Sicherheit in All-IP-Netzen
Sicher in das Netz der Zukunft
Fortsetzung des Artikels von Teil 1
Hürden zwischen Internet und lokalen Netzwerken
Als zentrale Abtrennung des internen Kundennetzwerkes vom Internet steht die Firewall zur Verfügung. Die Sicherheitsanforderungen an die Firewall steigen mit Anzahl der genutzten Dienste, was ein aktives Management der Geräte voraussetzt. Regelmäßige Kontrollen der Protokolle und der Regelwerke gehören zu den Standardaufgaben des Unternehmens, ebenso wie regelmäßige Updates der Firewall-Software, um Sicherheitslücken schnell zu schließen. In Bezug auf die Firewalls hat die Praxis gezeigt, dass der Einsatz von Next Generation Firewalls unumgänglich ist. Diese unterstützen eine höhere Zahl an Netzwerkschichten als herkömmliche Firewalls und erhöhen damit die Möglichkeiten zur Überwachung des Netzwerkverkehrs sowie des Paketinhalts der zu übertragenen Daten.
Am Ende steht noch die Verschlüsselung
Viele Internetanbieter trennen bereits innerhalb der All-IP-Netze unterschiedliche Dienste, beispielsweise die Telefonie vom restlichen Datenverkehr. Das dient zum einen der Qualitätssicherung, zum anderen der Gewährleistung der Datensicherheit. Die Telefonie innerhalb der IP-Technologie wird in der Regel jedoch nicht verschlüsselt. Damit gelangen Telefongespräche auf die Datenautobahn des Internets und können theoretisch abgefangen und abgehört werden, sobald sie das Netzwerk des Anbieters verlassen. Für VoIP ergeben sich somit dieselben Sicherheitsanforderungen wie bei der Übertragung von E-Mails und beim Onlinebanking. Für deren Übertragung haben sich in den letzten Jahren ausreichende Sicherheitstechniken am Markt etabliert. Dies muss auf lange Sicht auch Standard im Bereich VoIP werden. Momentan stehen als Absicherung der Telefonie im IP-Netzwerk entweder die Ende-zu-Ende Verschlüsselung der Telefongeräte oder die Verschlüsselung der Übertragung zur Verfügung. Allerdings werden diese nicht standardmäßig bei den Umstellungen eingerichtet.
In diesem Zusammenhang ist noch anzumerken, dass eine echte Ende-zu-Ende Verschlüsselung nicht vollständig realisierbar ist, weil jeder Provider Bedarfsträgern, wie Polizei und Zoll, unverschlüsselte Schnittstellen zur Verfügung stellen muss.
Ein zusätzlicher Aspekt eröffnet sich im weiteren Verlauf dieser Betrachtung für die Übertragung von sensiblen Informationen durch beispielsweise Steuer- und Rechtsanwaltskanzleien, oder auch für Notruf- und Alarmmeldungen. Die Kanzleien haben bisher das Fax als sichere Punkt-zu-Punkt-Übertragung genutzt, was nun aber bei Wegfall der herkömmlichen Telefonanschlüsse entfällt. Bei der Nutzung von Faxdiensten über die IP-Technologie (Fax over IP) werden die Daten ohne Verschlüsselung übermittelt und können an unterschiedlichen Punkten im Internet abgefangen und gelesen werden. Eine Verschlüsselung ist für diese Dienste zur Gewährleistung der Datenintegrität und Vertraulichkeit unumgänglich.
Die Anforderungen steigen
Die Entscheidung zur Umstellung auf All-IP ist hinsichtlich der sich damit bietenden technischen Möglichkeiten, Kommunikationssysteme zu verbessern beziehungsweise zu vereinfachen, schnell getroffen. Die Vorteile überwiegen. Eine genauere Betrachtung der einzelnen Dienste zeigt jedoch, dass auch die Anforderungen an Qualität und Sicherheit der Anbindungen steigen. Vor einer Umschaltung sollten alle genutzten Dienste im Unternehmen, wie Telefon, Fax oder Alarmanalage, auf deren technische Anforderungen geprüft werden; denn mitunter kann eine Umstellung auf All-IP die Anschaffung weiterer Komponenten im internen Netzwerk auslösen. In der Vergangenheit haben Störungen nicht das komplette Kommunikationssystem beeinträchtigt, was sich aber durch All-IP ändert: Der Single Point of Failure findet sich nun in der Internetanbindung. Die Praxis hat bei einigen Umstellungen gezeigt, dass gerade in ländlichen Gegenden die Bandbreite der Internetanbindung gefehlt hat, was jedoch erst bei der Umstellung auf All-IP und dem dann eintretenden Ausfall einzelner Dienste zum Vorschein kam. Daher müssen Kunden unbedingt darauf achten, dass der Anbieter die benötigten Bandbreiten und den QoS vertraglich zusichert oder aber im Vorfeld testet, damit eine erfolgreiche Umstellung erfolgen kann. Leider fehlt es neben standardisierten Lösungen zur Absicherung der Datenübertragung im IP-Netzwerk an erster Stelle in vielen Gebieten an einer ausreichenden Internetabdeckung. Somit ist aus heutiger Sicht nicht die IT-Sicherheit die „Spaßbremse“ für die neue Technologie, sondern der stockende Breitbandausbau.
Stephan Krischke ist Fachbereichsleiter IT-Sicherheit im Bundesfachverband der IT-Sachverständigen und -Gutachter e.V. (BISG)
- Sicher in das Netz der Zukunft
- Hürden zwischen Internet und lokalen Netzwerken
- Expertenkommentar: Das gute Gefühl von Sicherheit
Lesen Sie mehr zum Thema
