VoIP im Eigenbetrieb oder als Hosted Service
VoIP-Security
Sicherheitskonzept für die IP-Telefonie
Aus Administratorsicht ist VoIP genauso ein Netzwerkdienst wie E-Mail, der geeignet abgesichert werden muss. Denn schließlich ist auch die telefonische Erreichbarkeit für die meisten Firmen geschäftskritisch. Tools zum Abhören von VoIP-Gesprächen kursieren reichlich im Internet, viel Know-How braucht man für deren Einsatz nicht. Doch wie schützt man sich wirksam? Experten unterscheiden verschiedene Angriffsklassen auf VoIP:
• Lauschangriffe
• Manipulation
• Störung
• Missbrauch
Wer VoIP nutzt, muss nicht nur die Server sichern, sondern auch die IP-Telefone.
Der Schutz aller VoIP-Systeme in der Firma muss Teil des Sicherheitskonzepts sein. Hat Ihre Firma noch kein festgeschriebenes Sicherheitskonzept, dann ist die VoIP-Einführung ein guter Anlass, um so ein Konzept zu entwickeln. In der Fachsprache ist immer wieder die Rede vom Sicherheitsprozess. Dahinter verbirgt sich die einfache Vorgehensweise, dass man die Sicherheitsmaßnahmen erst plant, danach ausführt und testet. Schließlich führt eine nötige Verbesserung der Sicherheit wieder zum Punkt Planung zurück.
Es ist ratsam schon bei der Entscheidung für eine VoIP-Lösung die Sicherheitsaspekte zu berücksichtigen, spätestens aber während der Migration. Vorsicht Falle: Fatal kann es sein, wenn erst mit der fertigen Lösung das Thema Sicherheit in Angriff genommen wird. Die Sicherheitsverantwortlichen starten in der Regel mit einer Risiko- beziehungsweise Bedrohungsanalyse, auf deren Basis Sicherheitsanforderungen definiert werden. Erst wenn man die Anforderungen kennt, kann man entscheiden welche Hard- und Software nötig ist, um den gewollten Schutz zu erreichen. Bestehende Risiken sollten auch unbedingt im Sicherheitskonzept festgehalten werden.
Schon 2005 brachte das BSI eine Studie zur VoIP-Sicherheit (PDF) heraus, in dem mögliche Angriffsszenarien ausführlich beschrieben sind.
Schutz vor Ausfällen und Angriffen
Wie andere wichtige Server sollte auch die VoIP-Ausstattung nur in Räumen stehen, die ausschließlich dem verantwortlichen Personal zugänglich sind. Die beste Firewall nützt nichts, wenn ein Angreifer auch einfach in den Server-Raum spazieren kann. Ebenso sollte es eine Sicherung gegen Stromausfälle geben, etwa durch USVs.
Professionell abgesicherte Rechenzentren bieten VoIP-Hoster wie Pironet NDH an.
VoIP integriert zwar Telefondienste in das bestehende Netzwerk, bei der technischen Umsetzung sollten Sie aber eine logische Trennung vornehmen. Dafür gibt es etwa VLANs, das sind virtuelle LANs innerhalb eines physischen Netzwerks. Beachten Sie, dass Sie für VLANs spezielle Netzwerk-Hardware (zum Beispiel Switches) benötigen. Doch das VLAN allein schützt nicht perfekt vor Angriffen. Wichtig ist auch eine Authentifizierung der IP-Telefone, die am einfachsten über die MAC-Adresse zu realisieren ist.
Um sich vor MAC-Spoofing und -Flooding zu schützen, müssen Sie die Anzahl der MAC-Adressen pro Switch begrenzen, das geht über dessen Konfigurationsmenü. Außerdem wichtig: Begrenzen Sie die Anmeldeversuche einzelner MAC-Adressen – so verhindern Sie, dass sich bereits gültige MAC-Adressen nochmals anmelden.
VoIP als Hostet Service
Die bequemste Methode für den VoIP-Umstieg ist ein Komplett-Angebot eines Dienstanbieters. Doch worauf muss man achten? Hosting ist vor allem durch Website-Betreiber bekannt geworden, die für einen Festpreis Speicherplatz und Tools rund um den Internet-Auftritt anbieten. Doch auch im VoIP-Bereich sind viele Anbieter aktiv, die eine komplette Infrastruktur für die IP-Telefonie am Start haben und nun Firmen den Telefonie-Dienst anbieten. So lässt sich die komplette Infrastruktur und die Hardware zu einem Dienstleister verlagern. Im Unternehmen selbst stehen nur noch die VoIP-Telefone. Vorteil: Mit Hosting entfallen hohe Anfangsinvestitionen für die Unternehmen. Doch Vorsicht: Es gibt hier verschiedene Angebote. Bei einer so genannten Centrex-Lösung teilen sich mehrere Nutzer einen Server, vergleichbar mit virtuellen Servern beim Webhosting.
Leistungsfähiger sind dagegen Angebote mit Hosting von IP PBX, bei dem jeder Kunden einen Eigenen VoIP-Server kriegt. Doch Vorsicht: Diese Angebote sind oft auch für andere Carrier oder Reseller gedacht und deshalb für einzelne Firmen zu teuer und auch zu umfangreich.
Das Besondere beim Hosting von VoIP ist, dass viele Dienstleister die Server in professionellen Rechenzentren betreiben. Dort wird für Ausfallsicherheit gesorgt und auch die physische Sicherheit der Hardware ist gewährleistet. Trotzdem kann man die Anlage nach Lust und Laune konfigurieren, meist über ein Web-Interface. So hat man Umzüge im Unternehmen ebenso im Griff wie die Anbindung von mobilen Nutzern oder Heimarbeitern.
Anbieter wie T-Systems sprechen alle von IP-Konvergenz und Unified Communications – nachfragen und vor allem prüfen des Angebots ist umso wichtiger.
Anbieterauswahl
Doch worauf soll man beim Vergleich von Angeboten achten? Das VoIP-Angebot sollte auf jeden Fall alles das können, was Sie an Ihrer alten Telefonanlage geschätzt haben. Dazu zählen Features wie Anrufweiterleitung, Makeln, Rückruf, Anrufweiterleitung, Konferenzschaltungen oder Rufnummern- und Namensanzeigen. Wichtig auch: Denken Sie an Rufnummernportierung und die garantierte Verfügbarkeit des Dienstes. Und was passiert im Fehlerfall? Wie schnell muss der Anbieter reagieren? Gibt es einen festen Ansprechpartner oder muss man sich über die Hotline erst durchfragen?
Um die Angebote vergleichen zu können, sollten Sie vorab ein paar wichtige Fragen klären. So ist wichtig, wie hoch das Telekommunikations-Aufkommen in der Firma ist. Außerdem, wie viele Anschlüsse sind nötig, sind Heimarbeitsplätze geplant, welche Datenschutzvoraussetzungen gibt es?
Die Hosting-Lösungen bieten sehr viele Vorteile, in der Praxis haben sie sich aber noch nicht etabliert. Beliebt sind dagegen die Managed Services, bei denen Betrieb und Wartung von Hard- und Software ein Dienstleisters übernimmt. Einer Untersuchung von Berlecon Research zufolge sind die meisten Firmen aber noch am Eigenbetrieb interessiert. Nur zwei Prozent sprechen sich bisher für eine Hosting-Lösung aus.
Einige Anbieter, zum Beispiel DNS:NET, sichern die VoIP-Server redundant in zwei Rechenzentren.