Wie sicher ist IP-Telefonie?
23. Juni 2016
Sind wegen der Umstellung von ISDN auf IP besondere Sicherheitsvorkehrungen zu treffen? Welche Gefahren bestehen und worauf müssen Unternehmen achten? Johannes Weicksel, Bereichsleiter Telekommunikationstechnologien und intelligente Mobilität beim Bitkom e. V., gibt Antworten.
Was ändert sich für Anwender aus Sicherheitssicht bei der Umstellung von ISDN auf IP?
Weicksel: Generell ändert sich nichts. Die großen Carrier und Provider verwenden für die Anschaltung nach wie vor eigene Verbindungen für IP-basierte Telefonanschlüsse. Diese sind gemanagt und so sicher wie die alten Leitungen in der ISDN-Welt. Wenn sie aber über das offene Internet gehen und eine Verbindung herstellen, gibt es eine Reihe von Angriffsvektoren.
Welche Gefahren bestehen?
Weicksel: Prinzipiell besteht die Gefahr des Abhörens von unverschlüsselten Verbindungen. Die Frage ist, welchen Aufwand jemand betreiben muss, damit er mithören kann. Wenn Sie ungesicherte Internetverbindungen ohne Verschlüsselung aufbauen, braucht ein Angreifer nur auf Ihren Internetverkehr zuzugreifen. Das ist trivial. Wenn Sie gesicherte Leitungen der Provider nutzen oder mit Verschlüsselung arbeiten, wird das schwieriger.
Ist IP-Telefonie sicherer als ISDN-Telefonie?
Weicksel: IP ist weder sicherer noch unsicherer als ISDN. Das Telefonieren über ISDN erfolgt über eigene Verbindungen der Anbieter, aber ohne Verschlüsselung. Das heißt, wer sich einen Zugang zu den Leitungen verschafft, hat gute Chancen. IP bietet zusätzlich die Möglichkeit, Gespräche mit entsprechenden Protokollderivaten zu verschlüsseln. Für den größten Anteil der Nutzer sind aber beide Technologien vergleichbar sicher.
Sind zusätzliche Sicherheitsmaßnahmen erforderlich, wenn ein Anwender von ISDN auf SIP umstellt?
Weicksel: Der Kunde muss keine zusätzlichen Sicherheitsmaßnahmen ergreifen. Wir sprechen hier von den Produkten der großen Provider auf dem deutschen Markt. Diese Anbieter verfügen über separate Verbindungen und auch die Zusammenschaltung untereinander ist klar geregelt. Sie bieten ein hohes Sicherheitsniveau für ihre Produkte.
Betrachten wir das Equipment, das der Kunde nutzt, so muss er die Hardware IT-technisch absichern, sofern er neben SIP-Trunk auch weitere Möglichkeiten wie beispielsweise Videotelefonie nutzen will. Das hat aber nichts mit der Verbindung zu tun, denn hierbei handelt es sich um ein reines IT-Sicherheitsthema.
Müssen weitere Vorkehrungen vom Anwender getroffen werden?
Weicksel: Aus Sicht der IT-Sicherheit sollten Passwortstandards eingehalten werden. Das heißt, Passwörter müssen regelmäßig geändert werden und dürfen nicht leicht zu erraten sein. Ansonsten sind Firewalls und andere typische IT-Sicherheitsvorkehrungen zu treffen. Im Normalfall muss der Endkunde aber keine sicherheitsrelevanten Vorkehrungen treffen.
Wie steht es um die Sicherheit Cloud-basierter TK-Anlagen und worauf muss hier besonders geachtet werden? Besteht bei Cloud-Telefonie eine größere Gefahr, als wenn der Anwender die Telefonanlage im eigenen Unternehmen hat?
Weicksel: Die Sicherheit virtueller TK-Anlagen ist genauso hoch wie die von Anlagen, die vor Ort betrieben werden. Der Grad der Sicherheit ist immer abhängig vom Management. Beide Systeme bieten die Möglichkeit, interne Gespräche zu verschlüsseln, sofern das von den eingesetzten Endgeräten unterstützt wird. Eine Ende-zu-Ende-Verschlüsselung erhöht die Sicherheit der Kommunikation im Unternehmen.
Viele Unternehmen haben Bedenken in puncto Sprachqualität von IP – sind diese bei Geschäftskundenanschlüssen gerechtfertigt?
Weicksel: Ja und nein. Probleme können entstehen, wenn die Gespräche von einem ins andere Netz übergeben werden. Die Ursache für eine schlechte Sprachqualität liegt in der mehrfachen Komprimierung bei der Übergabe. Wenn Sie ins Ausland telefonieren, kann es sein, dass die Komprimierung nicht so ohne weiteres übernommen werden kann und sich dadurch Qualitätsverluste ergeben. Deutsche Provider haben für die Netzzusammenschaltung Rahmenbedingungen mit Standards definiert. Bei Telefonaten innerhalb von Deutschland ist die Qualität deshalb sehr hoch.
Mit All-IP sind verschiedene Tarifmodelle für Internet und Telefonie zur Auswahl möglich. Für jedes Unternehmen ist das richtige Abrechnungsmodell dabei, von nutzungsbasierten Angeboten bis zum Inklusiv-Volumen.
Expertentipp zur Sicherheit von Voice SIP
Zuverlässige Sprachkommunikation wird für Kunden auch in Zukunft äußerst wichtig sein. Ein Ausfall hat oft direkte und einschneidende Auswirkungen auf den eigentlichen Geschäftsbetrieb. Telefónica realisiert Voice Access daher über ein eigenes Zugangsprodukt, welches den Sprachverkehr in ein abgesichertes, vom Internet getrenntes IP-Netz der Telefónica in Deutschland leitet.
Nur so kann Telefónica größtmögliche Kontrolle über die verfügbare Übertragungsbandbreite und damit auch über die Gesprächsqualität haben. Die Abgrenzung zum öffentlichen Internet bietet zusätzliche Sicherheit.
Drei Wege zum Ziel
Als nächstes steht die Entscheidung an, wie tiefgreifend die Umstellung auf All-IP im Unternehmen sein soll. Wer ohnehin eine veraltete Telefonanlage betreibt, sollte die Gelegenheit nutzen, diese gegen eine moderne IP-Telefonanlage mit neuen Funktionen und zusätzlichen Kapazitätsreserven zu ersetzen.
Hat ein Unternehmen bereits eine IP-fähige TK-Anlage, dann ist der Umstieg besonders einfach. Mit einem Wechsel zu einem All-IP-Anschluss können diese Firmen die Funktionen der Anlage erst ausschöpfen.
Es ist aber auch möglich, eine alte Telefonanlage weiterzunutzen und dieser ein All-IP-Gateway vorzuschalten, das zwischen beiden Technologien vermittelt. Dabei übernimmt ein Voice-Router die Sprachpakete und löst sie für die TK-Anlage in Sprachsignale auf. Der Vorteil dieser hybriden Infrastruktur: Alte ISDN-Telefonanlagen und Endgeräte arbeiten weiter wie bisher und müssen nicht sofort ersetzt oder neu konfiguriert werden.
Eine Alternative zur lokalen TK-Anlage ist die Cloud: Eine Telefonanlage kann heute als Service aus der Cloud bezogen werden. Der Kunde bucht nur noch die Anzahl der Telefonanschlüsse und die Bandbreite, die tatsächlich benötigt werden. Der große Pluspunkt einer solchen virtuellen Telefonanlage aus dem Rechenzentrum ist ihre Skalierbarkeit, denn die Limitierungen einer TK-Hardware vor Ort entfallen.