Mobile-Menu

Sicherheit für Telefon- und Videokonferenzanlagen So schützen Sie UCC vor Malware

Autor / Redakteur: Martin Jeschar / Dipl.-Ing. (FH) Andreas Donner

Mit dem wachsenden Einsatz von Homeoffices stieg auch die Zahl der Cyberattacken auf Unternehmen und Mitarbeiter. Und gerade UCC-Equipment war besonders von Angriffen betroffen. Zeit also, sich der Sicherheit der Kommunikationssysteme anzunehmen.

Firmen zum Thema

Martin Jeschar, Product-Engineer bei Cisco/Placetel, gibt Tipps, wie Sie Telefon- und Videokonferenzanlagen schützen können und diese sicher betreiben.
Martin Jeschar, Product-Engineer bei Cisco/Placetel, gibt Tipps, wie Sie Telefon- und Videokonferenzanlagen schützen können und diese sicher betreiben.
(Bild: Cisco/Placetel)

Das Arbeiten im Homeoffice haben viele Mitarbeitende in den letzten anderthalb Jahren kennen und lieben gelernt. Hybrid Work ist zum Normalzustand geworden: Eine immer größere Zahl von Mitarbeitenden steuert nur noch wenige Tage in der Woche einen festen Arbeitsplatz im Büro an und sitzt mindestens fast so häufig im Homeoffice.

Des Mitarbeitenden Freud‘, des IT-Admins Leid: Damit einher geht für viele Unternehmen ein deutlicher Anstieg von Cyberattacken. Dennoch will ein Großteil der Unternehmen auch in Zukunft hybrides Arbeiten ermöglichen. Und mit einer Plattformlösung und einem durchdachten Backup-Management ist das auch kein kein Problem.

Größte Gefahren: Malware und Phishing

Malware- und Phishing-Kampagnen, die das Thema COVID aufgreifen, sind aktuell besonders erfolgreich. Die häufigsten und gefährlichsten Angriffe auf IT-Systeme geschehen, weil es am Sicherheitsbewusstsein der Nutzer mangelt. In den meisten Fällen werden Zugangsdaten zu Nutzerkonten geleaked. Viel seltener sind dagegen Attacken auf Nutzerdaten über Schwachstellen in Datenbanken oder über Schnittstellen zu Drittanbietern.

Systemadministratoren müssen sich jetzt ähnliche Gedanken machen wie in der Bring-your-own-Device-Diskussion – erweitert um eine weitere Dimension: Kommunikation und Zusammenarbeit erfolgen nicht nur über private Geräte. Auch die Kommunikation intern mit Kollegen und extern mit Lieferanten, Geschäftspartnern und Kunden, die per Teams oder Slack in die eigene Unternehmenskommunikation eingebunden werden, spielt bei Sicherheitsüberlegungen eine Rolle. Unternehmenskommunikation ist heute eine komplexe Architektur mit hohen Schutzanforderungen.

Entlastung bringen Cloud-Dienste. Cloud-Telefonie-Anbieter wie Cisco/Placetel haben in ihr Kommunikationsangebot Sicherheitsmaßnahmen implementiert, die durch Algorithmen unregelmäßiges Verhalten und verdächtige Angriffe im Vorhinein erkennen. Aber es werden nicht nur kontinuierlich Sicherheitsupdates zum Schutze der Telefonanlage durchgeführt, sondern alle Rechenzentren verfügen darüber hinaus noch über anerkannte Zertifizierungen wie ISO 9001 (Qualitätsmanagement) und ISO 27001 (Informationssicherheit).

Remote Work: Jetzt UCC-Landschaft evaluieren

Team-Meeting, Kundengespräch oder Videokonferenz: Für Unternehmen heißt es jetzt, zu evaluieren, ob die bislang eingesetzten Lösungen auch sicher sind. Gerade Videoconferencing gehört seit der Pandemie zu den zentralen Anwendungen in der IT-Landschaft – oft eingeführt ohne den üblichen Evaluationsprozess, der normalerweise bei Systemneuerungen durchgeführt wird und die Themen Sicherheit und Datenschutz beleuchtet. Videokonferenzen über einen Cloud-Anbieter bringen hier große Vorteile, da sich der Dienstleister um die Sicherheit kümmert.

Dies gilt mehr noch für die Telefonie: Egal, ob über den PC, Laptop oder das Smartphone mit der Anbieter-App, einem Softphone oder einem Unified Client telefoniert wird – umfangreiche Sicherheitsfunktionen und kontinuierliche Updates des Cloud-Anbieters sorgen dafür, dass die Telefonie bei der Verwendung mit allen Geräten geschützt ist. Systemadministratoren werden bei Cloud-Lösungen also spürbar entlastet.

Sicherheit konfigurieren

Darüber hinaus bieten Cloud-Lösungen viele Security-Features, die die IT-Abteilung verwalten kann – von sicheren Passwörtern über die verschlüsselte Datenübertragung bis hin zur Zwei-Faktor-Authentifizierung. Für Kunden mit speziellen Anforderungen können lokale Komponenten für eine Ende-zu-Ende-Verschlüsselung installiert werden.

Cloud-Lösungen sollten die Möglichkeit bieten, sowohl Metadaten als auch den Inhalt von Gesprächen zu verschlüsseln. Die Daten bleiben dabei vom Telefon oder Softphone bis zu den Servern im Rechenzentrum verschlüsselt. Damit die Daten sicher geschützt im Client und der Telefonie-Weboberfläche verbleiben, nutzt der Cloud-Anbieter Placetel beispielsweise für die Verschlüsselung TLS 1.3 Cipher Suites der Sicherheitsklasse „hoch“. Gesprächsinhalte werden mit SRTP kryptografiert und mit dem Eliptic Curve Diffie Hellman (ECDH) Verfahren vermittelt. Die SIPS- und SRTP-Verschlüsselung für Telefone lässt sich im Webportal einrichten.

Damit sich keine Sicherheitslücken auftun, müssen auch die Arbeitsplätze im Homeoffice kontinuierlich mit Updates und Patches versorgt werden. Die firmeninternen Server sind gegen verschlüsselte Zugriffe von außen zu sichern.

Zu den wichtigsten technologischen Sicherheitsmaßnahmen für Hybrid Work gehören also:

  • Regelmäßig Patches inhouse und für Homeoffice-Arbeitsplätze aufspielen
  • Bei Cloud-Lösungen auf zertifizierte Rechenzentren achten
  • Verdächtige Aktivitäten erkennen
  • Kommunikation über alle Kanäle verschlüsseln
  • Sichere Kennwörter erzwingen
  • Multifaktor-Authentifizierung aktivieren

Mitarbeitende sensibilisieren

Während es auch bei den Cloud-Anbietern zwar durchaus Unterschiede in der IT-Sicherheit gibt, bleiben die Anwender das größte Risiko. Die IT sollte demnach die Mitarbeitenden bei der Nutzung von UCC-Tools auf Mobiltelefonen motivieren, stets alle Sicherheitsupdates zu installieren. Gerade Android-User sollten vorsichtig sein und nur Apps aus vertrauenswürdigen Quellen nutzen. Mittels entsprechender SSO/MDM-Lösungen können die Kollegen angeleitet werden, die relevanten Sicherheitsupdates auf ihren Geräten zu installieren – und nur dann ist der Zugriff auf Unternehmensdaten möglich.

Regelmäßige IT-Sicherheitstrainings können Mitarbeitende für potenzielle Gefahren sensibilisieren. Dabei muss transparent vermittelt werden, was sie bei der Verwendung von Kommunikationslösungen beachten müssen und wann auch die besten Sicherheitsmaßnahmen nicht mehr greifen können. Regelmäßige Demonstrationen, wie unvorsichtiges Nutzerverhalten sensible Daten exponieren kann, sollten darüber hinaus fest in den Fortbildungsplan der Mitarbeitenden aufgenommen werden. Die IT darf nicht aufgeben, die Mitarbeitenden immer wieder auf eine umsichtige Nutzung ihrer Geräte im Firmenumfeld hinzuweisen und durch entsprechende Schulungen für potenzielle Gefahren zu sensibilisieren. Denn eines ist klar: Nur mit sorgfältigen Mitarbeitenden kann die Arbeit im Homeoffice sicher sein.

Martin Jeschar.
Martin Jeschar.
(Bild: Cisco/Placetel)

Über den Autor

Martin Jeschar ist ein technikbegeisterter Allrounder mit langjähriger und vielfältiger Berufserfahrung. Als Product Engineer ist er ein Mann der Praxis und berät seit 2,5 Jahren bei Placetel, einem Cisco-Unternehmen, Partner und Großkunden bei ihrem Einstieg in die Cloud Kommunikation. Vor und während seines Studiums der Kommunikationstechnik war er 10 Jahre lang als Medientechniker beim WDR beschäftigt, wo er seine Karriere mit einer Ausbildung als Mediengestalter Bild/Ton begann.

(ID:47806550)