Internet-Telefonie und deren Konsequenzen auf die IT-Sicherheit im Unternehmen

Der erfolgreiche Umstieg auf VoIP setzt die Einführung und Umsetzung rigoroser Voice over IP (VoIP)-Security Massnahmen voraus.

Mit Einführung der VoIP-Technologie lassen sich die Arbeitsprozesse schneller und effektiver machen, was zu erheblichen Kosteneinsparungen führen kann. Aber die Sicherheitsaspekte werden angesichts dieser Kostenvorteile oft vergessen. Gemäss IT-Security Experten kann die Einführung von VoIP die gesamte Sicherheitsarchitektur einer Firma ad absurdum führen.

Fehlende Verschlüsselung erleichtert Einbruch

In der Tat ist es so, dass bis auf wenige Ausnahmen die heutigen Produkte - Software und Hardware - die Sprachpakete im Netzwerk unverschlüsselt übertragen. Mittels im Internet frei erhältlicher Tools lassen sich diese Pakete mitschneiden und anschließend in ein Audio-Format wandeln. Sogar die Pakete zur Steuerung der Verbindung werden unverschlüsselt übertragen und können auf die gleiche Weise abgehört werden.

VOIPSA widmet sich dem Thema VoIP-Security

Welche Sicherheit-Szenarien für VoIP entscheidend sind, untersucht das Industriegremium "Voice over IP Security Alliance" (Voipsa). Es zählt Spam über Internet-Telefonie oder kurz 'Spit' zu den wesentlichen Gefahren. Ganz oben auf der Liste steht auch 'Spoofing', also das Vortäuschen falscher Identitäten für mögliche Phishing-Zwecke. Auch das vielfach verwendete Session Initiation Protocol (SIP) erlaubt laut Voipsa Angriffe auf Protokollebene. Zudem ist davon auszugehen, dass jede neue Angriffsform, die auf dem Internet Protokoll (IP) basiert und im Datennetz bekannt ist, auch sofort auf VoIP übertragbar sein wird.

Sicherheitsrisiko SIP?

Das VoIP-Anwendungen zugrundegelegte Session Initiation Protokoll (SIP) führt zu Bedenken, was die VoIP-Security anbetrifft. Da dieses Protokoll mit den Web- und E-Mail Protokollen verwandt ist, ist mit ähnlichen Bedrohungsszenarien zu rechnen wie in der Internet-Welt. Diese sind vielfältig und betreffen sowohl die Verbindung als auch Schwachstellen auf der Applikationsebene.

Typische Beispiele von Bedrohungsszenarien sind SIP-SPAM, Fälschen oder Vortäuschen von Identitäten, Abhören oder Umleiten von Verbindungen, Überflutungen der Mailbox mit unerwünschten Nachrichten sowie Verändern von Nachrichteninhalten.

VoIP-Sicherheit setzt Beratung und Anpassung voraus

Technisch dürfte wohl die gesamte benötigte Security-Palette vorhanden sein, um VoIP wirklich marktreif und sicher zu machen. Die Realisierung erfolgt jedoch nicht im Plug&Play-Verfahren sondern nur über seriöse Beratung und Anpassung der bestehenden Architektur. Von einer bequemen Commodity-Lösung dürfte die VoIP-Sicherheit noch ein ganzes Stück entfernt sein.

Je stabiler und sicherer das Datennetz ist, desto besser funktioniert auch die zusätzliche Anforderung für die VoIP-Sicherheit. Aber aufgepasst: Owohl die Security-Lücken dieselben sind, sind die Mittel dagegen bei VoIP nicht dieselben!

Ein Virtual Private Network (VPN) sichert zwar den Weg, den die Sprachdaten nehmen, aber die Ende-zu-Ende-Sicherheit ist damit nicht gewährleistet. Um die VoIP-Sicherheit zu gewährleisten, sollte deshalb nur ein kodierter Sprachstrom über das VPN laufen.

Weitere Informationen unter: www.kmuinnovation.com/kmu-chance/voip-security.htm

Ausführlicher Artikel zum Thema Internet-Telefonie (VoIP) unter: www.kmuinnovation.com/ratgeber/voip-sip-internet-telefon-1.htm

Autor des Artikels:

Dr. Franz J. Beeler
Managing Director Dr. Franz Beeler & Partner
Innovation & Venture Management
Aeschi
6410 Goldau /Schweiz

Tel: +41 41 855 62 92
Fax: +41 41 855 62 91
Mobile: +41 79 455 51 34

Internet: www.kmuinnovation.com

Hinweis:
Sie sind Gründer, Manager, Unternehmer oder Selbständiger und möchten zum Thema "Mehr Innovation für weniger Geld!" mehr wissen: Auf dem KMU-Innovationsportal www.kmuinnovation.com finden Sie neue Wege und Konzepte zur erfolgreichen Innovation im 21. Jahrhundert.

19.11.2006: | | |