PresseBox
Press release BoxID: 89245 (INFODAS Gesellschaft für Systementwicklung und Informationsverarbeitung mbH)
  • INFODAS Gesellschaft für Systementwicklung und Informationsverarbeitung mbH
  • Rhonestr. 2
  • 50765 Köln
  • https://www.infodas.de
  • Contact person
  • Eva Wagenbach
  • +49(0)221 801087- 88

VoIP: Gefahren umfassend managen

(PresseBox) (Köln, ) Die IP-Telefonie (VoIP) bietet Unternehmen völlig neue Möglichkeiten zur kostengünstigen Kommunikation. Die Integration von Daten- und Sprachnachrichten in einem gemeinsamen Kanal birgt aber auch eine ganze Reihe von Risiken. Nur mit Hilfe eines umfassenden Risikomanagements lassen sich diese Gefahren in ihrer Gesamtheit erkennen und kontrollieren. VoIP wird so zu einer nicht nur nützlichen, sondern auch zur sicheren Technologie ...

Ein realistischer Fall: Ein Unternehmen hatte seit wenigen Wochen seine ISDN-Telefonanlage durch eine hochmoderne VoIP-Anlage ersetzt. Man erhoffte sich zahlreiche Vorteile durch diesen Schritt: Neben Kosteneinsparungen war einer der Hauptgründe die bessere Einbindung von Außendienstmitarbeitern und Home-Office-Nutzern. Doch schon bald gab es die ersten Probleme: Mitarbeiter beklagten, dass der Speicherplatz ihrer Voice-Mailboxen ständig durch automatische Werbeanrufe belegt sei, die ersten Rechnungen wiesen jede Menge nicht zuzuordnender Anrufe auf und eine kleinere Störung des IT-Netzwerkes hatte den Ausfall der kompletten Telefonanlage zur Folge.

Tatsächlich birgt die Einrichtung einer VoIP-Anlage neben zahlreichen Vorteilen auch viele Risiken - von massenhaften Werbeanrufen bis hin zu kriminellen Abhörangriffen. Wie aber kann ein Unternehmen sich vor solchen Gefahren schützen? Und lohnt sich angesichts der Risiken die Anschaffung einer VoIP-Anlage überhaupt?

Keine essenziell neuen Risiken

"Die Verunsicherung hinsichtlich der Sicherheitsrisiken von VoIP ist groß", erklärt Frank Reiländer, Leiter Business Unit IT-Security der Infodas GmbH, eines führenden deutschen Spezialisten für IT Security Management. "Unternehmen befürchten zu Recht, dass sie gravierende Schäden erleiden, durch den Diebstahl von schützenswerten Informationen und auch Gebührenbetrug. Entscheidend bei der Abwehr dieser Risiken ist jedoch, zu erkennen, dass VoIP keine essenziell neuen Sicherheitsrisiken mit sich bringt." Denn dem VoIP-Telefonsystem liegt ein IP-Netz zugrunde, wie es bereits seit Jahren in den Unternehmen z.B. für die E-Mail-Kommunikation genutzt wird.

So trifft man bei den Gefahren für VoiP auf viele alte Bekannte: Was die Spam-Flut bei E-Mails ist, ist der so genannte SPIT-Angriff (Spam over Internet Telephony) beim VoIP: Das massenhafte Aussenden von Werbebotschaften per Sprachnachricht. Die Verfügbarkeit von Mitarbeitern, Voice-Mailboxen und im Extremfall des Servers wird damit eingeschränkt. Auch betrügerische Angriffe, wie das so genannte IP-Spoofing, werden für das Telefonsystem zur Gefahr. Mit gefälschten IP-Adressen geben sich Betrüger gegenüber dem System als autorisierte Nutzer aus, um Sicherheitsmaßnahmen auszutricksen. Gebührenbetrug oder illegales Anmelden eines IP-Telefons an einem VoIP-Server sind so möglich. Und mit so genannten Denial-of-Service-Attacken legen Angreifer das komplette Daten- und Sprachnetz lahm, indem Unmengen von Anfragen gesendet werden.

Pharming, Viren und Würmer

Laut aktueller Studien sehen Unternehmen eine der größten Gefahren bei der VoIP-Technologie im Abhören von Gesprächen durch Dritte. Da die Sprachpakete beim VoIP normalerweise unverschlüsselt sind, ist diese Sorge durchaus berechtigt. Eine bereits aus der IT-Welt bekannte Betrugsmethode ist dabei das Pharming: Gespräche werden unbemerkt über einen Fremdserver geleitet, um sie abzuhören oder z. B. VoIP-Passwörter abzufangen. Und weitere bekannte Gefahren gehen beim Herunterladen von Programmen durch Spyware, Viren, Würmer und andere Malware aus.

Doch wie bei anderen IT-Anwendungen auch, ist es beim VoIP möglich, sich vor solchen Gefahren zu schützen. Alle Einzelkomponenten des VoIP-Systems müssen dabei mit einbezogen werden. Einige technische Sicherheitsvorkehrungen sind:

- Daten und Sprache zumindest logisch voneinander trennen, um Denial-of-Service- und Abhörangriffe zu erschweren.
- Starke Zugangskontroll- und Authentifizierungssysteme für alle VoIP-Komponenten installieren.
- Technische Lösungen implementieren, um Denial-of-Service- und andere Formen von IP-Attacken zu verhindern (z. B. Anti-Spoofing-Filter).
- Jeder User sollte sich für die IP-Telefonie mit einem Benutzer-Kennwort einloggen.
- Softphones wo möglich vermeiden, da diese besonders anfällig für Angriffe durch Malware sind.
- Patches erneuern: Patches zum Schutz des VoIP-Systems immer sofort aktualisieren.
- Das System bestmöglich durch Anti-Viren-Programme oder eine lokale Firewall absichern.

Um sich vor SPIT zu schützen sollte zusätzlich darauf geachtet werden, dass die VoIP-Kennung nicht in die falschen Hände gerät. Außerdem kann es langfristig Sinn machen, ähnlich wie bei der Auswahl einer E-Mail-Adresse, darauf zu achten, dass die SIP-Kennung nicht ohne weiteres erratbar bzw. automatisch generierbar ist.

Sicherheitsrisiko Mitarbeiter

Technische Maßnahmen allein reichen bei der Bekämpfung von IT-Risiken allerdings nicht aus. Denn neben Viren und Würmern stellen Mitarbeiter seit jeher eines der Hauptrisiken für die IT-Sicherheit in Unternehmen dar. Frank Reiländer kennt die Gefahren aus seiner Praxis als ISO 27001/IT-Grundschutz-Auditor des BSI (Bundesamt für Informationstechnik): "Passwörter werden oftmals für andere einsehbar notiert und Geräte nicht gesperrt, so dass Sicherheitslücken auf Kosten des Unternehmens ausgenutzt werden können." Das gilt auch beim VoIP: Das ungesperrte Telefongerät eröffnet Dritten Einblick in Ruflisten, Voicemails und Telefonbücher. Der Angreifer kann an einem ungesperrten VoIP-Endgerät zudem die Sprachverschlüsselung deaktivieren und die Gespräche über seinen Rechner leiten.

Auch die Infrastruktur eines Unternehmens stellt eine gravierende Sicherheitslücke dar. "Wer den Weg zu seiner zentralen IT-Infrastruktur bereits am Empfang durch große Hinweisschilder jedem Fremden kenntlich macht und Zugangstüren dann auch noch offen stehen lässt, darf sich nicht wundern, wenn Server durch Dritte manipuliert oder Daten geklaut werden", erklärt Reiländer.

Umfassendes Sicherheitsmanagement mit Methode

Entscheidend für die Sicherheit von VoIP ist daher die Einbindung sowohl technischer als auch organisatorischer Maßnahmen und zwar bezogen auf alle Komponenten des Systems. "Den besten Schutz", so Reiländer, "gewährleistet ein Sicherheitsmanagement, das die Gefahren in ihrer Gesamtheit erkennt. Nur so können Risiken, egal ob durch neue oder bestehende Anwendungen, kontrolliert werden."

Einen solchen Gesamtschutz bietet das BSI Unternehmen seit Jahren mit dem IT-Grundschutz-Verfahren an. Das Grundschutz-Verfahren berücksichtigt neben der Netzwerksicherheit auch grundlegende organisatorische Aspekte, wie Mitarbeiterschulungen und die Infrastruktur. Seit 2006 ist auch der Baustein VoIP-System integriert. Mittels einer ganzheitlichen Sicherheitsanalyse können Unternehmen die Gefahren für die IT gezielt aufdecken, um sie dann besser zu kontrollieren. Der Einführung einer hochmodernen VoIP-Telefonanlage steht dann nichts mehr im Weg.


Infokasten: VoIP-Glossar

MediaGateway: Ermöglichen die Verbindung vom IP-Netz zu einem herkömmlichen Festnetzanschluss. Gateways sind zum einen mit dem Computernetzwerk als auch mit dem normalen Telefonnetz verbunden und leiten die Anfragen in beide Richtungen weiter.

IP-Telefon: Eigenständige Telefon-Geräte, mit Hardwarekomponenten, die direkt an das IP-Netzwerk angeschlossen werden.

SIP: SIP steht für "Session Initiation Protocol" und ist ein Protokoll, über das eine Kommunikationssitzung mittels IP aufgebaut werden kann. Weitere Protokolle sind das veraltete H.323 oder das herstellerspezifische Protokoll von Skype.

Softphones: Auf dem Computer installierte Anwendungsprogramme, deren Funktionalität der eines IP-Telefons entsprechen.

Voice-Mail: Sprachspeicherdienst, der Sprache elektronisch speichert. Die Abfrage ist dann per Mailbox oder Email möglich und kann auch als Anhang versendet werden.

INFODAS Gesellschaft für Systementwicklung und Informationsverarbeitung mbH

INFODAS gehört zu den innovativen deutschen mittelständischen Systemhäusern für Sicherheitslösungen und Risikomanagement. INFODAS unterstützt eine ganzheitliche IT-Sicherheits-Beratung durch die IT-Sicherheitsdatenbank SAVe®. Die aktuelle Version SAVe® V4.0 basiert auf den BSI-Standards 100-1 bis 100-3, berücksichtigt die Anforderungen der ISO 27001 und unterstützt vollständig die ergänzende Risikoanalyse nach IT-Grundschutz. Grundlage der Maßnahmenempfehlungen sind die IT-Grundschutz-Kataloge Stand Dez. 2005. Innerhalb der Business Unit IT Security konzipiert und auditiert INFODAS IT-Sicherheitsprozesse und IT-Sicherheitsorganisationen, entwickelt geeignete Notfallvorsorge-Programme, gestaltet und überprüft den Datenschutz innerhalb der Organisation und stellt externe Datenschutzbeauftragte zur Verfügung. Als Erweiterung der SAVe®-Software bietet INFODAS eine Verfahrenshilfe für die Umsetzung des Datenschutzes und der Datensicherheit in Unternehmen. Das auf der Sicherheitskonzeption aufbauende Risikomanagement und -controlling unterstützt bei der Umsetzung der Anforderungen des KonTraG und der Vorgaben von BASEL II. Unter Leitung der beiden ISO 27001-Auditoren Gerhard Weck und Frank Reiländer konnte INFODAS die beiden ersten Zertifizierungen des neuen Verfahrens erfolgreich abschließen. Das erste Zertifikat wurde für einen kommunalen Verkehrsträger ausgestellt. Mit der SAP Systems Integration AG konnte eine der bisher größten Grundschutz-Zertifizierungen auf den ISO-Standard erweitert werden. INFODAS arbeitet langjährig erfolgreich mit dem BSI bei Anwendung und Fortschreibung des IT-Grundschutzes zusammen.

Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.