Die Gefahren von Voip umfassend managen

Frank Reiländer ist Leiter der Business Unit IT-Security bei Infodas.

Ein realistischer Fall: Ein Unternehmen hat seine ISDN-Telefonanlage durch eine moderne Voip-Anlage ersetzt und erhofft sich dadurch zahlreiche Vorteile: Kosteneinsparungen, eine bessere Ein-bin-dung der Aussendienst-Mitarbeiter und Home-Office-Nutzer sowie die Möglichkeit, ein firmeninternes Callcenter einzurichten, um die wachsende Zahl von Kunden-an-fragen effizienter bearbeiten zu können.

Doch schon bald gibt es die ersten Probleme: Mitarbeiter klagen, der Speicherplatz ihrer Voice-Mailboxen sei ständig durch automatische Werbeanrufe belegt. Die ersten Rechnungen weisen jede Menge nicht zuzuordnender Anrufe auf. Und eine kleinere Störung des IT-Netzwerkes hat den Ausfall der kompletten Voip-Telefonanlage zur Folge. Das Callcenter kann für knapp eine Stunde keine Kundenanrufe entgegen nehmen, Mitarbeiter können nicht nach draussen telefonieren.

Dies zeigt: Neben vielen Vorteilen birgt die Einrichtung einer Voip-Anlage auch viele Risiken - von massenhaften Werbeanrufen bis hin zu kriminellen Abhörangriffen. Wie aber kann sich ein Unternehmen vor solchen Gefahren schützen? Und lohnt sich angesichts der Risiken die Anschaffung einer Voip-Anlage überhaupt? Die Verunsicherung ist gross und Unternehmen befürch-ten zu Recht, dass sie gravierende Schäden erleiden, etwa durch Diebstahl schützenswer-ter Informationen oder Gebührenbetrug.

Entscheidend bei der Abwehr dieser Risi-ken ist die Erkenntnis, dass Voip keine essen-ziell neuen Sicherheitsrisiken mit sich bringt. Das hat zwei Gründe: Erstens liegt dem Voip-Telefonsystem ein IP-Netz zugrunde, wie es seit Jahren in Unternehmen beispielsweise für die E-Mail-Kommunikation genutzt wird. Zweitens sind wesentliche IT-Risikofaktoren nicht technischer, sondern organisatorischer Natur: von der fehlenden Firewall bis zur Sicherheitslücke «Mitarbeiter».

Weil Voip also letztlich nur eine weitere IT-Applikation ist, sind die damit verbundenen Risiken dieselben, wie bei allen anderen IT-Applikationen - und damit lösbar.Was die Spam-Flut bei E-Mails, ist der Spit-Angriff (Spam over Internet Telephony) beim Voip: Das massenhafte Ver-senden von Werbebotschaften per Sprachnachricht. Die Verfügbarkeit von Mitarbeitern, Voice-Mailboxen und im Extremfall des Servers wird damit eingeschränkt. Auch betrügerische Angriffe, wie IP-Spoofing, bei dem sich Angreifer mit gefälschten IP-Adressen ins System einschleichen, sind eine typische Voip-Gefahr. Gebührenbetrug oder illegales Anmelden eines IP-Telefons an einem Voip-Server sind so möglich. Und mit «Denial-of-Service»-Attacken, bei denen Unmengen von Anfragen gesendet werden, legen Angreifer das komplette Daten- und Sprachnetz lahm.

Laut aktueller Studien sehen Unternehmen eine der grössten Gefahren bei der Voip-Technologie im Abhören von Gesprächen durch Dritte. Da die Sprachpakete bei Voip normalerweise unverschlüsselt sind, ist diese Sorge berechtigt. Es ist für Dritte ohne Weiteres möglich, Gespräche zu belauschen oder gar aufzuzeichnen. Eine bereits aus der IT-Welt bekannte Betrugsmethode ist dabei das Pharming: Gespräche werden unbemerkt über einen Fremdserver geleitet, um sie abzuhören oder um Voip-Pass-wörter abzufangen. Weitere bekannte Gefahren gehen beim Herunterladen von Programmen durch Spyware, Viren, Würmer und andere Malware aus.

Doch wie bei anderen IT-Anwendungen kann man Voip vor diesen Gefahren schützen. Dabei muss aber darauf geachtet werden, dass alle Komponenten des Voip-Systems mit einbezogen werden. Es reicht nicht, wenn der Voip-Server durch die Firewall und gute Zugangskontrollen geschützt ist, aber keine Authentifizierung für die Endgeräte vorgesehen ist. Auch die weiteren Komponenten des Systems, wie Router, Gate-ways, sowie Proxy und Redirect Server, müssen ins Sicherheitskonzept einbezogen werden.

Die essenziellsten technischen Sicherheitsvorkehrungen sind:

o Daten und Sprache zumindest logisch voneinander trennen, um Denial-of-Service- und Abhörangriffe zu erschweren

o Starke Zugangskontroll- und Authentifizierungs-Systeme für alle Voip-Komponenten installieren

o Technische Lösungen implementieren, um Denial-of-Service- und andere Formen von IP-Attacken zu verhindern (beispielsweise Anti-Spoofing-Filter)

o Jeder User sollte sich für die IP-Telefonie mit einem eigenen Benutzer-Kennwort einloggen

o Softphones wo möglich vermeiden, da diese besonders anfällig für Angriffe durch Malware sind

o Patches zum Schutz des Voip-Systems immer sofort aktualisieren

o Das System bestmöglich durch Anti-Viren-Programme oder eine lokale Firewall absichern

Um sich vor Spit zu schützen, sollte zusätzlich darauf geachtet werden, dass die Voip-Kennung - ähnlich wie dies bei E-Mail-Adressen der Fall ist - nicht in die falschen Hände gerät. Ausserdem kann es langfristig Sinn machen, analog der Auswahl einer E-Mail-Adresse, darauf zu achten, dass die SIP-Kennung nur schwer erratbar beziehungsweise automatisch generierbar ist.

Technische Massnahmen allein reichen bei der Bekämpfung von IT-Risiken allerdings nicht aus. Neben Viren und Würmern stellen Mitarbeiter seit jeher eines der Haupt-risiken für die IT-Sicherheit dar. Sie notieren Passwörter einsehbar für andere, sperren ihre Geräte nicht, sodass Sicherheitslücken ganz bewusst auf Kosten des Unternehmens ausgenutzt -werden können. Mit einem Voip-System erweitert sich diese Gefahr auf zusätzliche Anwendungen: Das ungesperrte Telefongerät eröffnet Dritten Einblick in Ruflisten, Voicemails und Telefonbücher. Der Angreifer kann an einem ungesperrten Voip-Endgerät zudem die Sprachverschlüsselung deaktivieren und die Gespräche über seinen Rechner leiten.

Auch die Infrastruktur eines Unternehmens stellt eine Sicherheitslücke dar. Denn Manipulationen können durch den direkten Zugang zur IT noch wirksamer ausgeführt wer-den als über externe Zugriffe. Wer jedoch den Weg zu seiner zentralen IT-Infrastruktur bereits am Empfang durch grosse Hinweisschilder jedem Fremden kenntlich macht und zudem auch noch Zugangstüren offen lässt, darf sich nicht wundern, wenn Server durch Dritte manipuliert oder wenn Daten geklaut werden. Durch Manipulation des Voip-Servers kann ein Angreifer das Telefonsystem ausser Betrieb setzen, einen unberechtigten Telefonanschluss oder eine Rufumleitung einrichten.

Entscheidend für die Sicherheit von Voip ist daher die Einbindung sowohl technischer als auch organisatorischer Massnahmen und zwar bezogen auf alle Komponenten des Systems. Den besten Schutz gewährleistet ein Sicherheitsmanagement, das die Gefahren in ihrer Gesamtheit erkennt. Einen solchen Gesamtschutz bietet das Bundesamt für Informationstechnik (BSI) Unternehmen seit Jahren mit dem IT-Grundschutz-Verfahren (siehe Kasten) an. Das Grundschutz-Verfahren berücksichtigt neben der Netzwerksicherheit auch grundlegende organisatorische Aspekte wie Mitarbeiterschulung und Infrastruktur. Seit 2006 ist auch der Baustein Voip-System integriert. Mittels einer ganzheitlichen Sicherheitsanalyse können Unternehmen die Gefahren für die IT gezielt aufdecken und damit besser kontrollieren. Der Einführung einer Voip-Telefonanlage steht dann nichts mehr im Weg.

Weitere Informationen

IT-Grundschutz ist eine vom BSI entwickelte Methodik zur effektiven Erstellung eines ganzheitlichen IT-Sicherheitskonzeptes sowie zur Etablierung eines IT-Sicherheitsmanagementsystems (ISMS) - man kann dies auch als IT-Sicherheitsprozess bezeichnen. IT-Grundschutz ist der de-facto-Standard im deutschsprachigen Raum. Auch in der Schweiz findet er Anwen-dung. Mit der 2006 erfolgten Integration des neuen Standards ISO 27001 dürfte der IT-Grundschutz international weiter an Bedeutung gewinnen.