Unified Communications (UC) stellt für Unternehmen ein größeres Risiko als VoIP dar, weil es um besonders kritische Daten geht: Sprache, Video, E-Mail, Textnachrichten, Filesharing und vor allem der Zugriff auf das gesamte Netzwerk. Für Angreifer aus dem Internet ist UC daher eine willkommene potenzielle Schwachstelle.

Eine aktuelle Bitkom-Studie hat gerade erst gezeigt, dass über die Hälfte der Unternehmen in Deutschland (53 Prozent) mittlerweile Schäden durch Wirtschaftsspionage, Sabotage oder Datendiebstahl verzeichnen und die Täter besonders häufig aus dem internen Kreis der Unternehmen kommen. Die Denial-of-Service- oder Daten-Exfiltrationsangriffe der letzten Monate lassen erkennen, dass jeder denkbare Eingangspunkt ein Sicherheitsrisiko darstellt – ob harmlos anmutende Websites oder seriös wirkende E-Mails. Da Unternehmen aufgrund von Budgetzwängen gar nicht in der Lage sind, jede Komponente umfassend absichern zu können, konzentrieren sie sich auf zu priorisierende Eingangspunkte oder Anwendungen. Leider wird dabei ein wichtiger Bereich häufig immer noch vernachlässigt: Unified Communications. Vor dem Hintergrund, dass – wie die Analysten von IHS prognostizieren – die Zahl der UC- und VoIP-Network-Teilnehmer (Voice over IP) in der Cloud bis 2020 auf über 75 Millionen steigen wird, ist es absehbar, dass auch die Cyberangriffe über SIP zunehmen werden.

Neue Gefahren durch UC-Einführung

Zu den größten externen Gefahren für Unified Communications, die massive wirtschaftliche Schädigungen nach sich ziehen, zählt etwa der Gebührenbetrug. Jedes Jahr verlieren Unternehmen Milliardenbeträge durch Gebühren für Ferngespräche, die Kriminelle illegal über ihr System führen. Über den durch UC aktivierten Private Branch Exchange (PBX) oder über gehackte Mobile Clients eines Mitarbeiters erhalten Angreifer Zugriff auf das Telefonsystem. Oft müssen Unternehmen für die Kosten haften, auch wenn diese Anrufe nachweislich nicht von den eigenen Mitarbeitern stammen.

Noch viel schlagzeilenträchtiger sind DDoS-Angriffe (Distributed Denial of Service), die regelmäßig Websites populärer Unternehmen wie Twitter, AirBnB oder die New York Times temporär außer Gefecht setzen. Da sowohl URLs von Websites als auch eine Telefonnummer oder SIP-URL im Internet als IP-Adresse dargestellt werden, können Angreifer durch letztere auch einen kompletten Kunden-Service ausschalten oder den Telefonverkehr für den Vertrieb stundenlang lahmlegen und dadurch hohe wirtschaftliche Schäden verursachen. Und für sogenannte TDoS-Attacken (Telephony Denial of Service) braucht es nicht viele Rechenressourcen oder technisches Know-how: Angreifer setzen mithilfe von SIP-Automatisierungsskripten Anrufgeneratoren ein, um die anvisierten Telefonnummern massenhaft anzuwählen, aufzulegen, um dann sofort wieder anzuwählen. Die Telefonleitung wird so für andere Anrufer wirksam blockiert.

Eine weitere Methode stellt das Anrufer-ID-Spoofing dar. Da man Anrufer-IDs in der Regel mehr Vertrauen schenkt als E-Mails, entwickelt sich das sogenannte „Spoofing“, also die Anzeige einer falschen Anrufer-ID, zu einem gefährlichen Trend. In den USA erbeutete eine kriminelle Gruppierung Millionen von Dollar, indem sie sich mittels einer gefälschten Anrufer-ID als Internal Revenue Service (IRS) der US-amerikanischen Bundesteuerbehörde ausgab und angebliche Steuerzahlungsschulden meldete.

Mittlerweile nutzen Cyberkriminelle das Anrufer-ID-Spoofing dafür, persönliche Informationen zu sammeln. Die Methode ist auch als Vishing (Voice Phishing) bekannt. Vor diesem Hintergrund sowie der exponentiellen Verlagerung von Unified Communications in die Cloud müssen Unternehmen eine mehrschichtige Sicherheitsstrategie fahren. Dabei gilt es nicht nur, den Kommunikationskanal zwischen Endpunkten zu sichern, sondern gleichzeitig auch die Pfade zwischen verschiedenen APIs, die man zum Erstellen der Anwendung aufruft. Firewall-Technologie und insbesondere Next-Generation Firewalls sind für die Datenkommunikation gut geeignet. Doch auch eine NGFW ist nicht dazu bestimmt, Kommunikation in Echtzeit abzusichern. Tatsächlich kann die Sicherheitsfunktion des Application Layer Gateways (ALG) auf den meisten NGFWs die Durchführung eines Anrufs im Netzwerk negativ beeinflussen. Aus diesem Grund deaktivieren viele Unternehmen diese ALG-Funktion, wodurch sie ihre Unified-Communications-Anwendung sofort möglichen Sicherheits-Hacks aussetzen. SIP-Dienste sind durch dieses Vorgehen nicht mehr vor Exploits auf Anwendungsebene geschützt.

Session Border Controller als Firewall

Auch wenn es keine Lösung gibt, die das Unternehmen vollständig absichert, ist es im Hinblick auf den Schutz von UC sinnvoll, über den Einsatz von Session Border Controllern (SBCs) als Firewall für Echtzeitkommunikation nachzudenken. Nur ein SBC ist so konzipiert, dass er sowohl Zuverlässigkeit als auch Sicherheit in der Echtzeitkommunikation adressiert. Session Border Controller verfügen über inhärente Sicherheitsmerkmale wie Pro-Session-Status-Awareness, Protokollfilterung, Topologie-Ausblendung, Verschlüsselung und Service-Awareness, die eine detaillierte Durchsetzung der Anwendungsnutzung und eine Blacklist ermöglichen, wenn beispielsweise ein Anwendungsmissbrauch entdeckt wird. Bei letzterer unterscheidet man zwischen zwei Arten:

Statische Blacklist: Enthält IP-Adressen und/oder Netzwerk-Präfixe, denen der SBC das Eindringen in das Netzwerk nicht gestattet.

Dynamische Blacklist: Entwickelt zur Erkennung und Blockierung von sich fehlerhaft verhaltenden Endpunkten für einen konfigurierten Zeitraum, aber nicht zur Verhinderung von Angriffen, bei denen das System andere Abwehrmechanismen einsetzt.

Diese Funktionalitäten ermöglichen es SBCs, UC-Applikationen vor SIP-basierten Angriffen so zu schützen, wie es Firewalls – und sogar NGFWs – nicht mehr können. Session Border Controller enthalten Funktionen wie Medientranskodierung und SIP-Interworking, die UC-Anwendungen besser funktionieren lassen und auf diese Weise als hochentwickelte Firewall speziell für den Schutz von Echtzeitkommunikation fungieren. Weitere Sicherheitsfunktionen von SBCs sind intelligente Medien- und Signalverschlüsselung, Back-to-Back User Agents, Ausblenden der Netzwerktopologie und Grey-/Blacklists speziell für die SIP-Kommunikation.

Dynamisch vernetztes Sicherheitsdenken

Aber: SBCs und Firewalls sollte man nicht als separate Sicherheitseinheiten behandeln, denn ein Session Border Controller ist kein vollständiger Firewall-Ersatz. Zudem gilt es zu berücksichtigen, dass die meisten Sicherheitselemente, wie etwa auch der SBC, ihren eigenen Sicherheitskontext selbstständig verwalten und in der Regel nicht miteinander kommunizieren. Eine Erweiterung des Modells ist es, wirklich alle am Security Stack beteiligten Elemente (SBCs, Firewalls, Router etc.) als Sensoren zu betrachten, die kontextbezogene Informationen bezüglich der Sicherheit generieren.

Der SBC wehrt Malware über den Abgleich mit der Blacklist ab. Bild: Sonus

Man kann diese verschiedenen Sensoren entweder für den Inline-Verkehr einsetzen oder Informationen aus dem Netzwerk über die Überwachung beziehen. Sie speisen ihre Daten in eine Kontextdomäne oder einen Sicherheits-Controller ein, der Analysen durchführt, Anomalien feststellt, potenzielle Bedrohungen identifiziert und den besten Weg für Maßnahmen zur Schadensbegrenzung und künftigen Prävention bestimmt. Dieses Konzept der „vernetzten Sicherheit“ ermöglicht nicht nur immer ausgeklügeltere Funktionen zur Erkennung von Bedrohungen, sondern stellt ebenfalls sicher, dass die auf eine Bedrohung reagierenden Maßnahmen genauso wie am einzelnen Netzwerkknoten auch im gesamten Netzwerk Anwendung finden.

Eine dynamische und vernetzte Sicherheit bedeutet, dass Unternehmen SBCs und Firewalls in diesem Sinne als ergänzende Netzwerkverteidiger betrachten. Auf dieser Basis ist es möglich, dass jeder SBC und jede Firewall einen Angriff erkennen und die Quell-IP-Adresse sofort auf eine dynamische oder statische Blacklist setzen und Phishing und DDoS-Angriffe sich damit stoppen lassen. Da SBCs und Firewalls auf diese Weise ganzheitlich arbeiten und Sicherheitsinformationen gemeinsam nutzen, wird die Sicherheit des gesamten Netzwerks deutlich erhöht. Außerdem ist es notwendig, dass ein Netzwerk im Laufe der Zeit intelligenter wird. SBCs sollten Verhaltensanalysen nutzen, um maßgeschneiderte und dynamische Richtlinien für ihr Unternehmen zu entwickeln, um anormalen und verdächtigen Datenverkehr genauer zu identifizieren und ihn sicher unter Quarantäne zu stellen, bis eine Bestimmung möglich ist.

Fazit

Obwohl es keine einzige Lösung gibt, die das Unternehmen vollständig absichert, sind SBCs und Firewalls ein guter Anfang. Fakt ist, dass sich Sicherheitslösungen schneller entwickeln müssen als die Bedrohungen, denen sie ausgesetzt sind. Unternehmen müssen sich von der Idee verabschieden, dass sie an der Grenze alles stoppen können und die Gelegenheit nutzen, sich mit einer dynamischen Sicherheitsstrategie zu schützen, die den kleinen Prozentsatz der wirklich schädlichen Angriffe in hundert Prozent der Fälle blockieren und entschärfen kann. Dafür müssen Unternehmen zulassen, dass ihre Geräte und Anwendungen Sicherheitsinformationen miteinander teilen, um die allgemeine Sicherheitshaltung des gesamten Netzwerks zu stärken.
/ts

Kevin Riley ist CTO and Advanced R&D bei Ribbon Communications, www.ribboncommunications.com.