Sicherer Einsatz von TK-Anlagen: Leitfaden des BSI
Mittlerweile hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit dem Schutz von TK-Anlagen beschäftigt. In zwei Teilen widmet sich die Behörde einmal den Sicherheitsmechanismen für die Telefonie und gibt Hilfen für die Beschaffung von TK-Systemen.
Ursprünglich waren TK-Systeme eine eigene Welt und hatten mit der IT nicht viel zu tun. Doch mittlerweile sind die Telefonie-Lösungen eng damit verbunden. Durch die Konvergenz mit Unternehmensnetzen und dem Mobilfunk sind die Welten zusammengewachsen. Deshalb erbt die TK auch die Probleme der IT. Gleichzeitig entstehen neue Bedrohungen für die Telefonie, die es früher so nicht gab. Dies hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Anlass genommen, dazu einen Extra-Leitfaden herausgegeben. Dieser richtet an den privaten Einsatz der Telefonie.
Die Technische Leitlinie will konkrete Hilfen unter anderem für Planung, Beschaffung, Installation, Konfiguration oder Abnahme geben. Die Unterlagen berücksichtigen auch die entsprechenden Aspekte des Datenschutzes. Der Leitfaden gliedert sich in zwei Teile. Der erste beschäftig sich Darstellung und Bewertung der Sicherheitsmechanismen. Der zweite Abschnitt dient als Beschaffungsleitfaden.
Der erste Abschnitt geht zunächst auf die verschiedenen Telekommunikationssysteme ISDN-TK-Anlagen, VoIP-Systeme, Hybrid-Lösungen, den IP-Anlagenanschluss, TK-Applikationen und Mehrwertdienste sowie mobile und drahtlose Systeme ein. Für jeden Typ beschreibt das Dokument dann die Gefährdungslage, die Sicherheitsmassnahmen und stellt abschließend Sicherheitskonzepte für repräsentative Beispielszenerien dar. Der zweite Teil gibt für die einzelnen Typen zuerst Auswahl- und dann entsprechende Prüfkriterien.
Als einen Punkt nennt das BSI etwa, dass sich hinter manchen IP-Telefonen ein Standardbetriebssystem verbirgt. Ohne entsprechende Schutzmassnahmen besteht die Gefahr, dass ein Hacker die Kontrolle übernimmt. Weiter hält das BSI eine Ende-zu-Ende-Verschlüsselung für wichtig. Kritisch bewertet die Behörde den Einsatz einer organisationsübergreifenden Lösung. Hier gibt es wegen nicht einheitlicher umgesetzter Standards Schwierigkeiten bei einem dynamischen Schlüsselmanagement. Entscheidend für den sicheren Betrieb sieht das BSI, dass die TK-Komponenten in das Netz- und Systemmanagement eingebunden sind.
Allerdings ist der Leitfaden nur eine Entscheidungshilfe, warnt das BSI. Letztlich zählt, was ein Unternehmen in die Ausschreibungsunterlagen fordert.
