Networks für die Verbindung unterschiedlicher Firmenstandorte. “VPNs sind eine empfehlenswerte Maßnahme, um Abhörversuchen, unerwünschten Werbeanrufen oder Bedrohungen der VoIP-Infrastruktur zu trotzen,” führt Sanchidrian von Symantec aus, wobei eine maximale Sicherheit nur durch das Zusammenspiel aller Einzelkomponenten gewährleistet werden kann.

Weiterhin empfiehlt er eine Verschlüsselung der Sprachdatenpakete, Virenschutz, Firewalls sowie Intrusion Prevention Systeme, Frühwarnsysteme und Absicherungsmaßnahmen für WLANs.

Mit Sicherheits-Szenarien für VoIP beschäftigt sich auch das Industriegremium “Voice over IP Security Alliance” (Voipsa).

Datenschützer: Noch zu wenig Endgeräte für “sicheres Voipen”

IT-Abteilungen müssen für VoIP-Sicherheit sorgen

Die Verschlüsselung erfolgt in den Endgeräten, und hiervon gibt es noch zu wenige, kritisiert das Bundesministeriums für Sicherheit in der Informationstechnik BSI in seiner Studie VoIPSEC, die es Ende 2005 vorgelegt hat. VoIPSEC gibt einen praktischen Leitfaden für die Implementierung von VoIP in Unternehmen. Die Zeitschrift PC Professionell hat in ihrer aktuellen Augabe inzwischen erhältliche Geräte verglichen – den VoIP-Hardware-Vergleichstest finden Sie hier.

Grundaussage des BSI-Leitfadens: Eine “unbedarfte Einführung” von VoIP birgt ein erhebliches Bedrohungspotenzial. Aber Sicherheitsmaßnahmen sind technisch und organisatorisch realisierbar, betont das BSI, wobei noch zu wenige Systeme die erforderlichen Sicherheitsmaßnahmen unterstützen.

Darüber hinaus entstehen durch VoIP neue Chancen und Risken für den Datenschutz. Das betonte Dr. Alexander Dix, Berliner Beauftragter für Datenschutz und Informationsfreiheit, bei der Eröffnung des Internationalen Symposiums “Datenschutz und Datensicherheit bei Internet-Telefonie/Voice over IP” im September 2006 im Rahmen der Internationalen Funkausstellung in Berlin.

Mit VoIP könne die “uralte Forderung” der Datenschützer an die Telekommunikationsanbieter erfüllt werden, Gespräche sicher zu verschlüsseln, so der Berliner Datenschützer Dix. So gesehen kann VoIP sicherer als die Festnetztelefonie werden.

Auf der anderen Seite aber will der Staat die Möglichkeit des Abhörens behalten. “In keinem Fall aber darf jedoch die Internet-Telefonie zu einer prinzipiell staatlich überwachten Kommunikationsform werden. Das Fernmeldegeheimnis endet nicht am Zugangspunkt zum Internet”, sagt Dix hierzu.

Er fordert die Dienste-Anbieter auf, alle technischen Möglichkeiten einzusetzen und ihre Kunden über das Thema Sicherheit zu informieren. Anbieter sollen vermehrt Lösungen mit sicherer Ende-zu-Ende-Verschlüsselung auf den Markt bringen, Provider müssen die Einhaltung datenschutzrechtlicher Vorgaben sicherstellen.

SPIT spielt in Unternehmen noch keine Rolle – Banken warnen vor Vishing

IT-Abteil
ungen müssen für VoIP-Sicherheit sorgen

“Sie haben gewonnen”. Voice-Spam oder SPIT (Spam over Internet Telephony)- will keiner haben, obwohl die Response-Quote (der Anruf bei einer teuren Nummer) bei bis zu 10 Prozent liegen soll.

Zum Thema Spit gibt es noch keine offiziellen Zahlen, und die Meinungen sind unterschiedlich. Halten die einen dies für eine eher theoretische Gefahr, rechnen die anderen über kurz oder lang mit der Gefahr der Überflutung durch unerwünschte Werbeanrufe – was allerdings teilweise jetzt schon mit herkömmlicher Telefonie geschieht. Neu ist, dass Spit durch VoIP nahezu kostenlos möglich wird, und damit interessant für professionelle Angreifer.

“Im Unternehmensumfeld spielt SPIT derzeit noch keine Rolle”, so Klaus Lenßen von Cisco. Für den Bereich E-Mail-Spam stellte der Verband der deutschen Internet-Wirtschaft e.V. (eco) im September 2006 eine generelle erhöhte kriminelle Energie und eine steigende internationale Zusammenarbeit der Täter fest. Demnach wurden in Berlin im ersten Halbjahr 2006 153 Spam-Fälle mit einem Gesamtschaden von 730.000 Euro registriert – ein Anstieg von 50 Prozent im Vergleich zu 2005.

Ebenso das Problem des Vishing, bei dem sich Angreifer Zugangsdaten erschleichen. Täter haben sich laut eco den Hinweis der Banken an ihre Kunden zu nutze gemacht, Zugangsdaten nicht über das Internet, sondern eher über das Telefon zu benutzen. Was nun auch Betrüger per automatisches Ansagesystem tun.

Sparkassen warnen mittlerweile vor dem Vishing

Projekte gegen Spit-Filter und Spracherkennung

IT-Abteilungen müssen für VoIP-Sicherheit sorgen

Dass die Anzahl der unangeforderten Werbeanrufe steigen wird, vermutet auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), das mit dem Kieler Provider TNG gemeinsam die Spit-Abwehr-Lösung SPIT-AL entwickelt (www.spit-abwehr.de).

Wenn es klingelt, nimmt der bislang als Prototyp verfügbare SPIT-AL den Anruf entgegen und vergleicht Daten wie die Anruferidentität oder die Herkunft mit White- und Blacklists des Kunden. Der Gesprächsinhalt wird nicht ausgewertet. Der User hat dann die Wahl, das Gespräch anzunehmen, umzuleiten oder abzulehnen. Aus der Sicht der Datenschützer ist allerdings die Unterdrückung von Anrufen noch nicht geklärt. Als wichtigstes Kriterium muss der Nutzer die Bewertungsmechanismen autonom einstellen können, um die Kontrolle zu behalten.

Einen Spit-Filter, der “abnormales Verhalten” von Telefonanrufen erkennt, z.B. das Abschicken von Massenanrufen, verwendet die Toplink AG, Betreiberin des Vermittlungssystems für VoIP am zentralen deutschen Internet-Austauschknoten DE-CIX.

Microsoft entwickelt derzeit einen Spit-Filter namens V-Priorities, der die Stimme und den Wortschatz eines Anrufers analysiert und als erwünscht bzw. unerwünscht deklariert. Als wichtig eingestufte Gespräche stellt da System durch – andere leitet es auf die Mailbox um. Nach Meinung der Datenschützer kann so eine Lösung das Telekommunikationsgeheimnis und Persönlichkeitsrechte der Anrufer beeinträchtigen.

Es gibt also noch viele Probleme anzupacken – Unternehmen sollten sich ihre Umstellung auf VoIP und die nötigen Maßnahmen also genau überlegen.