Kommentar: VoIP-Sicherheit
VoIP-Trends bergen neue Gefahrenquellen
VoIP-basierte Bedrohungen entwickeln sich schneller, als sich die Sicherheitsspezialisten auf diese neuen Anforderungen vorbereiten können. So lange wir diese Bedrohungen nicht verstehen, so lange werden wir nicht wissen, ob diese Angriffe eine wirkliche Gefahr darstellen.
Das Wellenreiten ist irgendwie eine Metapher für das IT-Leben. Wir rudern aufs Meer hinaus, bis die Oberarme müde sind. Dort sitzen wir minutenlang rum, und warten auf die passende Welle („the next big thing“). Rollt sie endlich an, heißt es erneut rudern, rudern, kämpfen, auf dass die Welle uns mitreiße. Mit Übung gelingt es, auf dem wackeligen Brett aufzustehen und sich Richtung Strand tragen zu lassen: ein Moment des Glücks, der so lange währt, bis wir das Gleichgewicht verlieren oder die Welle unter uns verebbt. Staunend schweben wir im salzigen Wasser und können nichts als lächeln. Ein Wunder. Bis wir kehrt machen, um aufs Neue hinaus zu kraulen auf das weite Meer.
Nicht viel anders geht es im IT-Alltag zu. Zeiten der Mühsal und der Euphorie wechseln einander ab. Manchmal klatschen wir auf die Wasserfläche oder werden hinabgesogen in die Tiefe. Wir kämpfen gegen den Untergang, halten den Atem an. Wir speien das salzige Wasser wieder aus. Das gerötete, aber gereifte Auge durchschaut diese Regelmäßigkeit der Extreme und gewöhnt sich daran. Zynischer Gleichmut besänftigt die Wellentäler und -kämme des IT-Alltags. Es zeigt sich: Wie beim Surfen besteht ein Großteil des Lebens aus Warten. Und weil es bis zur nächsten Welle mitunter lange dauern kann, sollten wir uns mit den „wichtigen IT-Aspekten“ die Wartezeiten verkürzen.
Für viele ITler und Administratoren ist VoIP inzwischen ein alter Hut. Die Innovationen in der Kommunikation passieren inzwischen auf anderen Anwendungsgebieten. UC, WebRTC, Desktop-Video, BYOD und Big-Data befinden sich inzwischen im Mittelpunkt des Geschehens. Die neuen Trends machen die Alltagsaufgaben der Netzadministratoren nicht einfacher, da die neuen Themen in den Unternehmen meist mit einer hohen Priorität vorangetrieben werden. Alles ändert sich kontinuierlich und selten bleibt die Zeit, die Dinge noch einmal gründlich zu überdenken. Dieses Verhalten sorgt jedoch im VoIP-Bereich zu einigen Problemen bei der Netzsicherheit.
In den Unternehmen wird alles unternommen, um die Datenbestände zu schützen und für die IT-Sicherheit wird sehr viel Geld investiert. Aus Compliance-Gründen werden regelmäßig Sicherheitsüberprüfungen durchgeführt. Meist sind die zugrunde liegenden Checklisten lang und bei der Sicherheitsprüfung wird in der Regel kein Stein auf dem anderen gelassen. In den meisten Fällen ist jedoch VoIP nicht Teil der Sicherheitsüberprüfungen. Da die VoIP-Technologie in vielen Unternehmen noch recht neu ist, bleibt diese bei den turnusmäßigen Sicherheits- beziehungsweise Compliance-Prüfungen unberücksichtigt. Da sich VoIP nicht auf dem Sicherheitsradar befindet, existieren auch keine Audit-Checkliste und es kann das Sicherheitsrisiko von VoIP nicht eingeordnet und bewertet werden.
Gäbe es nur eine einzige Interessengruppe bei der Netzsicherheit im Unternehmen zu berücksichtigen, dann wäre die Lösung einfach. Bei VoIP müssen eine Vielzahl unterschiedlicher Interessen unter einen Hut gebracht werden. Diese sind in Sachen „Sicherheitsbedrohungen durch VoIP“ meist sträflich falsch informiert.
Dies soll nicht heißen, dass VoIP im Netzwerk nicht effektiv gesichert werden kann. In der Vergangenheit gehörte die Sicherheit in vielen Fällen nicht zu den Problembereichen der klassischen Telefonie. Mit der Umstellung der Telefonie auf VoIP nimmt die Bedeutung dieser Technik im Unternehmen zwangsläufig ab. Folglich reduziert sich auch das Budget für diese Anwendung.
VoIP ist nicht nur Telefonie
Die Sicherheit steht in den Unternehmen an der Spitze der Anforderungen, aber in der Praxis verbleibt meist nicht genügend Zeit übrig, um alle Sicherheitslöcher nachhaltig zu stopfen. Zudem hat die Beseitigung jedes der Sicherheitslöcher auch finanzielle Auswirkungen auf die IT-Budgets zur Folge. Da VoIP in den meisten Fällen nicht zu den Kernaufgaben der IT gehört, ist es nicht verwunderlich, dass entsprechende VoIP-Sicherheitsmaßnahmen fehlen. Trotzdem kommen die IT-Abteilungen nicht an der Tatsache vorbei, dass VoIP eine Form von Daten ist und über das Unternehmensnetz übermittelt wird. Für den Zugriff auf die VoIP-Daten können zudem die kostenlos verfügbaren Analyse- beziehungsweise Abhörwerkzeuge genutzt werden.
Spätestens wenn die IP-Netzwerke für den Datentransport von VoIP zuständig sind, muss man sich darüber klar werden, dass die VoIP-Anwendungen das schwächste Glied in der Sicherheitskette darstellen, vor allem deshalb, weil man dieser Anwendung nie die angemessene Beachtung geschenkt hat. Die Umsetzung von Sicherheitsmaßnahmen muss in der Regel auf verschiedenen Ebenen stattfinden, um einen umfassenden Schutz zu gewährleisten. Es muss unterschieden werden zwischen Maßnahmen, welche durch den Dienstleister durchgeführt werden müssen, Maßnahmen, welche den Nutzern angeboten werden müssen, und den Maßnahmen, für die die Teilnehmer selbst verantwortlich sind.
- VoIP-Trends bergen neue Gefahrenquellen
- Schutz der Netzwerkarchitektur
Lesen Sie mehr zum Thema
