Sicherung von UC-Systemen
Keine Chance für Hacker
VoIP-Telefonie hält als globaler Standard Einzug in die Geschäftswelt und wird in diesem Zusammenhang als Wegbereiter für Unified Communications gepriesen. Kein Wunder, denn schließlich ermöglicht es VoIP, Unternehmensstandorte, mobile Mitarbeiter, Geschäftspartner und Kunden über konsolidierte Kommunikationsplattformen weltweit miteinander zu verknüpfen.
Im Zuge des Integrationsprozesses haben sich die einst geschlossenen Kommunikationssysteme zu offenen, komplexen Geflechten, bestehend aus lokalen und mobilen Geräten sowie internen und externen Nutzern, entwickelt. Diese sind jedoch weitaus anfälliger für Angriffe. Es überrascht nicht, dass die Anzahl an Cyber-Angriffen auf UC-Systeme (Unified Communications) stetig zunimmt, denn Angreifer wissen genau, dass sie dort, wo Kommunikation und Daten zusammenlaufen, das Herzstück eines jeden Unternehmen treffen und besonders hohen Schaden anrichten.
Unter wettbewerblichen Aspekten haben Unternehmen keine andere Wahl, als sich dieser zunehmenden Vernetzung zu stellen. Ein wichtiger Schritt ist daher die Einführung einer auf einem gesamtheitlichen und sicheren UC-Konzept basierenden Kommunikationslösung.
Viele Betriebe stehen der IP-Telefonie - und erst recht der Cloud - noch zögerlich gegenüber, weil sie befürchten, sich auf diese Weise eher Hacking-Angriffen und Datenverlust auszuliefern. Dabei bieten VoIP-basierte Lösungen vor allem ein einheitliches, virtuelles System, das Installation, Speicherung und Steuerung, aber eben auch die Sicherung zentralisieren kann. Unzureichendes Patchworking verschiedener Sicherheitsmaßnahmen für unterschiedliche Standorte und Geräte lässt sich so vermeiden.
Cloud-Lösungen sind dabei gleichermaßen sicher, da dedizierte Instanzen hier eine vollständige Abgrenzung von anderen Cloud-Nutzern gewährleisten. Cloud-Anbieter unterliegen allen wichtigen Datenschutz- und Sicherheitsrichtlinien, die sie zwingen, stets neueste Sicherheitsmaßnahmen umzusetzen. Wer Sicherheitsfragen einem vertrauenswürdigen Cloud-Anbieter überlässt, ermöglicht es außerdem der eigenen IT, deren Kapazitäten für strategisch wichtige Themen zu nutzen.
Gesicherte Netzwerke und ein verschlüsselter Datenverkehr
Eine UC-Lösung mag noch so viele beeindruckende Sicherheitsfunktionen aufweisen. Sobald innerhalb des Netzwerks Schwachstellen vorhanden sind, wirkt sich dies unmittelbar auf alle darüber laufenden Systeme und Anwendungen aus. In deisem Fall muss die IT-Abteilung Maßnahmen zur Sicherung von Netzwerken, Betriebssystemen, Hard- und Software miteinander verknüpfen, um UC komplett sicher zu gestalten.
An oberster Stelle steht die korrekte Konfiguration der Firewall, um ein UC-Netzwerk zu schützen. Viele Angriffe lassen sich außerdem durch kontinuierliche Überwachung der System- und Netzwerkaktivitäten identifizieren. Doch dies allein genügt kaum, um Angriffe erfolgreich abzuwehren. Vielmehr sind intelligente Sicherheitsprotokolle erforderlich, die den VoIP-Datenverkehr präventiv schützen und Hackern den Zugang so schwer wie möglich gestalten. Da der VoIP-Verkehr über zwei Datenströme erfolgt, gilt es sowohl die Signalisierung via SIP Secure als auch die Übertragung der eigentlichen Voice- und Videodaten mithilfe von SRTP (Secure Real-Time Transport Protocol) zu sichern. Nur wenn beide Datenströme verschlüsselt sind, wird ein Zugriff auf Daten über das Netzwerk verhindert. Als zusätzliche Sicherung von SIP-Verbindungen eignen sich konfigurierbare Anti-Hacking-Tools und IP-Blacklisting.
- Verwaltungskonsole: Zentrale Konfiguration, Steuerung und Kontrolle interner und externer Nebenstellen, Zuteilung von Zugangs- und Verwaltungsrechten und Sperren von Accounts.
- Updates: Automatische Erkennung und systemweite Umsetzung von Firmware-, Software- und Sicherheits-Updates für standortbasierte und externe Geräte.
- SRTP- und SIP-Secure-Verschlüsselung: Vermeidung des Abhörens von Gesprächen und Unterbindung von Betrugsversuchen.
- SSL-Zertifikate: SSL-Verbindung zum Telefonsystem und seinen Clients, automatische Erstellung von Sicherheitszertifikaten (auch als Wildcard) während der Installation.
- Prävention von Betrug und Missbrauch: Beschränkung abgehender Gespräche durch weitere Sicherheits-Instanzen (PIN) oder komplettes Blockieren außerhalb von Bürozeiten.
- Anti-Hacking-Modul: Blockieren des Zugriffs auf Nebenstellen sowie Verhindern von Brute-Force-Attacken, Wörterbuch-Angriffe (Dictionary Attacks) und Denial of Service.
- IP-Blacklisting: Automatisches Blockieren von durch Hacking-Angriffe auf SIP-Trunks auffällig gewordenen IP-Adressen.
- Mobile-Device-Management: Effektive Antivirenprogramme zur Eliminierung von Risiken und Schwachstellen bei der Kommunikation über externe Geräte.
- Netzwerksegmentierung: Möglichkeit zum Einrichten von Nebenstellen per SBC, um das Unterteilen eines Netzwerks in isolierte Komponenten zu unterstützen.
In einer im Juli 2017 veröffentlichten Bitkom-Studie legt der Branchenverband dar, dass vor allem im Bereich Sicherheitszertifizierungen und Intrusion-Detection-Software Nachholbedarf besteht. Mithilfe einer Host-basierten Detection-Software (HIDS) kann der Administrator sogar mögliche Angriffe direkt mi Hilfe von Log Files, Event Logs und Modifikationen im Dateisystem überwachen. Nicht zuletzt sorgt ein Network-Intrusion-Detection-System (NIDS) für zusätzliche Sicherheit, indem es ein Netzwerk regelmäßig auf Zugriffe prüft und diese bei Bedarf meldet. Je komplexer Netzwerke sind, desto mehr Sinn ergibt es, diese in Komponenten zu trennen und so im Fall eines tatsächlichen Angriffs Auswirkungen auf andere isolierte Komponenten zu vermeiden.
Jeder Einzelne ist gefragt
IT-Sicherheit im Allgemeinen und das Absichern von UC-Systemen im Speziellen ist kein einmaliger, sondern ein kontinuierlich zu bestreitender Aufwand, dessen unternehmensweite Planung, Umsetzung und Kontrolle direkt beim Management verankert sein muss. Zum einen erfordert dies eine allumfassende Sicherheitsstrategie, die über den Basisschutz hinaus auf modernste Verschlüsselung und Angriffserkennung setzt. Zum anderen ist ein konkreter Aktionsplan mit Details zu individuellen Verantwortlichkeiten im Rahmen der Überwachung verdächtiger Aktivitäten erforderlich, um zum Beispiel im Fall eines ungewöhnlich hohen Netzwerkverkehrs Systeme direkt auf mögliche Brute-Force-Angriffe zu prüfen.
Doch es gilt auch, jeden einzelnen Mitarbeiter für die Thematik Sicherheit zu sensibilisieren und durch ein festes Regelwerk deren Mitwirken aktiv einzufordern. Von jedem Angestellten mit Zugriff auf Informations- und Kommunikationssysteme ist ein grundlegendes Verständnis für mögliche Risiken und Auswirkungen gefragt. Dies gilt für die bestmögliche Prävention von Daten- oder Hardware-Diebstahl genauso wie für die Auswahl sicherer Passwörter einschließlich des Ersetzens von Default-Passwörtern. Insbesondere für äußerst kritische Accounts ist es unabdingbar, nicht nur sichere Passwörter zu generieren, sondern diese regelmäßig zu ändern, um Angriffen proaktiv entgegenzuwirken.
Allein durch das Erraten oder Stehlen von Passwörtern erhalten Hacker direkten Zugriff zu Kommunikationssystemen und damit eine Möglichkeit, diese zu Betrugszwecken, zum Beispiel in Form von hohen Telefonrechnungen, auszunutzen. Wer solchen Methoden einen weiteren Riegel vorschieben möchte, kann beispielsweise Nebenstellen durch zusätzliche PINs sichern oder unerwünschte ausgehende Anrufe beschränken, indem auch hier eine weitere Authentifizierung vorangestellt wird. Zusätzlich kann man Multifaktor-Authentifizierungs-Verfahren verwenden, um beispielsweise per Fingerabdruck oder Token Zugriff zu gewähren.
Die zunehmende Mobilisierung und nicht zuletzt der Trend BYOD (Bring your own Device) haben dazu beigetragen, dass die einst klar abgetrennte Unternehmensumgebung verschwimmt und mit der wachsenden Zahl an Geräten entsprechend neue Schutzmaßnahmen erforderlich sind.
Herausforderung mobile Arbeitswelt
Die Abwicklung vieler Kommunikationsprozesse findet während Geschäftsreisen, in Home Offices oder an Standorten von Kunden und Geschäftspartnern statt. Dies erfordert eine regelmäßige Wartung von Systemen samt aller internen und externen Endpoints. Es mag sich lohnen, einen externen Zugriff dabei nur jenen Mitarbeitern zu gewähren, die diesen auch tatsächlich benötigen.
Smartphones bieten, sowohl privat als auch beruflich genutzt, eine besonders interessante Angriffsfläche für Datenräuber und werden vergleichsweise oft nur unzureichend geschützt. Dabei können zusätzliche Bildschirmsperren sowie Virenschutz-Apps eine Absicherung vor Datendiebstahl sowie ungewolltem Zugriff auf verlinkte Kommunikationssysteme bieten.
Fazit
Es fehlt nicht an Tools, Kommunikationssysteme auf Netzwerkebene bis hin zum einzelnen Endpoint sicher aufzustellen. Die große Herausforderung liegt darin, eine von Sicherheitsbewusstsein und Prävention geprägte Unternehmenskultur zu etablieren und auf technischer Ebene Lösungen zu etablieren, die Sicherheit als gesamtheitliches Konzept integrieren und kontinuierlich anpassen.
Lesen Sie mehr zum Thema
