IP-Centrex-Sicherheit
Bei Anruf Hacking
Fortsetzung des Artikels von Teil 1
Nichts von der Stange
Gerade im Bereich vorsätzlicher Handlungen sind eine ganze Reihe unerlaubter Eingriffsmöglichkeiten aufgelistet – vom Missbrauch der Fernwartungszugänge über das Abhören von Telefongesprächen bis hin zum Gebührenbetrug und dem Social-Engineering. Darüber hinaus verweist das BSI auf Bereiche, „die über die klassische TK-Anlage hinausgehen“. In diesen Fällen sei eine Umsetzung entsprechender Bausteine zur Absicherung notwendig, wie etwa zu „VoIP“ oder „mobilen und drahtlosen Systemen“.
Die Liste möglicher Bedrohungen zeigt, dass es nicht „die“ Schutzvorrichtung im Umgang mit modernen TK-Anlagen gibt. Erschwerend wirkt die Bandbreite an technischen Lösungen und Anwendungen, die je nach Unternehmen sehr unterschiedlich und komplex ausfallen. Und in diesem Kontext stellen Cloud-basierte Lösungen Sicherheitsexperten vor weitere Herausforderungen. Vor allem die Tatsache, dass Telefonie ein integraler Bestandteil von Geschäftsprozessen ist und mit neuen (mobilen) Business-Anwendungen verzahnt sind, macht den Spagat zwischen mehr Technik und mehr Sicherheit nicht einfacher.
Grundsätzlich sind Risiken im Umgang mit TK-Anlagen und allen IT/TK-Lösungen nicht komplett zu verhindern. Vielmehr geht es darum, bestehende Gefahren mithilfe organisatorischer sowie technischer Vorkehrungen zu verringern sowie Chancen zu erkennen. Wichtig hier sind Standards und eine klare Strategie bei den internen Prozessen und der Wahl der richtigen Methoden der Risikoüberwachung und -bewertung. Und diese fallen unterschiedlich aus – je nach Branche, Größe, Vernetzung und Komplexität der jeweiligen Organisation sowie der eingesetzten TK-Lösungen. Expertenverbände wie die unabhängige Interessenvertretung RMA setzen beim Risikomanagement auf einen hohen Reifegrad der Prozesse und durchgängige Strategien und Lösungen. Im Klartext heißt das: Organisationen müssen sich aktiv um wirkungsvolle Abwehrmechanismen im Risikomanagement bemühen. Hierzu gehört, dass die Verantwortlichen Sicherheitsstrukturen und Verhaltensregeln regelmäßig hinterfragen und gegebenenfalls neu einstellen – in der gesamten Organisation und über alle Hierarchiestufen hinweg. Dies bedeutet auch, Risiken und deren Bewertungen in die Unternehmensplanung und das Controlling zu integrieren. Damit lassen sich beispielsweise Insellösungen im „Lösungspark“ vermeiden und ein Gesamtkonzept zur Risikosteuerung aufbauen. Diese Vorgehensweise erscheint im Bereich der TK umso wichtiger, als die technologischen Herausforderungen mit vernetzten Strukturen und neuen Risikofaktoren gleichfalls neue Wege im Organisationsdenken erfordern – ein Knackpunkt vor dem Hintergrund neuer Cloud-Technologien sowie mobiler Lösungen, die sowohl das Sicherheitsdenken als auch das Arbeitsumfeld stetig
verändern.
Ein gangbarer Weg liegt in einem einheitlichen Sicherheitskonzept im TK-Bereich, das von der Planung und dem Konzept bis zur Umsetzung und dem Betrieb – inklusive eines Notfallmanagements – klare Maßnahmen vorsieht. Beispielsweise sprechen sich Experten dafür aus, dass während der Installation einer TK-Anlage die voreingestellten Passwörter geändert werden und Schnittstellen abzusichern sind. Nach der Formel „Keep it simple“ sollten sämtliche Funktionen, die nicht den Zielen des TK-Betriebs in der eigenen Organisation dienen, abgeschaltet werden.
Risikomanagement: steuern, überwachen, Kultur aufbauen
Gefordert sind zunächst Vorstände und Aufsichtsräte, die eine klare Risikomanagementstrategie in der eigenen Organisation positionieren müssen. Durch die vielfältigen Modifikationen der gesetzlichen Rahmenbedingungen, wie zuletzt beim Bilanzrechtsmodernisierungsgesetz (BilMoG), hat sich die Verantwortung von Firmenverantwortlichen im Rahmen des Risikomanagements kontinuierlich verschärft. Das betrifft große Konzerne und mittelständische Unternehmen gleichermaßen. Die besondere Verantwortung des Aufsichtsrats im Zusammenhang mit dem BilMoG erklärt sich aufgrund der regelmäßigen Prüfungspflichten. Es reicht nicht aus, von der Geschäftsführung auferlegte Sicherheitsstrukturen zu etablieren und sich selbst zu überlassen. Kern ist das Steuern und Überwachen der Prozesse sowie vor allem auch der Wirksamkeit der jeweiligen Strukturen im Bereich des Informationssicherheitsmanagements.
Trotz aller internen Richtlinien nimmt im Bereich der Risikokultur das „wahre Leben“ hinter allen Regeln, Normen und Vorkehrungen einen großen Stellenwert ein. Sicherheitsdenken im Sinne der Or-ganisation fängt im Kopf jedes einzelnen Mitarbeiters an. Nicht umsonst sieht das BSI bei den Risiken für den Betrieb einer klassischen TK-Anlage das menschliche Fehlverhalten als einen wesentlichen Faktor. Und dabei stehen Ausfälle der TK-Anlage durch eine Fehlbedienung ebenso im Zentrum der Überlegungen wie die „fehlerhafte Administration von Zugangs- und Zugriffsrechten“ oder der IT-Systeme. Und diese Fehlerquellen steigen mit jeder technischen Neuerung. Eine gelebte Risikomanagement- und Unternehmenskultur kann diesen Denkprozess maßgeblich mitbestimmen und im Sinne einer ausgebildeten Awareness-Strategie lenken.
Mit anderen Worten: Ein loyaler und gut geschulter Mitarbeiter kann sich vom Sicherheitsrisiko zum Sicherheitsfaktor wandeln. Für Hacker heißt das: Kein Anschluss unter dieser Nummer.
- Bei Anruf Hacking
- Nichts von der Stange
- Tipps zur Sicherung der TK-Systeme
- Expertenkommentar: Lausch- und Dialerangriff – die Achillesfersen von IP-Centrex
Lesen Sie mehr zum Thema
