Sicherheit bei der VoIP-Telefonie
Die VoIP-Telefonie hat sich dank der Digitalisierung und der Abschaltung von ISDN mittlerweile im Business-Bereich fest etabliert. Somit kommen anstelle von klassischen Telefonen mit ISDN inzwischen digitale Telefonanlagen zum Einsatz. Ein Punkt, den viele Unternehmen umtreibt: Wie steht es um die Sicherheit bei der VoIP-Telefonie?
1 Wie sicher ist die VoIP-Telefonie grundsätzlich und wie funktioniert die Technik?
Die gute Nachricht vorweg – im Vergleich zur analogen Telefonie und ISDN ist VoIP out of the box deutlich sicherer. Warum Angriffe schwerer sind, zeigt sich bei einem Blick auf die Technologie. Bei analogen Telefongesprächen reichte es aus, sich an einer bestimmten Stelle an das Telefonkabel einzuklinken und die Gespräche konnten abgehört werden. Die digitale Kommunikation hingegen basiert auf Datenpaketen, die direkt zwischen den Teilnehmern eines Telefongesprächs ausgetauscht werden. Dass die Datenpakete auch an den richtigen Punkten angelangen, ist über die eindeutige IP der Teilnehmer gewährleistet. Mit den Datenpaketen alleine ist es nicht möglich, ein Gespräch abzuhören. Erst am Endpunkt erfolgt die Zusammensetzung der einzelnen Pakete und somit auch eine Rekonstruktion der Gesprächsinhalte.
VoIP lässt sich im Kern auf zwei Wegen im Unternehmen etablieren. Zum einen durch die Anschaffung einer Telefonanlage vor Ort. Diese Anlagen sind vergleichbar mit den klassischen Telefonzentralen, die es auch zur Zeit von ISDN und davor gab. Über ein Voice-Gateway gelingt die Verbindung in Telefonnetze außerhalb von VoIP, sodass auch normale Anrufe möglich sind. Zum anderen gibt es die Option, auf die Cloud Telefonie zu setzen. Hierbei stellt ein Anbieter den gesamten Service bereit und die Telefonanlage befindet sich in der Cloud. Das Telefonieren ist mit Apps, IP-Telefonen und dem Smartphone möglich.
2 Vorteile der VoIP-Telefonie
Durch VoIP öffnen sich zahlreiche neue Möglichkeiten in der Business Telefonie. Gerade aus diesem Grund ist die Technik so interessant für Unternehmen, denn sie passt optimal zur modernen, dynamischen Geschäftswelt.
So sind per VoIP nicht nur klassische Telefongespräche, sondern auch Videogespräche möglich. Darüber hinaus ist VoIP für Telefonkonferenzen geeignet und die Anzahl der Teilnehmer ist grundsätzlich nicht beschränkt. Ebenfalls ist über die Verbindung der Austausch von digitalen Daten möglich, was gerade für Unternehmen bei Geschäftsbesprechungen ein enormer Vorteil ist.
Ein weiterer Vorteil sind die deutlich geringeren Kosten für Telefongespräche. Dies betrifft vor allem internationale Gespräche, die mit anderen Technologien oftmals exorbitante Minutenpreise hervorrufen. Mit VoIP sind solche Gespräche oft für einen Cent pro Minute möglich.
Für diese Technik spricht weiter die große Auswahl der Endgeräte. Nutzer sind nicht mehr an das Festnetztelefon gebunden, sondern können auch das Smartphone, den PC oder ein IP-Telefon nutzen. Darüber hinaus ist VoIP ortsunabhängig. Mitarbeiter sind immer über die eigene Nummer erreichbar, egal ob sie sich im Büro, dem Homeoffice, auf Geschäftsreise im Ausland befinden oder unterwegs sind. Damit ist VoIP auch deutlich sicherer als ISDN, da sich das Telefon immer im Netzwerk des Unternehmens befindet. Dies ist zum Beispiel sonst im Homeoffice nicht der Fall.
3 Welche Gefahren drohen Telefonanlagen in der Cloud?
Trotz der hohen Grundsicherheit der VoIP-Telefonie gibt es einige Risiken und potenzielle Schwachstellen, die Unternehmen kennen sollten. Diese gehen vor allem mit der digitalen Technik einher und zeigen sich in vergleichbarer Form auch bei anderen Technologien.
Da ist zunächst die Möglichkeit, dass sich Angreifer Zugang zu den Telefonkonferenzen verschaffen. Aus diesem Grund ist es wichtig, Konferenzen mit einem komplexen Passwort zu sichern und vertrauensvoll mit den Zugangsdaten umzugehen. Gleiches gilt für den Zugang zur Telefonanlage, unabhängig davon, ob diese in der Cloud angesiedelt ist oder sich vor Ort im Unternehmen befindet.
Hacker versuchen, per Phishing oder Social Engineering Zugangsdaten und Passwörter zu erbeuten. Dies können auch die Informationen für die VoIP Telefonie betreffen. Malware und Trojaner sind ebenfalls Bedrohungen, die die Sicherheit der eigenen Systeme und Daten bedrohen. Das betrifft auch die VoIP-Telefonie, da Angriffe auf die Infrastruktur auf diesem Weg möglich sind.
4 Sicherheit bei der VoIP-Telefonie in Unternehmen gewährleisten
Der wichtigste Schritt, um für mehr Sicherheit bei der VoIP-Telefonie zu sorgen, ist von den Optionen zur Verschlüsselung Gebrauch zu machen. Bei der VoIP-Telefonie kommt das Session Initiation Protocol SIP zum Einsatz. Dieses verschlüsselt jedoch nicht automatisch die Gesprächsinformationen, sodass Angreifer die Chance haben, die Gesprächsdaten abzufangen.
Es gibt aber die Möglichkeit, eine Verschlüsselung bei der VoIP-Telefonie zu aktivieren und so die Sicherheitsrisiken zu minimieren. Hier stehen zwei Techniken zur Verfügung. Die eine ist SIPS, wobei die Kommunikation mit dem TLS-Protokoll verschlüsselt und getunnelt wird, was für Sicherheit sorgt. Die Zweite ist SRTP, das Secure Real-Time Transport Protocol für die Verschlüsselung der eigentlichen Sprachinformationen. Damit sind die Sprachpakete während des Transports verschlüsselt und können nicht abgehört werden. Es ist also ratsam, von SIP auf SIPS umzustellen und zusätzlich SRTP für die Verschlüsselung in der Konfiguration der Telefonanlage zu aktivieren, um die Sicherheit zu erhöhen.
Die Voraussetzung zur Nutzung von SIPS oder SRTP ist, dass alle Teilnehmer beziehungsweise die Technik diese Standards unterstützen. Auf diesem Weg ist die Einrichtung einer Ende-zu-Ende-Verschlüsselung möglich, die ein sehr hohes Niveau bei der Sicherheit bietet. Gesprächs- und Verbindungsdaten sind so auf der gesamten Strecke der Kommunikation verschlüsselt. In jedem Fall ist eine individuelle Aktivierung erforderlich, da nach dem deutschen Telekommunikationsgesetz die Provider keine automatische Verschlüsselung durchführen dürfen, um auf Anordnung den Behörden Zugriff zu Gesprächsdaten zu liefern.
Um den direkten Zugriff auf Systeme in der eigenen Infrastruktur zu verhindern, sind eine leistungsstarke Firewall sowie bestenfalls Lösungen für die aktive Angriffsabwehr wichtig. Eine solche Angriffsabwehr identifiziert unerwünschte Zugriffe, zum Beispiel Attacken von Hackern, anhand der IP und anderer Muster. Solche Software für die Sicherheit blockt dann die Zugriffe und schützt so die Anrufe. Zusätzlich gibt es Session-Border-Controller (SBC), die eine ähnliche Funktion wie die aktive Angriffsabwehr haben. SBC ist speziell für die Sicherheit in der VoIP-Telefonie konzipiert und fügt eine Reihe von Funktionen zur Kontrolle der Datenströme bei Anrufen hinzu. Vor allem können verschiedene Netze getrennt werden, sodass nur Teilnehmer aus zugelassenen Bereichen Zugang zu den Telefonkonferenzen haben. So minimiert SBC die Risiken und agiert wie eine undurchlässige Firewall.
Zu den weiteren Sicherheitsmaßnahmen, die Unternehmen anwenden sollten, gehört die Schulung der Mitarbeiter. Hier geht es um die sichere Nutzung von digitalen Plattformen und wie Einladungen zu Telefonkonferenzen sicher geteilt werden. Auch ist es ratsam, die Mitarbeiter über Themen wie Phishing und Social Engineering zu informieren, sodass sich auch diese Sicherheitsrisiken minimieren lassen.
5 Fazit – VoIP-Telefonie ist sicher und praktisch
Die Sicherheit bei der VoIP-Telefonie ist also sehr hoch, besonders dann, wenn alle möglichen Sicherheitsmaßnahmen wie die Verschlüsselung zum Einsatz kommen. Unternehmen, die noch keine digitale Telefonanlage besitzen, profitieren aufgrund der höheren Sicherheit und den niedrigeren Kosten von einem Umstieg. Welche Lösung sich anbietet, lässt sich im Rahmen eines Infrastruktur Consultings feststellen. Anbieter wie TelemaxX bieten diese Services an und haben dazu die passenden Lösungen im Portfolio, wie zum Beispiel die TelemaxX Cloud für den Aufbau eines privaten VoIP-Netzwerks und maßgeschneiderte Konzepte für die Internettelefonie.