Suchen

So werden IP-Telefonanlagen nicht zum Einfallstor für Hacker

Schwieriger abzuhören als die Kanzlerin

Seite: 2/2

Firma zum Thema

Sicherheit anwenden

Doch das beste Sicherheitskonzept nutzt nichts, wenn Anwender die vorhandenen Möglichkeiten dann in der Praxis nicht nutzen. Gelingt es einem Angreifer, in das System einzudringen, kann er mit den Telefonen so ziemlich alles machen, was er will, etwa das Mikrofon des Telefons einschalten und damit sämtliche Gespräche im Raum mithören.

Dagegen kann man sich schon allein durch das Befolgen aller Sicherheits- und Konfigurationsanweisungen schützen. Deshalb ist der erste Schritt zu mehr Sicherheit in der IP-Telefonie die standardmäßige Einrichtung von Passwörtern in der IP-Anlage, den Telefonen und sonstigen verbundenen Geräten.

Bildergalerie

Grundsätzlich sollten Administratoren alle verfügbaren Mechanismen, wie etwa auch Porteinschränkungen oder die Zuteilung von Zufallsports per Telefonat auf Endgeräten und PBX nutzen. Denn jedes System ist nur so sicher, wie es konfiguriert wurde.

Fünf Sicherheitsstufen

Angelehnt an die Empfehlungen des BSI lassen sich fünf Sicherheitsstufen definieren, die eskalierende Maßnahmen beinhalten, um die eigene Kommunikationsinfrastruktur abzusichern:

  • Bereits die Einrichtung von Passwörtern ist eine oft vernachlässigte, aber nicht zu unterschätzende erste Hürde für das unbefugte Eindringen.
  • Darüber hinaus empfehlen sich die Installation einer geeigneten Firewall und die Auswahl von Geräten, die von vornherein über verschiedene Sicherheitsfunktionen verfügen. Speziell Geräte, die schon IPv6- unterstützen, sollten überprüft und abgesichert werden. Was oft vergessen wird: Endgeräte können über IPv6 leichter direkt erreicht werden, weshalb die Firewalls so konfiguriert werden sollten, dass sie IPv6 ausdrücklich mitfiltern.
  • Die IP-Endgeräte selbst sollten ihre Verbindungen verschlüsseln: Das SIP-Protokoll (Session Initiation Protocol) für das Bereitstellen eines IP-basierten Kommunikationswegs lässt sich über das Verschlüsselungsprotokoll TLS (Transport Layer Security) zusätzlich gegen unbefugten Zugriff absichern – und wird dann auch als SIPS bezeichnet. Die Gesprächsdaten selbst können über das SRTP (Secure Real-Time Transport Protocol) verschlüsselt werden. Sind diese Features bereits im Endgerät implementiert, lässt sich die Kommunikation gut schützen.
  • Alternativ kann diese Sicherheit auch von einer zentralen Stelle, unabhängig von den einzelnen Anwendungen und Endgeräten, gewährleistet werden. Die Vorteile eines zentralen Ansatzes liegen in der einmaligen Implementierung, dem geringeren Wartungsaufwand und der Möglichkeit, auch die Kommunikation von Software anderer Hersteller zu sichern, auf die sonst kein Einfluss besteht. Eine solche zentral bereitgestellte Sicherung ist beispielsweise ein Virtual Private Network (VPN). Typische Anwendungsfälle sind die Verbindung einzelner Außendienstmitarbeiter mit dem Netzwerk einer Firma, die Verbindung einer Filiale mit einem Rechenzentrum oder die Ver-bindung örtlich verteilter Server oder Rechenzentren untereinander.

Eine Umsetzung aller dieser Maßnahmen bietet bereits ein für viele Bedürfnisse ausreichendes Maß an Sicherheit, das sich nur mit relativ hohem Aufwand knacken lässt und die meisten Hacker abschrecken dürfte.

Dennoch gibt es Fälle, in denen diese Sicherheitsvorkehrungen nicht ausreichen, weil das Sicherheitsbedürfnis außerordentlich groß ist, etwa bei Krankenhäusern, Banken, Behörden oder Regierungseinrichtungen. Für diese Anwendungsfälle stehen hochsichere Kommunikationslösungen bereit (siehe Beispiel im Infokasten).

Anbindung mobiler Endgeräte

Den größten Schwachpunkt in der Kommunikation stellt derzeit die Anbindung mobiler Endgeräte, insbesondere von Smartphones, dar. Sie sind auf der einen Seite mit dem Internet verbunden, auf der anderen Seite oft mit dem firmeninternen Server, was sie zu einem exponierten Einfallstor für Angreifer macht.

Auf der diesjährigen CeBIT wurde nun eine bezahlbare Verschlüsselung auch für Handys vorgestellt, eine Sprachverschlüsselung ähnlich wie im Kanzlerinnen-Handy. Da die App jedoch softwarebasierend ist, dürfte ihre Anfälligkeit um einiges größer sein als bei einer zusätzlichen Sicherung mittels Hardware.

Die Verbindung Smartphone/Netzwerk/IP-Telefon sicher zu gestalten, ist zweifellos eine der großen Aufgaben der nächsten Zeit.

Darüber hinaus gilt immer eines: Absolute Sicherheit gibt es nicht! Das hat beispielsweise auch der Bug namens „Heartbleed“ Anfang des Jahres erneut offenbart. Was aber nicht bedeutet, dass man hilflos im Strudel der Hacker untergehen muss. Vernünftiges Handeln gepaart mit einigen Grundregeln sorgt schon heute für ein gehöriges Maß an Sicherheit.

Hacker-Angriffe auf Behörden und Ministerien
Bildergalerie mit 141 Bildern

(ID:43149106)