Auch beim Telefonieren Daten verschlüsseln
Der Übergang von ISDN zur IP-Telefonie ist in vollem Gange. Durch Verschlüsselung bietet letztere trotz aller Bedenken eine höhere Sicherheit als die herkömmliche Telefonie, meint Christian Ebert von QSC im Expertenbeitrag für ITespresso.
Das ISDN-Zeitalter geht langsam, aber sicher zu Ende. Selbst die Deutsche Telekom will bis Ende 2018 ihr Netz von analoger und ISDN-Technik auf IP-Telefonie umstellen. Andere Provider sind da schon weiter. Neben den organisatorischen und technischen Herausforderungen ist die Sicherheit eines der herausragenden Themen bei einer Migration. Immer wieder kommt die Frage auf, ob IP-Telefonie unsicherer ist als die klassische Technik.
Zunächst einmal ist festzuhalten, dass auch die Nicht-IP-basierte-Telefonie angreifbar ist. Innerhalb eines Unternehmens kann ein Administrator die Leitung anzapfen, das Gespräch mithören und die so ermittelten Informationen missbrauchen. Ob IP- oder klassische Telefonie – außerhalb der Unternehmensgrenzen geschieht die Kommunikation in beiden Fällen über Backbone-Leitungen, die prinzipiell angreifbar sind.
Bei der klassischen Telefonie, die über Kupferdrähte erfolgt, besteht für den Angreifer die Aufgabe darin, die richtige Leitung zu finden und die Informationen auszuspionieren. Bei Glasfaserkabeln ist die Aufgabe ungleich schwerer: Denn es muss innerhalb eines Glasfaserbündels genau die Faser gefunden werden, über die das Gespräch läuft. Angriffe dieser Art fallen in das Metier von Geheimdiensten. Anders ausgedrückt: Bei der IP-Telefonie gibt es keine grundsätzlich neuen Angriffsvektoren. Wich-tig ist vielmehr, welche Möglichkeiten existieren, um die übertrage-nen Daten wirksam zu schützen.
Die Sicherheitsanforderungen haben sich damit nicht geändert. Eher im Gegenteil, denn bei der IP-Telefonie können Unternehmen das Sicherheitsniveau dadurch, dass sie Verschlüsselung einsetzen, deutlich erhöhen – bei der klassischen Telefonie ist dies nicht so ohne Weite-res möglich. Das geht nur, wenn alle Gesprächspartner ihre Endgeräte zueinander kompatibel entsprechend aufrüsten und wenn ein klarer Bedarf wie z.B. bei Behörden oder dem Militär besteht.
Bei IP-Telefonie Verschlüsselung nutzen
Wie im gesamten Bereich der IT-Sicherheit sollten Unternehmen darauf achten, das Sicherheitsniveau im Rahmen des technisch Mögli-chen so zu steigern, dass die Investitionen die potenzielle Schadens-höhe bei Datendiebstahl nicht übersteigen. Dafür bietet sich bei der IP-Telefonie die Verschlüsselung an. Vor allem im Vergleich zur klassischen Telefonie ergeben sich daraus neue Möglichkeiten, um Informationen besser zu schützen.
Bei der Verschlüsselung der IP-Telefonie lassen sich zwei Varianten unterscheiden, SIPS/SRTP und proprietäre Software.
Verschlüsselung mit SIPS/SRTP
Das standardbasierte SIPS/SRTP (Session Initia-tion Protocol Secure zur Verschlüsselung über Transport Layer Security/Secure-Real-Time-Transport-Protocol-Verfahren verschlüsselt die Sprache zwischen einem VoIP-Telefon und einem Provider – und zwar die Signaldaten per SIPS und die Sprachdaten per SRTP. Eine solche Lösung bietet beispielsweise QSC an.
Von der Abfolge her ist zunächst einmal die Strecke vom Teilnehmer A bis zum Provider gesichert. Nur dann, wenn der Teilnehmer B mit dem gleichen Provider telefoniert und ebenfalls SIPS nutzt, ist die gesamte Strecke vom Teilnehmer A bis zum Teilnehmer B verschlüsselt. Hier gibt es jedoch eine Einschränkung, denn es handelt sich nicht um eine echte Ende-zu-Ende-Verschlüsselung. Am SBC (Session Board Controller) des Providers werden die Daten zwischenzeitlich entschlüsselt, da dieser bei Bedarf auf richterliche Anordnung staatlichen Stellen Einblick gewähren muss. Regelungen dazu finden sich etwa im Gesetz zur Beschränkung des Brief-, Post- und Fernmeldegeheimnisses.
Verschlüsselung mit proprietäre Software
Aktuell bieten nur herstellerspezifische Lösungen wie Signal für Android und iOS eine tatsächliche Ende-zu-Ende-Verschlüsselung. Die App, die auf den Endgeräten von Teilnehmer A und B laufen muss, schafft die Basis für die sichere Kommunikation, bei der niemand mithören kann. Ungeklärt ist bislang jedoch, ob nicht doch Geheimdienste dazu in der Lage sind.
Richtig ist: es gibt in diesem Fall keine gesetzlichen Einschränkungen im Hinblick auf die sogenannte Lawful Interception, eine gesetzlich geregelte Telefonüberwachung, die sich unter anderem aus der Strafprozessordnung oder Polizeigesetzen ableitet. Der wichtigste Nachteil: Diese Art der Kommunikation ist nicht kompatibel zur herkömmlichen Telefonie. Sie erfolgt nicht über das Telefonnetz, sondern über das Internet.
Für Unternehmen empfiehlt sich die SIPS/SRTP-Variante. Sie bietet die Möglichkeit, die vorhandene Telefoninfrastruktur zu verwenden. Auf dieser Basis lassen sich vollständige Lösungen konzipieren und umsetzen, bei denen die Verschlüsselung von Anfang an fester Bestandteil einer IP-basierten TK-Anlage ist.
Auf der Seite des Providers sorgt der Session Border Controller als SIP-Filter darüber hinaus für eine logische Trennung von Sprach- und Datennetz. Generell gilt die Verschlüsselung der IP-Telefonie – als sinnvolle Ergänzung zur Verschlüsselung unternehmenskritischer E-Mails – als eine sehr wirksame und im Vergleich zu den möglichen Schäden auch kostengünstige Lösung, um eine höhere IT-Sicherheit in den Unternehmen zu erzielen.