Tipps zur ITK-Absicherung
IP-Telefonanlagen - (k)ein Einfallstor für Hacker
Fortsetzung des Artikels von Teil 1
Tipps zum Absichern der ITK-Infrastruktur
Doch das beste Sicherheitskonzept nutzt nichts, wenn Anwender die vorhandenen Möglichkeiten nicht nutzen. Gelingt es einem Angreifer, in das System einzudringen, kann er mit den Telefonen so ziemlich alles machen, was er will, etwa das Mikrofon des Telefons einschalten und damit sämtliche Gespräche im Raum mithören. Dagegen kann man sich schon allein durch das Befolgen aller Sicherheits- und Konfigurationsanweisungen schützen, indem unter anderem Passwörter vergeben und der lokale Webserver deaktiviert werden. Deshalb ist der erste Schritt zu mehr Sicherheit in der IP-Telefonie das standardmäßige Einrichten von Passwörtern in der IP-Anlage, den Telefonen und sonstigen verbundenen Geräten. Grundsätzlich sollten Administratoren alle verfügbaren Mechanismen, wie etwa auch Porteinschränkungen oder die Zuteilung von Zufallsports per Telefonat, auf Endgeräten und PBX nutzen. Denn jedes System ist nur so sicher, wie es konfiguriert wurde.
Angelehnt an die Empfehlungen des BSI lassen sich fünf Sicherheitsstufen definieren, die eskalierende Maßnahmen beinhalten, um die eigene Kommunikationsinfrastruktur abzusichern:
- Bereits das Einrichten von Passwörtern ist eine oft vernachlässigte, aber nicht zu unterschätzende erste Hürde für das unbefugte Eindringen.
- Darüber hinaus empfehlen sich die Installation einer geeigneten Firewall und die Auswahl von Geräten, die von vorneherein über verschiedene Sicherheitsfunktionen verfügen.
Speziell Geräte, die schon IPv6 unterstützen, sollten überprüft und abgesichert werden. Was oft vergessen wird: Endgeräte können über IPv6 leichter direkt erreicht werden, weshalb die Firewalls so konfi-guriert werden sollten, dass sie IPv6 ausdrücklich mitfiltern. - Die IP-Endgeräte selbst sollten ihre Verbindungen verschlüsseln: Das SIP-Protokoll (Session Initiation Protocol) für das Bereitstellen eines IP-basierten Kommunikationswegs lässt sich über das Verschlüsselungsprotokoll TLS (Transport Layer Security)
- zusätzlich gegen unbefugten Zugriff absichern – und wird dann auch als SIPS bezeichnet. Die Gesprächsdaten selbst können über das SRTP (Secure Real-Time Transport Protocol) verschlüsselt werden. Sind diese Features bereits im Endgerät implementiert, lässt sich die Kommunikation damit gut schützen.
- Alternativ kann diese Sicherheit auch von einer zentralen Stelle, unabhängig von den einzelnen Anwendungen und Endgeräten, gewährleistet werden. Die Vorteile eines zentralen Ansatzes liegen in der einmaligen Implementierung, dem geringeren Wartungsaufwand und der Möglichkeit, auch die Kommunikation von Software anderer Hersteller zu sichern, auf die sonst kein Einfluss besteht. Eine solche zentral bereitgestellte Sicherung ist beispielsweise ein Virtual-Private-Network (VPN). Typische Anwendungsfälle sind die Verbindung einzelner Außendienstmitarbeiter mit dem Netzwerk einer Firma, die Verbindung einer Filiale mit einem Rechenzentrum oder die Verbindung örtlich verteilter Server oder Rechenzentren untereinander.
Eine Umsetzung aller dieser Maßnahmen bietet bereits ein für viele Bedürfnisse ausreichendes Maß an Sicherheit, das sich nur mit relativ hohem Aufwand knacken lässt und die meisten Hacker abschrecken dürfte. Dennoch gibt es Fälle, in denen diese Sicherheitsvorkehrungen nicht ausreichen, weil das Sicherheitsbedürfnis außerordentlich groß ist, etwa bei Krankenhäusern, Banken, Behörden oder Regierungseinrichtungen. Für diese Anwendungsfälle stehen hochsichere Kommunikationslösungen bereit – im Folgenden exemplarisch zwei Vertreter aus Deutschland.
- IP-Telefonanlagen - (k)ein Einfallstor für Hacker
- Tipps zum Absichern der ITK-Infrastruktur
- Zwei Schlüssel, ein Gedanke
- Expertenkommentar: Höchstmögliche Sicherheit durch End-to-End-Verschlüsselung
Lesen Sie mehr zum Thema
