SIP-Trunk-Verschlüsselung
IP-Telefonie richtig absichern
Mit All-IP kommen neue Sicherheitsanforderungen auf Unternehmen zu. Ist die Telefonanlage etwa über einen IP-basierten SIP-Trunk an das weltweite Sprachnetz angeschlossen, besteht theoretisch eine Verbindung der Unternehmenssysteme zum offenen Internet.
Es ist ein weit verbreiteter Trugschluss zu glauben, der eigene Betrieb sei zu unbedeutend, um ins Visier von Hackern zu geraten. Ein ungesicherter Zugang zur Telefonanlage reicht bereits aus, damit Betrüger über den Sprachanschluss teure Verbindungen zu Servicerufnummern im Ausland herstellen – ein hohes finanzielles Risiko. Doch mit den richtigen Maßnahmen können Unternehmen ihre IP-Telefonie und den SIP-Trunk absichern.
Wie hoch ist der eigene Schutzbedarf?
Um sich vor Angriffen aus dem Internet zu schützen und alle Compliance-Regeln bezüglich der IT-Sicherheit zu erfüllen, gibt die Internationale Organisation für Normung (ISO) ein Regelwerk zum Risikomanagement vor. Laut ISO-Norm 31000 muss ein Unternehmen seine Risiken identifizieren, analysieren und bewerten. Auch sollte es ein Informationssicherheitsmanagement-System (ISMS) gemäß ISO 27001 implementieren. Die Anforderungen lassen sich in Safety (oder Betriebssicherheit) und Security (Schutz vor Angriffen) unterteilen. Vertraulichkeit, Integrität und Authentizität der Kommunikation müssen sichergestellt sein. Da sich vor allem viele Mittelständler schwer damit tun, eine eigenständige Risikoanalyse vorzunehmen, fassen die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geeignete Schutzmaßnahmen zusammen, die in Abhängigkeit der drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ umgesetzt werden sollten.
Risikomanagement für die TK-Anlage
Zum Risikomanagement einer TK-Anlage gehören unter anderem regelmäßige Software-Updates und sichere Passwörter. Das allein reicht jedoch nicht aus. Hängt ein SIP-Trunk am offenen Internet, muss das Unternehmen diesen je nach Schutzbedarf gegebenenfalls verschlüsseln. Immerhin: Im Gegensatz zum ISDN-Anschluss ist beim IP-Anschluss mit SIP-Trunk eine Verschlüsselung der Daten möglich. Die Ver- und Entschlüsselung erfolgt sowohl an der TK-Anlage des Unternehmens als auch am Session Border Controller (SBC) des Providers. Die Hauptaufgabe des SBC besteht darin, in Voice-over-IP-Umgebungen (VoIP) externe und potenziell unsichere Datennetze mit internen, sicheren IT-Strukturen zu verbinden. Der Controller analysiert die verschiedenen Datenströme und filtert wie eine Art „SIP-Firewall“ alles aus, was er nicht als gültiges VoIP-Paket identifiziert.
Das BSI empfiehlt Unternehmen mit erhöhtem Sicherheitsbedarf, sowohl ihre IP-Telefonie zu verschlüsseln als auch einen Enterprise Session Border Controller (E-SBC) einzusetzen, wenn der SIP-Trunk über das Internet aufgebaut wird. Der E-SBC als „Demarkationslinie“ steht nicht beim Provider, sondern beim Unternehmen selbst. Er bietet zusätzlichen Schutz, da er Sprachdaten intern sowie extern trennt und auch betrügerische Anrufe unterbinden kann. Verschiedene Hersteller bieten E-SBCs als Hardware oder softwarebasiert an. Einige Provider liefern optional selbst E-SBCs, die vor den SIP-Trunk geschaltet werden. Allerdings sollte der Controller auch eine rechtliche Trennung zwischen Provider und Kunde herstellen. Das heißt: Auf die Kundenseite des E-SBC sollte niemand schauen können außer der Kunde selbst oder vielleicht noch sein Systemhaus. Diese Trennung ist gefährdet, wenn der Provider den gelieferten E-SBC selbst verwaltet. Der E-SBC sollte also besser als Bestandteil der Telefonanlage betrachtet und gehandhabt werden. Bei einigen großen TK-Anlagen-Herstellern wie Alcatel-Lucent Enterprise, Avaya, Mitel und Shoretel oder Cisco ist der Controller ohnehin fester Bestandteil der Anlage.
- IP-Telefonie richtig absichern
- Remote-E-SBC: Direkter Draht zum Anbieter
- Expertenkommentar Bintec Elmeg
Lesen Sie mehr zum Thema
