Mobile-Menu

Sicherheit ist auch in der Telefonie Trumpf VoIP-Security als Teil des Business Continuity Managements

Autor / Redakteur: Jörn Lembke / Dipl.-Ing. (FH) Andreas Donner

Den Betrieb gewährleisten und Unterbrechungen verhindern: Das ist das Ziel von Business Continuity Management. Unternehmen müssen dabei agil auf neue Entwicklungen reagieren – und so sollte auch die VoIP-Telefonie integraler Bestandteil von BCM sein. Welche Probleme auftreten, wenn ein Plan fehlt, zeigt die Corona-Krise eindrucksvoll.

Firma zum Thema

Das Business Continuity Management wurde bisher in vielen Unternehmen stiefmütterlich behandelt – und das insbesondere im Hinblick auf Voice over IP:
Das Business Continuity Management wurde bisher in vielen Unternehmen stiefmütterlich behandelt – und das insbesondere im Hinblick auf Voice over IP:
(Bild: Auerswald)

40 Prozent: Nicht einmal die Hälfte der Unternehmen verfügten einer aktuellen Umfrage zufolge vor der Pandemie über einen Business-Continuity-Plan. Das berichtet der Security-Anbieter Fortinet, der im Juni letzten Jahres Arbeitnehmer aus 17 verschiedenen Ländern, u.a. Deutschland, aus fast allen Branchen und dem öffentlichen Sektor befragt hat. Infolge der raschen Umstellung auf Homeoffice haben zwar 32 Prozent der Befragten zuletzt in diesen Bereich investiert, doch zu diesem Zeitpunkt war die Krise schon über die meisten Unternehmen hereingebrochen.

Der oftmals fehlende Business-Continuity-Plan konnte nur zu Problemen führen. Denn, unmittelbar nach dem Lockdown waren die Aktivitäten vieler Unternehmen darauf ausgerichtet, kurzfristig eine möglichst reibungslose Fortführung der Geschäftsaktivitäten sicherzustellen, beispielsweise durch den Wechsel vieler Mitarbeiter ins Homeoffice. Viele Unternehmen waren auf diesen Schritt jedoch nicht gut vorbereitet. Zugriff auf geschäftliche E-Mails sicherstellen, mit Kollegen, Kunden und Geschäftspartnern kommunizieren, Projekte organisieren – alles erstmal gar nicht so einfach, wenn das Arbeiten auf Distanz nicht geübt ist und die technischen Voraussetzungen fehlen.

Die Adhoc-Digitalisierung hat Folgen

Dadurch kam es im Verlauf der Krise zu einer Adhoc-Digitalisierung. Neue und zuvor kaum genutzte Technologien, seien es Softwarelösungen aus der Cloud, Datenbank-Lösungen oder Telefonie- und Collaboration-Tools, wurden implementiert. Aber es musste schnell gehen. Frei nach dem Motto „Wer bremst, verliert“, rasten viele Unternehmen auf der Digitalisierungswelle neuen Risiken entgegen und hofften, den Aufprall schon noch rechtzeitig verhindern zu können. Die eilig getroffenen Digitalisierungsmaßnahmen im Sinne des Business Continuity Managements zu hinterfragen, ist vielerorts überfällig. Doch welche Unternehmensbereiche stehen dabei eigentlich im Mittelpunkt?

Ein effektives Business Continuity Management umfasst diverse Handlungsfelder: Die erforderlichen Maßnahmen betreffen natürlich die Verfügbarkeit der notwendigen IT-Systeme und somit nicht zuletzt eine stabile Internetverbindung oder die Verfügbarkeit von Servern. Aber auch Parameter wie eine hohe Skalierbarkeit von Ressourcen, Reaktionsschnelligkeit bei der Fehleranalyse und ein umfassendes Monitoring werden in der gegenwärtigen Situation immer wichtiger.

Die Sicherheit im Blick: Risiken im Homeoffice

Eine 2020 vom Branchenverband Bitkom durchgeführte Befragung in Deutschland stellte fest, dass neun Prozent der Befragten sicher sind, in den vergangenen zwei Jahren Opfer von Abhöraktionen und Cyberangriffen auf ihre Telefonanalagen geworden zu sein. Die Gefahren solcher Attacken sind vielseitig. Über die VoIP-Zugangsdaten können beispielsweise Anruferlisten, Tastenbelegungen und andere spezifische Daten gehackt, Telefonate abgehört oder sogar ein Totalausfall des unternehmerischen ITK-Systems hervorgerufen werden. Doch das Telefonsystem gehört zu den zentralen Infrastruktureinrichtungen eines Unternehmens und ist somit besonders schützenswert.

Daher ist ein zentraler Baustein des Business-Continuity-Plans der Aspekt der IT-Sicherheit. Denn durch die gegenwärtige Arbeitssituation mit einem hohen Homeoffice-Anteil steigen die Risiken noch weiter. So wird das heimische WLAN der Mitarbeiter im Regelfall nicht so gut abgesichert sein wie das Firmennetzwerk. Besonders kritisch ist zudem die Verwendung privater Endgeräte – sei es das persönliche Notebook, das heimische Festnetztelefon oder das private Smartphone – die nicht in das zentrale Endpoint-Management des Unternehmens eingebunden sind.

Die gute Nachricht: Lösungen für die Geschäftstelefonie, die eine unkomplizierte und sichere Einbindung von Mitarbeitern im Homeoffice bieten, stehen bereit. So ist gerade das Telefonieren per Voice over IP (VoIP) über eine virtuelle Telefonanlage für viele Unternehmen inzwischen sehr attraktiv geworden. Doch mit zunehmender Verbreitung der Telefonie über IP-Netze steigen auch die Gefahren. Denn während die klassische Telefonie auf einer geschlossenen Punkt-zu-Punkt-Verbindung beruht, nutzt VoIP zur Übertragung das offene IP-Netz.

Vielseitige Angriffsszenarien: Worauf es bei VoIP-Security ankommt

Anders als im herkömmlichen Festnetz werden die Daten beim VoIP-Verfahren in einzelne Pakete zerlegt, separat übertragen und auf der Empfangsseite wieder zusammengesetzt. Im Prinzip gelangen so VoIP-Gespräche in einem gemeinsamen Datenstrom mit E-Mails, Webseiten und anderen Dateien zum Empfänger. All das schafft einerseits mehr Flexibilität, öffnet andererseits jedoch auch potenzielle Schwachstellen, wenn keine zusätzlichen Sicherungsmaßnahmen für die Übertragung der Sprachdaten ergriffen werden.

Denn selbst der heute am weitesten verbreitete SIP-Standard (Session Initiation Protocol) sieht weder zwingend eine sichere Authentifizierungsmethode, noch eine Verschlüsselung der Gesprächsdaten vor. Dabei bilden Protokolle wie SIP die Basis für sämtliche Unified-Communications-Lösungen und gelten damit als wichtige Grundlage für die Bereitstellung von IP-Sprachdiensten innerhalb moderner Office- und Collaboration-Anwendungen. Werden also VoIP-Verbindungen über SIP ohne zusätzliche Sicherheitsvorkehrungen aufgebaut und die Protokollinformationen unverschlüsselt übermittelt, können diese von potenziellen Angreifern komplett eingesehen werden.

Dieser Umstand öffnet Attacken wie dem Abhören und Mitschneiden von Telefonaten, Identitätsdiebstahl, Gebührenbetrug oder gar nachträglichen Manipulationen von Gesprächen Tür und Tor. Selbst die komplette Übernahme eines ITK-Systems ist für einen Angreifer ohne weiteres möglich, wenn er sich über ungesicherte IP-Zugänge oder eine Portfreischaltung im Router den Zutritt zum ITK-System verschaffen kann. Über eine Rufumleitung auf sein eigenes System lassen sich so beispielsweise Anrufe von speziellen Servicerufnummern über die feindlich übernommene Anlage zum eigenen Vorteil nutzen. Richtet sich der Angreifer über das Internet gar als Nebenstelle der gekaperten ITK-Anlage ein, verfügt er zudem über kostenlose Einwahlzugänge in das Fest- und Mobilnetz. Dann erleben Unternehmen bei der Telefonabrechnung mitunter böse Überraschungen.

Verschlüsselung ist Pflicht

Um derartige Angriffe zu unterbinden, ist eine Verschlüsselung der VoIP-Kommunikation unerlässlich. Hohen Schutz bietet hier die Kombination aus SIPS (Session Initiation Protocol Secure) und SRTP (Secure Real Time Transport Protocol). SIPS sorgt als sichere Variante des SIP-Protokolls für einen verschlüsselten Verbindungsaufbau und schützt so Server (Telefonanlage) und Client (IP-Telefon) zuverlässig gegen feindliche Zugriffe. Die Sprachdaten selbst müssen jedoch zusätzlich mit SRTP abgesichert werden. SRTP kodiert die Sprachdaten mit einem bis zu 256-Bit langen AES-Schlüssel (Advanced Encryption Standard), teilt diese in Datenpakete auf und versendet sie über das Netzwerk. Um durchgängige Sicherheit zu gewährleisten, ist es zwingend erforderlich, dass sowohl die Telefonanlage als auch alle verwendeten IP-Telefone für die benötigte Ver- und Entschlüsselung ausgelegt sind.

Nutzer sollten bei der Auswahl ihrer ITK-Systeme deshalb auf die Erfüllung höchster Sicherheitsstandards achten. So liefern führende Anbieter, wie Auerswald, heute Kommunikationslösungen, bei denen sich ITK-Systeme und Endgeräte gegenseitig per Zertifikat ausweisen und somit bereits bei der ersten Inbetriebnahme verschlüsselte Konfigurationsparameter übertragen. Zusätzliche Fingerprint-Funktionen wirken zudem so genannten Man-in-the-Middle-Attacken entgegen, bei denen der Angreifer versucht, sich zwischen die Kommunikationspartner zu schalten und dadurch Kontrolle über den Datenverkehr zu erlangen.

Joern Lembke.
Joern Lembke.
(Bild: Auerswald)

Fazit: Die Zeit zu handeln ist jetzt

Das Business Continuity Management wurde bisher in vielen Unternehmen stiefmütterlich behandelt. Die Corona-Krise hat dies deutlich offengelegt. Oftmals fiel es schwer, auf diese unerwartete und zugleich auf lange Sicht nicht planbare Situation zu reagieren. Aus dem Fehlen eines Plans resultierte vielerorts eine spontane Digitalisierung, um kurzfristige Ziele zu erreichen. Dass die aktuelle Pandemie jedoch alles andere als ein kurzfristiges Problem ist, steht mittlerweile fest. Umso wichtiger ist es, nun noch einmal die Handlungen aus dem Frühjahr in den Blick zu nehmen. Vor allem die Sicherheit der IT und auch die VoIP-Security sind von entscheidender Bedeutung, um der Krise weiterhin gewachsen zu sein und als Unternehmen Risiken zu minimieren.

Über den Autor

Jörn Lembke ist Head of Product Management bei der Auerswald GmbH & Co. KG und Experte für ITK-Systeme und VoIP-Telefonie.

(ID:47068964)