Die Telefonie über das IP-Protokoll (VoIP) wird von Viren, Angriffen auf die Server oder Abhörversuchen bedroht. Um die Verfügbarkeit der Anlagen und der Anwendung sicherzustellen, müssen Gegenmassnahmen ergriffen werden. Die IT-Dienstleister können sich mit entsprechenden Sicherheitslösungen im Portfolio gegenüber Mitbewerbern abgrenzen.
Anfänglich wurde VoIP von einem Hype beherrscht, der vor allem die Gebührenersparnisse thematisierte. Diese Anfangseuphorie hat mittlerweile einer realistischeren Sichtweise Platz geschaffen. Der Schritt von der zeitgetakteten und proprietären Telefonie zur standardbasierten IP-Welt gestaltet sich aufwendig. Ein hohes Augenmerk sollten Anwender vor allem auf die Sicherheitsaspekte legen, da die Nutzung offener Standards oder der Betrieb von Windows-Betriebssystemen auf den Servern ungebetene Hacker geradezu einladen.
Vielfältige Bedrohungen
VoIP ist eine Applikation unter vielen im Netzwerk, allerdings eine höchst anspruchsvolle. In punkto Leistungsfähigkeit und Verfügbarkeit darf das Netz bestimmte Kennwerte nicht unterschreiten. Steigt die Übertragungszeit zwischen zwei Sprachpaketen über 150 Millisekunden, bricht die IP-Faxübertragung ab oder die Anrufpartner hören ihr Gespräch nur noch eingeschränkt. Der Grund ist das zugrunde liegende verbindungslose User Datagramm Protokoll (UDP), das verlorene Pakete nicht ersetzt und hohe Anforderungen an die Übertragungszeit stellt.
Die Liste der Gefahren für VoIP wird ständig erweitert. Derzeit bestehen für die IP-Telefonie im Unternehmen vor allem folgende Risiken:
- Viren und Würmer: Fast täglich gibt es Meldungen über neue Entwicklungen;
- Abhören: Die dafür notwendigen Sniffer-Werkzeuge wie etwa Etherreal sind frei im Internet verfügbar;
- Denial-of-Service-Angriffe (DoS): Server werden so lange mit Anfragen bombardiert, bis sie aufgeben und neu starten. Dabei können sie grosse Qualitätsverluste oder einen kompletten Ausfall der Services verursachen;
- Telefonie-Spam (Spit): Unerbetene Anrufe, die Arbeitszeit und Ressourcen kosten;
- Spoofing: Hier wird ein falscher Proxy-Server benutzt;
- Gebührenbetrug (Toll Fraud): Nicht autorisierte Personen führen Telefonate auf Kosten der Firma.
Bewusstsein vorhanden
Das Bewusstsein über diese Bedrohungen ist vorhanden. In einer von Net IQ durchgeführten Umfrage berichteten 32 Prozent der befragten Unternehmen über Erfahrungen mit Würmern und Viren. Jede fünfte Firma registrierte DoS-Angriffe, danach folgen der Gebührenbetrug und Spit.
Nur fünf Prozent der befragten Firmen sprechen von Erfahrungen mit Abhörversuchen. Dennoch ist bei jedem dritten die Angst davor sehr hoch. Punktuell werden dafür in den sensiblen Geschäftsbereichen Verschlüsselungstechniken eingesetzt, die das Telefonat chiffrieren. VoIP-Telefonate werden so abhörsicher.
Die besten Massnahmen für die Sicherheit von VoIP-Lösungen decken drei Bereiche ab:
- Echtzeitüberwachung der Sicherheit der IP-Telefonie: Überwacht wird dabei die VoIP-Umgebung, um Sicherheitsereignisse und Änderungen in der Konfiguration festzustellen.
- Analyse der Anrufdaten: Analysiert Aufzeichnungen der Anrufdetails, um eventuellen Missbrauch aufzudecken, und liefert Reports auf der Basis
der Aufzeichnungen.
- Sicherheitsmanagement für die IP-Telefonie: Wendet Korrelationsregeln auf Sicherheitsereignisse an, um Bedrohungen zu identifizieren, und loggt Informationen zu Sicherheits-Events für Audits und forensische Analysen.
VoIP als Dienstleistung
VoIP kennt zwei Erscheinungsformen: Der Softswitch, der die Funktionen zur Verfügung stellt, steht entweder im Unternehmen oder wird von einem Provider betrieben. Die als Managed-Services oder IP-Centrex bezeichneten Dienstleistungen werden zu bestimmten Konditionen bezogen. Die Preise dafür richten sich nach der Verfügbarkeit der Dienste, der Bandbreite und nach bestimmten Leistungswerten wie etwa die zeitliche Schwankung (Jitter) oder der Verzögerung der IP-Pakete (Latenz). Der Nachweis erfolgt über Service-Level-Agreements (SLAs), die die Qualität dokumentieren.
In Europa haben sich unter den Anbietern von VoIP-Diensten Preise zwischen 7 und 9 Euro pro Monat pro IP-Telefon etabliert. In der Schweiz liegt dieser Preis etwas höher.
Für Unternehmen bieten sich Instrumente an, die die Überwachung der Sicherheit und ein Performance Management sicherstellen. Mit solchen Werkzeugen überprüft der Kunde des VoIP-Providers letztlich, ob die vereinbarte Verfügbarkeit eingehalten wurde. Beim Unterlaufen bestimmter Werte zahlt der Provider eine Vertragsstrafe.
VoIP-Projekte richtig aufsetzen
Die Überwachung von VoIP-Lösungen in Echtzeit hat noch einen weiteren Aspekt: Die Einführung der neuen Technik findet in Migrationsschritten statt. Zuerst werden einige Dutzend Telefone umgestellt und Erfahrungen gesammelt. Erst wenn diese «Insel» erfolgreich mit den neuen Geräten arbeitet, wird das komplette Unternehmen auf VoIP migriert. Eine Begleitung ohne notwendige Performance-Lösungen wäre fahrlässig, da keine Dokumentation der wichtigen Kennwerte vorläge. Mit einer Sicherheitslösung im Portfolio kann der Reseller in seinem Angebot mit einem Service punkten, der sich von den Standardleistungen vieler Mitbewerber unterscheidet. Neben einer Lizenz bieten einige Hersteller auch Vertragsmodelle, die auf einem Abonnement basieren. Dabei wird eine monatliche Gebühr für die angeschlossenen IP-Telefone bezahlt.
Der Autor (Bild)
Paul O´Reilly ist Director of Sales for VoIP EMEA bei Net IQ. Das Unternehmen ist auf IT-Systems- und -Security-Management spezialisiert.
