![[Illustration]](07-1-052-1.jpg)
Abbildung 1: Logische (links) und physische Trennung (rechts) des Daten- vom Sprachnetz
Zwar kann Voice over Internet Protocol (VoIP) relativ einfach genutzt werden, doch sollte sich jeder, der VoIP privat oder geschäftlich intensiver einsetzen möchte, unbedingt mit Fragen der Sicherheit auseinandersetzen. Mit VoIP holt man sich all die potenziellen Probleme ins Haus, die man bisher nur vom Internet kannte. Andererseits ist es aber weder sinnvoll noch notwendig, VoIP oder das Internet wegen seiner vermeintlichen oder tatsächlichen Gefahren gar nicht zu nutzen. Vielmehr sollte die Strategie lauten, sich erstens über mögliche Schwachstellen zu informieren und zweitens geeignete Schutzmaßnahmen zu ergreifen. Eine Möglichkeit, sich mit diesen Risiken und entsprechenden Maßnahmen auseinanderzusetzen, ist IT-Grundschutz.
Dieser Artikel beschreibt, wie im IT-Grundschutz das Thema VoIP integriert wird. Neben einem kurzen Überblick über VoIP werden einige Gefährdungen für den Einsatz von VoIP skizziert. Abschließend wird die Absicherung vom VoIP anhand des Lebenszyklusmodells vorgestellt.
Kostenersparnisse und Komfort sind nur einige Vorteile von VoIP. Durch die Integration der Telefonie in ein bestehendes Datennetz wird keine zusätzliche Infrastruktur mehr für die leitungsvermittelnde Telefonie benötigt. Werden die Kosten für den oft schon vorhandenen Zugang zu einem öffentlichen Datennetz, wie dem Internet, nicht berücksichtigt, kann nahezu kostenfrei mit anderen VoIP-Anwendern telefoniert werden.
Durch die Kombination mit bestehenden Kommunikationslösungen, wie E-Mail oder Instant Messaging, kann der Bedienkomfort gesteigert werden. Verschiedene Groupware-Lösungen vereinen alle Kommunikationswege, sodass durch wenige Mausklicks der Kontakt zu anderen VoIP-Benutzern aufgenommen werden kann. Hierbei ist es egal, ob sich der VoIP-Benutzer am Arbeitsplatz, in einem Café mit WLAN-Hotspot oder zu Hause befindet.
Die Telefonie ist oft ein zentraler Geschäftsprozess. Fällt er aus, sind die Schäden häufig höher als bei einem Ausfall der E-Mail-Infrastruktur. Daher gelten meist hohe Anforderungen bezüglich der Verfügbarkeit, aber auch der Vertraulichkeit der Telefonie. VoIP basiert, wie der Name schon ausdrückt, auf IP, dem Internet Protocol. Bei IP existiert eine Vielzahl von Schwachstellen, die sich natürlich auch auf die Sicherheit von VoIP auswirken.
Wie jede unverschlüsselte Datenverbindung kann VoIP ebenfalls einfach mitgelesen und zusätzlich gestört und gefälscht werden. Obwohl ähnliche Gefährdungen auch beim Integrated Services Digital Network (ISDN) vorhanden sind, erfordert ein Angriff auf VoIP weniger Ressourcen und kein fundiertes Fachwissen, da hierfür zahlreiche vorgefertigte Angriffswerkzeuge im Internet zu finden sind.
VoIP-Softphones werden häufig auf Standard-PCs betrieben, die in der Regel auch für andere Aufgaben, wie dem Surfen im Internet, verwendet werden. Bei Schwachstellen in anderen Applikationen oder schlechter Konfiguration kann das IT-System mit Schadsoftware infiziert werden. Solche Schadsoftware kann auch die VoIP-Komponenten angreifen, sodass diese kostspielige Nummern anwählen oder über das Mikrofon des IT-Systems Raumgespräche aufzeichnen und weiterleiten.
Um VoIP verwenden zu können, werden gewisse Anforderungen an das zu Grunde liegende Netz gestellt. Sowohl Telefonate mit externen Teilnehmern als auch interne Gespräche innerhalb des LANs erfordern eine bestimmte Bandbreite. Sind die Anbindung ans Internet oder das interne Netz zu gering dimensioniert, kann keine ausreichende Verfügbarkeit von VoIP oder anderen Diensten gewährleistet werden.
Das Ziel von IT-Grundschutz ist es, durch geeignete Kombination von Sicherheitsmaßnahmen ein Sicherheitsniveau zu erreichen, das für einen normalen Schutzbedarf angemessen ist. Im Folgenden werden einige Aspekte vorgestellt, die beim Einsatz von VoIP berücksichtigt werden sollten. Die Empfehlungen orientieren sich am Lebenszyklus des VoIP-Einsatzes und decken auf jeden Fall den normalen Schutzbedarf ab. Teilweise gehen sie aber auch über einen normalen Schutzbedarf hinaus.
Für den sicheren Einsatz von VoIP muss im Vorfeld eine angemessene Planung erfolgen. Der Einsatz von VoIP kann in mehreren Schritten nach dem Top-Down-Prinzip geplant werden: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifischen Teilkonzepten festgelegt. Die Planung betrifft dabei nicht nur Aspekte, die klassischerweise mit dem Begriff Sicherheit verknüpft werden, sondern auch normale betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit nach sich ziehen können.
IP-Telefonie ermöglicht es, über existierende IP-Datennetze zu telefonieren. Zur Erhöhung von Skalierbarkeit, Dienstqualität, Administrierbarkeit und Sicherheit können zusätzlich die Datennetze von den Sprachnetzen logisch oder physisch getrennt werden. Da dies aber zusätzlichen Aufwand bedeutet, muss überprüft werden, ob eine Trennung von Daten- und Sprachnetz erforderlich ist. Eine Trennung ist sinnvoll, wenn Daten- und Sprachnetz einen unterschiedlichen Schutzbedarf haben.
Abbildung 1: Logische (links) und physische Trennung (rechts) des Daten- vom Sprachnetz
Durch entsprechende Gateways zwischen dem Daten- und Sprachnetz kann mehr Sicherheit erzielt werden. Für viele VoIP-Dienste reicht es aus, einen Proxy-Server im Sprachnetz zu betreiben, von dem die Anfragen aus dem Sprachnetz in das Datennetz weitergeleitet werden.
Probleme bei der Netztrennung bereitet die Nutzung von Multifunktionsgeräten, wie VoIP-Telefonen mit integriertem E-Mail-Client, oder den weit verbreiteten Softphones. Diese Endgeräte benötigen sowohl Zugriff auf das Sprach- als auch auf das Datennetz. Ein möglicher Ansatz wäre, diese Geräte in einem dafür angelegten logischen Netz zu betreiben. Eine physische Trennung ist hier nicht möglich.
Sehr oft sollen zusätzliche Leistungsmerkmale der VoIP-Komponenten genutzt werden. Diese können den Betrieb einer zusätzlichen Middleware-Komponente erfordern oder andere sicherheitsrelevante Nachteile besitzen. Zu den sicherheitskritischen Leistungsmerkmalen gehören beispielsweise das Aufschalten auf ein bestehendes Gespräch, Raumüberwachungsfunktionen und das Wechselsprechen. Da viele dieser Leistungsmerkmale häufig nicht benötigt werden, sollte sich auf ein Minimum beschränkt und bereits in der Planungsphase entschieden werden, welche Leistungsmerkmale erforderlich sind.
Die VoIP-Kommunikation erfolgt normalerweise unverschlüsselt und kann daher leicht angegriffen werden. Für einen angemessenen Schutz muss festgelegt werden, welche Teile der Kommunikation auf welche Art verschlüsselt werden sollen. Hierbei spielt es nicht nur eine Rolle, welche Informationen (Signalisierung und Medientransport) geschützt werden sollen, sondern auch, über welche Strecken die Informationen übertragen werden. Da die Informationen im geschützten LAN anderen Gefahren als bei der Übertragung im Internet ausgesetzt sind, muss zwischen interner und externer Kommunikation unterschieden werden.
Um VoIP-Telefonate in einem LAN abzuhören, benötigt ein Angreifer in der Regel einen direkten Zugang zum Netz. Für Gespräche innerhalb eines geschützten Netzes kann daher überlegt werden, auf eine Verschlüsselung zu verzichten. Hierbei steckt aber der Teufel im Detail: Werden Informationen mithilfe eines WLANs übertragen, sollte dies nicht als interne Verbindung angesehen werden, da ein Angreifer diese auch von außerhalb des Standorts abhören könnte. Daher sollte VoIP-Kommunikation über ein WLAN grundsätzlich verschlüsselt werden.
Oft wird VoIP für die Kommunikation von mehreren, geografisch voneinander getrennten Standorten eingesetzt. Die hierfür benötigten VoIP-Server sind in der Regel an ein öffentliches Datennetz, wie das Internet, angeschlossen. Dies hat den Vorteil, dass die Clients in den einzelnen LANs kostengünstig miteinander telefonieren können. Kann ein Angreifer die Kommunikation zwischen den beteiligten Servern abhören, ist er auch oft in der Lage die Gespräche zwischen den Teilnehmern der Standorte abzuhören, zu manipulieren und zu stören. Daher empfehlen die IT-Grundschutz-Kataloge, auch diese Kommunikation zu verschlüsseln.
Neben der Entscheidung, welche Strecken verschlüsselt werden sollten, muss festgelegt werden, welche Informationen geschützt werden müssen. Bei vielen VoIP-Protokollen werden die Signalisierungs- und Mediendaten in separaten Datenströmen übertragen. Hier empfiehlt es sich, nicht nur eines der Protokolle, sondern beide zu schützen.
Eine protokollunabhängige Verschlüsselung mit Virtual Private Networks (VPN) hat den Vorteil, dass nicht nur unabhängig vom eingesetzten Signalisierungs- und Medientransportprotokoll VoIP-Pakete verschlüsselt übertragen werden können. Da die Verschlüsselung unabhängig vom eingesetzten Kommunikationsprotokoll der Anwendungsschicht erfolgt, kann das VPN für weitere Protokolle genutzt werden. Sollen durch das VPN Außendienstmitarbeiter in das lokale Netz integriert werden, kann der Zugriff auf Datei-, Datenbank- und Mail-Server ebenfalls verschlüsselt erfolgen.
Ist eine verschlüsselte Kommunikation, beispielsweise zu externen Gesprächspartnern, nicht möglich, müssen die Benutzer hierüber informiert und sensibilisiert werden. Vertrauliche Gespräche sollten daher bei einer fehlenden Verschlüsselung nicht über VoIP geführt werden.
Es ist frühzeitig festzulegen, wer die VoIP-Komponenten administrieren und konfigurieren soll. Hierfür sollten für VoIP zuständige Administratoren benannt werden. Bei der Erstellung des Administrationskonzeptes sollte ein Rollenkonzept umgesetzt werden, das verschiedene Berechtigungsstufen umfasst. Jeder Rolle sollte im Sinne einer Vertretungsregelung mindestens zwei Personen zugeordnet werden.
Bei einer Kommunikation über VoIP können zahlreiche Informationen protokolliert werden. Meist müssen bestimmte Statusinformationen der VoIP-Middleware aufgezeichnet werden, um für einen reibungslosen Betrieb zu sorgen. Erst die regelmäßige Auswertung dieser Protokolldaten ermöglicht es, die korrekte Funktion der Geräte zu beurteilen und Angriffsversuche zu erkennen.
Mithilfe der Protokolldaten kann oft auch die Art eines Angriffsversuches nachvollzogen und die Konfiguration entsprechend angepasst werden. Daher sollte bereits in der Planungsphase entschieden werden, welche Informationen mindestens protokolliert werden sollen und wie lange die Protokolldaten aufbewahrt werden sollen. Außerdem muss festgelegt werden, ob die Protokolldaten lokal auf dem System oder auf einem zentralen Log-Server im Netz gespeichert werden sollen. Allerdings sollten bei der Protokollierung auch Datenschutz-Aspekte beachtet werden: Es dürfen nicht alle Daten aufgezeichnet werden, außerdem sind Höchst-Speicherfristen zu beachten.
Die verschiedenen Hersteller von TK-Produkten bieten zahlreiche Lösungen zur Telefonie an. Neben reinen Geräten für VoIP sowie für analoge und digitale Telefonie können auch Produkte erworben werden, die beide Architekturen unterstützen. Beispiele sind TK-Anlagen für leitungsvermittelnde Netze, die über einen IP-Anschluss verfügen und Gateways, die zwischen eine VoIP-Architektur und ein öffentliches, leitungsvermittelndes Telefonnetz geschaltet werden können. Für die Auswahl sind neben der Grundfunktionalität, wie der Unterstützung der benötigten Signalisierungs- und Medientransportprotokolle, zahlreiche sicherheitstechnische Aspekte zu berücksichtigen. Diese können von grundlegenden Funktionen wie einer Tastatursperre bei den Endgeräten bis hin zur Unterstützung von verschlüsselten Konfigurationsprotokollen reichen.
Es ist ratsam, den Umstieg auf VoIP sukzessive durchzuführen. Generell sollte vor dem Umstieg auf VoIP ein Testbetrieb konzipiert und erprobt werden, bevor VoIP-Komponenten auf Produktionssysteme aufgespielt werden. Um auf die Einführung oder den Umstieg auf VoIP vorbereitet zu sein, sollten die zuständigen Administratoren ausreichend geschult werden.
Nach der Erstinstallation und einer Testbetriebsphase kann der Regelbetrieb aufgenommen werden. Um Probleme erkennen zu können, müssen sicherheitsrelevante Ereignisse protokolliert und regelmäßig ausgewertet werden. Bei der manuellen oder automatisierten Auswertung der Ereignisse können Störungen erkannt werden, die Änderungen am System notwendig machen. Die Änderungen müssen in Einklang mit den in der Planungsphase getroffenen Entscheidungen stehen und können dann in das System integriert werden.
Sollen VoIP-Komponenten an Dritte weitergegeben werden, beispielsweise um repariert, verkauft oder entsorgt zu werden, so müssen von den Geräten alle sicherheitsrelevanten Informationen gelöscht werden. Dies gilt nicht nur, wenn Geräte an Hersteller, Serviceunternehmen, Entsorgungsunternehmen oder sonstige Dritte weitergegeben werden. Auch bei Vernichtung, Umzug oder Weitergabe an andere Benutzer müssen entsprechende Maßnahmen ergriffen werden.
Neben den Informationen, die auf dem Gerät selbst gespeichert sind, sollte auch überprüft werden, ob auf Backup-Medien sensitive Informationen enthalten sind. Falls es nicht aus anderen Gründen (beispielsweise Archivierung, Aufbewahrungspflicht aufgrund gesetzlicher Regelungen) erforderlich ist, die Backup-Medien aufzubewahren, sollten sie nach der Außerbetriebnahme des Gerätes ebenfalls gelöscht werden.
Der teilweise oder komplette Ausfall einer VoIP-Architektur hat in vielen Fällen gravierende Auswirkungen. Ein Ausfall kann viele Ursachen haben. Neben VoIP-typischen Problemen kann auch eine Störung einzelner Netzkomponenten zum vollständigen Ausfall des VoIP-Dienstes führen.
Im Rahmen der Notfallvorsorge ist daher ein Konzept zu entwerfen, mit dem die Folgen eines Ausfalls minimiert werden können und das festlegt, welche Aktivitäten im Falle eines Ausfalls durchzuführen sind. Folgende Aspekte sollten dabei berücksichtigt werden:
Bei einer Neuanschaffung einer Telefonanlage bietet eine leitungsvermittelnde Lösung nur noch wenige Vorteile gegenüber eine VoIP-basierten Lösung. Aufgrund der Defizite von IP-Netzen muss jedoch versucht werden, durch entsprechende Maßnahmen auf die Gefährdungen von VoIP zu reagieren.
Die VoIP-Technik ist eine der Kommunikationsarten der Zukunft, da sie viele praktische Vorteile bietet. VoIP besitzt beispielsweise ein hohes Potenzial zur Einsparung von Kosten. Auch für Privatanwender ist die Nutzung von VoIP lukrativ, da vorhandene, private Internetanschlüsse für die Telefonie genutzt werden können. Bei Ortsgesprächen ist diese Kostenersparnis für Unternehmen weniger interessant. Bei mehreren Standorten, die unter Umständen weltweit verteilt sind, kann sich eine Kopplung der einzelnen Telefonanlagen über VoIP schnell positiv finanziell bemerkbar machen.
Sehr zukunftsträchtig wird vermutlich die Integration der Telefonie in bestehende Anwendungen sein. Die Kommunikation kann durch die Übermittlung von Informationen darüber verbessert werden, ob der Gesprächspartner für ein Telefongespräch zu Verfügung steht. Durch die Integration zusätzlicher Techniken, wie Instant Messaging, könnte eine einzelne Anwendung die gesamte Kommunikation ermöglichen. Kunden, die bei Firmen-Web-Auftritten auf Telefonnummern hingewiesen werden, müssen diese nicht mehr an ihrem Telefonapparat wählen, um in Kontakt zu treten. Stattdessen kann mithilfe eines "Call Me"-Buttons unmittelbar aus dem Web-Auftritt ein direkter Kontakt hergestellt werden. Aus diesen und weiteren Gründen wird vermutlich VoIP in der Zukunft die Telefonie dominieren.
![[externer Link]](../../../../images/link.gif)
www.bsi.bund.de/gshb/ www.bsi.bund.de/literat/bsi_standard/standard_1001.pdf
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 52
tag:kes.info,2007:art:2007-1-052
| 