Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Office & Kommunikation > IP-Telefonanlagen - (k)ein Einfallstor für Hacker

Tipps zur ITK-Absicherung

IP-Telefonanlagen - (k)ein Einfallstor für Hacker

10. Juni 2014, 16:51 Uhr | Heike Cantzler, Head of Corporate Communication, Snom Technology
Fortsetzung des Artikels von Teil 1

Tipps zum Absichern der ITK-Infrastruktur

Das „snom 760 secu-smart edition“ bietet dank Verschlüsselung Abhörschutz.
Das „snom 760 secu-smart edition“ bietet dank Verschlüsselung Abhörschutz.
© Snom

Angelehnt an die Empfehlungen des BSI lassen sich fünf Sicherheitsstufen definieren, die eskalierende Maßnahmen beinhalten, um die eigene Kommunikationsinfrastruktur abzusichern:

  • Bereits das Einrichten von Passwörtern ist eine oft vernachlässigte, aber nicht zu unterschätzende erste Hürde für das unbefugte Eindringen.
  • Darüber hinaus empfehlen sich die Installation einer geeigneten Firewall und die Auswahl von Geräten, die von vorneherein über verschiedene Sicherheitsfunktionen verfügen.
    Speziell Geräte, die schon IPv6 unterstützen, sollten überprüft und abgesichert werden. Was oft vergessen wird: Endgeräte können über IPv6 leichter direkt erreicht werden, weshalb die Firewalls so konfi-guriert werden sollten, dass sie IPv6 ausdrücklich mitfiltern.
  • Die IP-Endgeräte selbst sollten ihre Verbindungen verschlüsseln: Das SIP-Protokoll (Session Initiation Protocol) für das Bereitstellen eines IP-basierten Kommunikationswegs lässt sich über das Verschlüsselungsprotokoll TLS (Transport Layer Security)
  • zusätzlich gegen unbefugten Zugriff absichern – und wird dann auch als SIPS bezeichnet. Die Gesprächsdaten selbst können über das SRTP (Secure Real-Time Transport Protocol) verschlüsselt werden. Sind diese Features bereits im Endgerät implementiert, lässt sich die Kommunikation damit gut schützen.
  • Alternativ kann diese Sicherheit auch von einer zentralen Stelle, unabhängig von den einzelnen Anwendungen und Endgeräten, gewährleistet werden. Die Vorteile eines zentralen Ansatzes liegen in der einmaligen Implementierung, dem geringeren Wartungsaufwand und der Möglichkeit, auch die Kommunikation von Software anderer Hersteller zu sichern, auf die sonst kein Einfluss besteht. Eine solche zentral bereitgestellte Sicherung ist beispielsweise ein Virtual-Private-Network (VPN). Typische Anwendungsfälle sind die Verbindung einzelner Außendienstmitarbeiter mit dem Netzwerk einer Firma, die Verbindung einer Filiale mit einem Rechenzentrum oder die Verbindung örtlich verteilter Server oder Rechenzentren untereinander.

Sicherheitsmaßnahmen auf höchstem Niveau

Eine Umsetzung aller dieser Maßnahmen bietet bereits ein für viele Bedürfnisse ausreichendes Maß an Sicherheit, das sich nur mit relativ hohem Aufwand knacken lässt und die meisten Hacker abschrecken dürfte. Dennoch gibt es Fälle, in denen diese Sicherheitsvorkehrungen nicht ausreichen, weil das Sicherheitsbedürfnis außerordentlich groß ist, etwa bei Krankenhäusern, Banken, Behörden oder Regierungseinrichtungen. Für diese Anwendungsfälle stehen hochsichere Kommunikationslösungen bereit – im Folgenden exemplarisch zwei Vertreter aus Deutschland.

Zwei Lösungsansätze, die auch die höchsten Sicherheitsanforderungen erfüllen, verfolgen dabei unterschiedliche Strategien der Sicherrung. Die eine Variante verwendet eine ständig wechselnde und damit stetig variierende Verschlüsselung, die andere einen hochgeheimen und damit extrem sicheren Schlüssel:

Variante 1, Cryptophone IP 19 von GSMK: Für die Verschlüsselung verwendet das Cryptophone IP 19 die derzeit wohl anspruchsvollsten und sichersten Algorithmen: AES256 und Twofish. Darüber hinaus sind GSMK-Cryptophones die einzigen abhörsicheren Telefone auf dem Markt, deren kompletter Quellcode für unabhängige Sicherheitsüberprüfungen zur Verfügung steht. Das ermöglicht im Umkehrschluss eine permanente Kontrolle des verwendeten Sicherheits-Codecs durch die gesamte Security-Gemeinde.

Variante 2, Verschlüsselung mit Secusmart: Zur abhörsicheren Verschlüsselung mit Secusmart wurde beispielsweise von Snom ein IP-Telefon – „snom 760 secu-smart edition“ – mit einem Slot für eine Smart-Card ausgerüstet, die für den Datenschutz von E-Mails, SMS und Sprache sorgt. Für die Smart-Card wurde ein NXP-SmartMX-P5CT072-Krypto-Controller mit PKI-Coprozessor zur Authentifizierung in eine handelsübliche SD-Karte integriert. Ein zusätzlicher Highspeed-Coprozessor verschlüsselt Sprache und Daten mit 128 Bit AES. Zudem können auf bis zu 8 GByte Speicherplatz Dokumente hochsicher aufbewahrt werden. Die verwendete Technik unterliegt strenger Geheimhaltung und ist dementsprechend vor Leaks geschützt. Außerdem versichert der Hersteller, dass keine Kommunikation mit Servern oder Diensten außerhalb der EU stattfindet.

Beide Varianten erlauben dem Anwender eine äußerst sichere Kommunikation und bieten Administratoren die Möglichkeit, unabhängig von allen anderen Einflüssen die Sicherheit dieses Geräts in ihrem Netzwerk zu gewährleisten. Für welche Variante sich Unternehmen entscheiden, ist schlussendlich eine Glaubensfrage. Beide sind recht aufwendig, kostspielig und können den extrem hohen Sicherheitsstandard nur bei Verbindungen untereinander gewährleisten.

Den größten Schwachpunkt in der Kommunikation stellt derzeit die Anbindung mobiler Endgeräte, insbesondere von Smart-phones dar: sie sind auf der einen Seite mit dem Internet verbunden, auf der anderen oft mit dem firmeninternen Server, was sie zu einem exponierten Einfallstor für Angreifer macht. Auf der diesjährigen CeBIT wurde nun eine bezahlbare Verschlüsselung auch für Handys vorgestellt, eine Sprachverschlüsselung ähnlich wie im Handy der Kanzlerin. Da die App jedoch software-basierend ist, dürfte ihre Anfälligkeit um einiges größer sein als bei einer zusätzlichen Sicherung mittels Hardware. Die Verbindung Smartphone/Netzwerk/IP-Telefon sicher zu gestalten, ist zweifellos eine der großen Aufgaben der nächsten Zeit.

Fazit und Tipp

Darüber hinaus gilt immer eines: Absolute Sicherheit gibt es nicht! Das hat der aktuelle Gau namens „Heartbleed“ erneut offenbart. Was aber nicht bedeutet, dass man hilflos im Strudel der Hacker untergehen muss. Vernünftiges Handeln gepaart mit einigen Grundregeln sorgt schon heute für eine gehöriges Maß an Sicherheit.

Anbieter zum Thema

G DATA CyberDefense AG
Securepoint GmbH
Zyxel Networks A/S
WatchGuard Technologies
Matchmaker+
zu Matchmaker+
  1. IP-Telefonanlagen - (k)ein Einfallstor für Hacker
  2. Tipps zum Absichern der ITK-Infrastruktur
  3. Expertenkommentar: Höchstmögliche Sicherheit durch End-to-End-Verschlüsselung

Lesen Sie mehr zum Thema

snom technology AG Viren-/Malware-Schutz
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu snom technology AG

Integrierte Unternehmenskommunikation

Snom Technology mit neuer Strategie

Advertorial 

Warum das Telefon auf dem Schreibtisch lange nicht ausgedient hat

VoIP-Markt

Wie Provider und Systemintegratoren wettbewerbsfähig bleiben

Snom Technology

Fabio Albanini übernimmt weltweite Vertriebsleitung

TK-Hersteller startet neu durch

Gigaset nach der Stunde Null

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Matchmaker+
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
ECOM Electronic Components Trading GmbH

ECOM Electronic Components Trading GmbH
easybell GmbH

easybell GmbH
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.