Gefährdung für TK-Applikationen und Mehrwertdienste sowie erste Maßnahmen

UC-Integration und -Sicherheit – die Quadratur des Kreises?, Teil 2

15.08.2008 | Autor / Redakteur: David Ferrest, Simon Hoff und Michael Wallbaum / Ulrike Ostler

UC-Universum (ComConsult)
UC-Universum (ComConsult)

Organisatorische Mängel, unzureichende Konzepte, Regelungen und Prozesse

Für den Betrieb einer TK-Applikation sind häufig neben den TK-spezifischen Schnittstellen auch andere Schnittstellen, zum Beispiel zu Datenbanksystemen zu berücksichtigen. Der Betrieb der TK-Anlage, der IP-Infrastruktur und der Server für solche Anwendungen kann von unterschiedlichen Gruppen durchgeführt werden.

Eine fehlende oder unzureichende Abstimmung der beteiligten Gruppen kann beispielsweise dazu führen, dass sich über eine CTI-Anwendung eine Gefährdung auf die TK-Anlage oder allgemein auf Telekommunikationsdienste fortpflanzt. Als besonders kritisch sind in allen Integrationsszenarien Versionswechsel eines Teilsystems zu bewerten. Hier kann unter ungünstigen Bedingungen die Verfügbarkeit des Gesamtsystems bedroht sein.

Konzepte, Regelungen und Prozesse, die eine TK-Anlage betreffen, müssen für die Integration mit TK-Applikationen erweitert werden. Eine Gefährdung besteht darin, dass sich diese Erweiterung als unzureichend erweist. Kritisch sind dabei diejenigen Elemente, die einen übergreifenden Bezug zu TK-Anlage und TK-Applikation haben, etwa die Änderung des Rufnummernplans.

Dieser Grundsatz gilt auch für die Konfigurationen und Sicherheitseinstellungen der Teilsysteme. Technologie- und produktbedingt werden für den TK- und den Applikationsbereich unterschiedliche Einstellungen vorgenommen, die geeignet abzustimmen sind, damit ein einheitliches Sicherheitsniveau gewährleistet ist.

Dies beinhaltet sowohl die Einstellungen für einfache Nutzer als auch die Parameter für den administrativen Zugang. Werden diese Einstellungen nicht geeignet abgestimmt, kann es vorkommen, dass in einem Bereich, zum Beispiel auf Seite der Applikation, ein zu geringes Sicherheitsniveau besteht.

Aber: Keine organisatorische Regelung und kein Konzept schließt Gefährdungen durch technisches Versagen, Unachtsamkeit oder vorsätzliche Handlungen aus.

Technisches Versagen und vorsätzliche Handlungen

Aufgrund der Vielzahl der unter dem Begriff Unified Communications zusammengefassten TK-Applikationen kann hier keine umfassende Auflistung aller denkbaren konkreten Gefährdungen erfolgen. Es kann aber festgestellt werden, dass die Gefährdungslage sich auf die IP-basierten Komponenten eines Gesamtsystems konzentriert, da sich hier die größte Angriffsfläche bietet und auf eine Vielzahl bereits bekannter Angriffsmethoden zurückgegriffen werden kann.

Dennoch kann nicht ausgeschlossen werden, dass Angriffe auch über andere Kommunikationswege, wie über Fax oder SMS, erfolgen, wenn das Gesamtsystem diese Möglichkeiten bietet. Viele TK-Applikationen arbeiten mit personenbezogenen Daten und reichen diese unter Umständen an andere Anwendungen weiter.

Durch die unterschiedlichen Schnittstellen zwischen den Systemen wird eine ausreichende Absicherung erschwert und die Auswirkungen eines Vertraulichkeitsverlustes aufgrund der zentralen Sammlung unter-schiedlicher Nachrichtentypen können gravierend sein.

Beispielhafte Szenarien verdeutlichen das Gefährdungspotenzial:

• Ein UM-System kann aufgrund einer absichtlich herbeigeführten Überlastung durch ein-gehende Sprachnachrichten nicht mehr in der Lage sein, Fax-Sendungen, E-Mails oder SMS-Nachrichten zu versenden und zu empfangen. Dies kann beispielsweise Auswirkungen auf einen Alarm-Server haben. Dieser ist möglicherweise ebenfalls nicht mehr in der Lage, Benachrichtigungen zu versenden.

  • Durch die unbefugte oder missbräuchliche Nutzung eines UM-Systems zum Versenden von Fax- und SMS-Nachrichten können nicht unerhebliche finanzielle Schäden entstehen.
  • Eine weitere Bedrohung besteht im Vortäuschen einer scheinbar vertrauenswürdigen Identität. Dies ist besonders im Zusammenhang mit UM-Systemen problematisch, da die unbefugte Nutzung einen Angriff über viele Kanäle, wie E-Mail, Fax, SMS, erlaubt.

Ein konkretes Beispiel für einen entsprechenden Angriff auf CTI-Nutzer wird in einem der folgenden Abschnitte beschrieben.

Die unbefugte Nutzung eines Telefons oder einer TK-Applikation mit Türöffnungsfunktion kann unberechtigten Personen den Zutritt zu einem Gebäude verschaffen. Dabei muss sich der Einlass gewährende Nutzer unter bestimmten Bedingungen noch nicht einmal im betreffenden Gebäude aufhalten.

Neben solchen applikationsspezifischen Bedrohungen müssen auch Gefährdungen berücksichtigt werden, die sich auf die einem System zugrundeliegenden Betriebssysteme, Verzeichnisdienste, Clients und weitere Komponenten beziehen, da sie ebenfalls Auswirkungen auf TK-nahe Systeme haben können. Für jedes spezifische System müssen die relevanten Gefährdungen daher gesondert berücksichtigt werden.

weiter mit: Gegenmaßnahmen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2014760 / Security)