Business Continuity Management
Worauf es bei VoIP-Security ankommt
Die Corona-Krise hat für einen Digitalisierungsschub in Deutschland gesorgt. Unmittelbar nach dem ersten Lockdown waren die Aktivitäten vieler Unternehmen darauf ausgerichtet, kurzfristig eine möglichst reibungslose Fortführung der Geschäftsaktivitäten sicherzustellen. Viele Firmen waren auf diesen Schritt nicht gut vorbereitet. Zugriff auf geschäftliche E-Mails sicherstellen, mit Kollegen, Kunden und Geschäftspartnern kommunizieren, Projekte organisieren - alles erstmal gar nicht so einfach, wenn das Arbeiten auf Distanz nicht geübt ist und die technischen Voraussetzungen fehlen.
Business Continuity Management: Nachholbedarf
In der Folge implementierten viele Unternehmen eilig neue Technologien, seien es Softwarelösungen aus der Cloud, Datenbank-Lösungen oder Telefonie- und Collaboration Tools. Doch bei dieser Adhoc-Digitalisierung ist es wie im privaten Leben: Wenn es schnell gehen muss, steht zunächst mal das Vorankommen im Mittelpunkt, nicht die Sicherheit. Nach dem Motto: Erstmal ausparken und losfahren, das Navigationsgerät bedienen und den Gurt anlegen kann man ja auch noch während der Fahrt. Hoffen wir, dass bis dahin kein Unfall passiert.
Der Security-Anbieter Fortinet hat im Juni Arbeitnehmer aus 17 verschiedenen Ländern, darunter auch Deutschland, aus fast allen Branchen und dem öffentlichen Sektor befragt. Nur 40 Prozent der Unternehmen verfügten der Umfrage zufolge vor der Pandemie über einen Business-Continuity-Plan. Infolge der raschen Umstellung auf Homeoffice haben aber 32 Prozent der Befragten zuletzt in diesen Bereich investiert. Die Krise hat somit immerhin sehr deutlich gezeigt, wie wichtig es für Unternehmen ist, schnell und agil auf neue Situationen reagieren zu können.
Ein effektives Business Continuity Management umfasst dabei diverse Handlungsfelder: Die erforderlichen Maßnahmen betreffen natürlich die Verfügbarkeit der notwendigen IT-Systeme und somit nicht zuletzt eine stabile Internet-Verbindung oder die Verfügbarkeit von Servern. Aber auch Parameter wie eine hohe Skalierbarkeit von Ressourcen, Reaktionsschnelligkeit bei der Fehleranalyse und ein umfassendes Monitoring werden in der gegenwärtigen Situation immer wichtiger.
Homeoffice-Risiken: Vermeidungsstrategien
Ein zentraler Baustein des Business-Continuity-Plans sollte zudem der Aspekt der IT-Sicherheit sein. Gerade durch die gegenwärtige Arbeitssituation mit einem hohen Homeoffice-Anteil ergeben sich diesbezüglich neue Risiken. So wird das heimische WLAN der Mitarbeiter im Regelfall nicht so gut abgesichert sein wie das Firmennetzwerk. Besonders kritisch ist zudem die Verwendung privater Endgeräte - sei es das persönliche Notebook, das Festnetztelefon oder das private Smartphone - die nicht in das zentrale Endpoint Management des Unternehmens eingebunden sind.
Denn es ist klar: Auch das TK-System gehört zu den zentralen Infrastruktureinrichtungen eines Unternehmens und ist somit besonders schützenswert. Eine 2020 vom Branchenverband Bitkom durchgeführte Befragung in Deutschland stellte fest, dass neun Prozent der Befragten sicher sind, in den vergangenen zwei Jahren Opfer von Abhöraktionen und Cyberangriffen auf ihre Telefonanlagen geworden zu sein. Das Ergebnis kommt nicht überraschend: Wenn immer mehr Unternehmen von den weitreichenden Potenzialen profitieren, die moderne IP-Telefonie bietet, entstehen durch die Integration entsprechender Technologien auch neue Angriffsflächen für Cyberkriminelle, sofern die Datenübertragung nicht adäquat abgesichert wird.
Denn selbst der heute am weitesten verbreitete SIP-Standard (Session Initiation Protocol) sieht nicht zwingend eine sichere Authentifizierung oder eine Verschlüsselung vor. Werden VoIP-Verbindungen über SIP ohne zusätzliche Sicherheitsvorkehrungen aufgebaut und die Protokollinformationen unverschlüsselt übermittelt, können diese von potenziellen Angreifern jedoch komplett eingesehen werden. Die unerwünschten Folgen können weitreichend sein: Nicht nur das Abhören von Telefonaten, auch Identitätsdiebstahl oder Gebührenbetrug sind möglich. Manch ein Unternehmen musste bereits erleben, dass Hacker die gesamte Telefonanlage kaperten, indem sie sich über ungesicherte IP-Zugänge oder eine Port-Freischaltung im Router Zugang verschafft hatten.
VoIP-Security: Verschlüsselung ist Pflicht
Die vorangegangenen Beispiele zeigen, wie wichtig es ist, VoIP-Telefonate abzusichern. Zum einen erfordert dies eine sichere VPN-Verbindung zwischen dem Heimarbeitsplatz oder Mobile Office und dem Unternehmensnetzwerk. Zum anderen sollte die Telefonie auf Basis der Protokolle SIPS (Session Initiation Protocol Secure) und SRTP (Secure Real Time Transport Protocol) verschlüsselt werden: SIPS sorgt für einen verschlüsselten Verbindungsaufbau und schützt sowohl Telefonanlage als uch IP-Telefon verlässlich gegen kriminelle Attacken. Den ergänzenden Schutz der Sprachdaten liefert die Kodierung mit SRTP über einen bis zu 256 Bit langen AES-Schlüssel (Advanced Encryption Standard). So werden die Datenpakete aufgesplittet über das Netzwerk verschickt.
Allerdings müssen sowohl Server (Telefonanlage) als auch alle Clients (IP-Telefone) für diese Art der Verschlüsselung ausgelegt sein, um ein durchgängig hohes SchutzniveauSchutzniveau zu erreichen. Nutzer sollten bei der Auswahl ihrer ITK-Systeme deshalb auf die Erfüllung höchster Sicherheitsstandards achten. So liefern führende Anbieter heute Kommunikationslösungen, bei denen sich ITK-Systeme und Endgeräte gegenseitig per Zertifikat ausweisen und somit bereits bei der ersten Inbetriebnahme verschlüsselte Konfigurationsparameter übertragen. Zusätzliche Fingerprint-Funktionen wirken zudem sogenannten Man-in-the-Middle-Attacken entgegen, bei denen der Angreifer versucht, sich zwischen die Kommunikationspartner zu schalten und dadurch Kontrolle über den Datenverkehr zu erlangen. (mb) Alles zu Security auf CIO.de