Wie sicher ist die IPFonie Telefonanlage?
Die Cloud-Telefonie, also das Telefonieren per VoIP über eine virtuelle
Telefonanlage wird immer beliebter. Doch viele Unternehmen sind nach
wie vor skeptisch und fragen sich, ob die Cloud-Telefonie überhaupt so
zuverlässig wie das "gute alte" ISDN sein kann? Und ist das Telefonieren
via Internet nicht gar ein großes Sicherheitsrisiko? Immer wieder sorgen
Schwachstellen bei der Hardware etc. für Schlagzeilen und verunsichern
die Anwender.
Hier die häufigsten Fragen rund um die Sicherheit der Cloud-Telefonie:
Ist Cloud-Telefonie sicherer als ISDN?
Kann eine Cloud-basierte Telefonie, die über Internet läuft, so zuverlässig sein wie das
klassische ISDN?
H.G. Eckhardt: Die Cloud-Telefonie kann sogar sicherer sein, wenn an Aspekte wie eine
redundante Netzanbindung gedacht wird. Das gab es zwar zu ISDN-Zeiten auch, doch in der
Regel erhielten dies nur große Unternehmen - im Vergleich dazu ist es heute sehr viel
einfacher, ein redundantes Netzwerk zu bekommen. Zudem ist die Frage, ob die Telefonanlage
im Keller wirklich sicherer ist als die Cloud-Telefonie eines Anbieters mit redundanten
Angeboten. Sicher gibt es Beispiele, wo in 30 Jahren ISDN nie etwas kaputt ging. Auf der
anderen Seite genügte es, wenn ein Auto in einen Verteilerkasten fuhr und es ging nichts mehr.
Aus heutiger Sicht, mit heutiger Technik kann die Cloud-Telefonie aber als sicherer eingestuft
werden.
Wo sind bei der Cloud-Telefonie die Schwachstellen in Sachen Zuverlässigkeit?
H.G. Eckhardt: Im Prinzip gibt es drei Stellen. Das ist zum einen der Anbieter selbst, hat er
Schwachstellen, dann kann sein Angebot durchaus nicht mehr verfügbar sein. Der zweite
Aspekt sind die Transportwege, etwa wenn eine Internet-Störung auftritt. Aber was viele
Anwender gerne vergessen, das ist der dritte Punkt: Die lokale, interne Netzinfrastruktur. Ein
Unternehmen kann den besten redundanten Cloud-Anbieter wählen und sich für den teuersten,
zuverlässigsten Internet-Dienstleister entscheiden. Wenn dann jedoch die Firewall oder ein
Gateway ausfällt und kein Ersatz erhältlich ist, dann funktioniert auch die Cloud-Telefonie
längere Zeit nicht. Obwohl immer mehr unternehmenskritische Dienste heutzutage auf
funktionierende Netze angewiesen sind, wird gerade auf die eigene, interne Infrastruktur zu
wenig geachtet.
Die externen Transportwege können heute relativ günstig über mehrere Anbieter oder über
LTE/5G abgesichert werden - aber was, wenn der Zulieferer keinen Hardwareersatz liefern
kann?
Auf welche dieser Schwachstellen sollte ein Anwender besonders achten?
H.G. Eckhardt: Ein Anwenderunternehmen sollte auf seine interne Infrastruktur achten, denn
dort liegt das größte Fehlerpotenzial. Gleichzeitig hat dies der Anwender wirklich selbst im
Griff. Hier kann sehr viel falsch gemacht werden und die Fehlerbeseitigung ist langwierig. Gibt
es dagegen bei den Transportwegen oder dem Cloud-Telefonieanbieter Probleme, dann kann ein
Unternehmen relativ schnell den Dienstleister wechseln.
Welcher Cloud-VoIP-Anbieter ist der richtige?
Die Anbieter versprechen in Sachen Sicherheit und Zuverlässigkeit den Himmel auf Erden, doch
wie kann ich wirklich prüfen, dass das Angebot nicht in einer Hinterhofgarage gehostet wird?
H.G. Eckhardt: Das hängt davon ab, wieviel Zeit ein Anwender investieren will und kann. Zuerst
kann ein Anwender natürlich auf einer Karte nachsehen, in welcher Gegend der Anbieter sitzt
und daraus seine Schlüsse ziehen. Ein großes Unternehmen kann sich zudem eine
Beschreibung des Rechenzentrums geben lassen und wird dieses häufig auch besichtigen
dürfen, um sich vor Ort überzeugen zu können. Zudem handelt es sich auch bei der Cloud-
Telefonie um eine Auftragsdatenverarbeitung, so dass die hierfür geltenden Rechte und
Gesetze greifen. Das alles hilft jetzt den größeren Unternehmen, nützt aber den kleinen
Mittelständlern - etwa Steuerkanzleien - wenig. Diese können sich eigentlich nur auf die
Zertifikate verlassen, mit denen der Anbieter wirbt. Sollten sich diese als Fake erweisen,
handelt es sich um Betrug. Und solch ein Fall dürfte sich sehr schnell in der Öffentlichkeit
rumsprechen.
Ein weiterer Ansatz ist, die Reputation des Cloud-Anbieters auf Portalen oder anderen
Informationsangeboten wie zum Beispiel Fachmedien zu überprüfen. Fällt der ins Auge
gefasste Anbieter durch verlorene Daten oder ständige Ausfälle auf? Im Internet-Zeitalter ist
das ja - egal ob die Unternehmen das möchten oder nicht - sehr transparent.
Und wie prüfe ich, dass die zugesicherte Verfügbarkeit/Ausfallsicherheit kein Märchen ist?
H.G. Eckhardt: Hier sollten Sie sich die Gegenfrage stellen: Wie haben Sie denn in der
Vergangenheit die Verfügbarkeit ihres ISDN- oder DSL-Anschlusses überprüft? Sicher,
technisch ist die Überprüfung der Verfügbarkeit der Cloud-Telefonie mit Hilfe von
Messinstrumenten möglich. Allerdings sind die wenigsten Anwender bereit, die
entsprechenden Kosten zu tragen. Letztlich sind Sie hier auf die Transparenz des Cloud-
Anbieters angewiesen. Welche Informationen stellt er außer dem Versprechen einer 99,x-
Verfügbarkeit bereit? Zudem sollten Sie stutzig werden, wenn Sie bei Ihrem Anbieter nie etwas
über Wartungsfenster etc. lesen. Wir sprechen hier von technischen Lösungen und da kann es
keine hundertprozentige Verfügbarkeit geben. Auf der anderen Seite steht die gefühlte
Verfügbarkeit. Beeinträchtigt es ihr Business wirklich, wenn der Cloud-Telefonieanbieter
regelmäßig zwischen 3:00 und 3:30 Uhr nachts sein Wartungsfenster hat. Dagegen sollte
darauf geachtet werden, ob Störungen im Laufe eines Arbeitstages auftreten und wie lange der
Anbieter zur Entstörung braucht, beziehungsweise welche Entstörungsfristen er zusichert.
Stellt Cloud-Telefonie ein unkalkulierbares Risiko dar?
Telefonie über Internet, TK-Anlage in der Cloud. Hole ich mir nicht ein unkalkulierbares Risiko
ins Haus?
H.G. Eckhardt: Das ist ein valider Gedanke, doch wie sicher ist ein Unternehmen, wenn es den
Schritt in die Cloud nicht geht. Hier werden häufig Äpfel mit Birnen verglichen. Unabhängig von
der Telefonie stellt sich diese Frage eigentlich immer: Wie sicher ist es, wenn ein
Unternehmen etwas selbst betreibt - etwa einen E-Mail-Server? Letztlich muss sich ein
Unternehmen fragen, ob das hundertprozentig sicher betrieben werden kann und die
entsprechenden Security-Ressourcen vorhanden sind? Große Unternehmen mit einer
entsprechenden IT-Abteilung werden diese Frage wahrscheinlich positiv beantworten können.
Doch wie viele Unternehmen sind dazu wirklich in der Lage, wissen, wo die die aktuellen
Security-Löcher sind, und installieren fortlaufend die aktuellen Sicherheits-Updates? Letztlich
sollte sich jedes Unternehmen - sieht man einmal von Banken, Versicherungen etc. ab - die
Frage stellen, wieviel Zeit und Geld es in das Thema Sicherheit investieren kann. Dagegen
kann man davon ausgehen, dass die Cloud-Anbieter, egal ob Telefonie- oder andere Services,
signifikant mehr Arbeit für das Thema Security aufwenden, denn für sie hängt davon ihre
wirtschaftliche Existenz ab.
Wo liegen die Risiken (Viren/Hacker, Man in the Middle, manipulierte Hardware) konkret?
H.G. Eckhardt: Das Thema manipulierte Hardware spielt derzeit in der Praxis keine Rolle, wenn
man den ganzen Geheimdienstbereich beiseite lässt, denn der ist sehr schwer zu beurteilen.
Dagegen haben die Anwender mit der ganzen Palette der klassischen Angriffe, wie Trojaner etc.
zu kämpfen. Häufig droht die Gefahr auch von innen durch manipulierte E-Mails. Ist ein
Angreifer einmal im Netz, dann ist auch die Telefonie bedroht. Und das kann teuer werden. Es
gibt etliche Beispiele, wo sich ein Trojaner dann im lokalen Netz ein IP-Telefon gesucht hat.
Von dort wurden dann fleißig Rufnummern in Afrika angerufen. Die Schadenshöhe betrug in
einigen Fällen mehrere 10.000 Euro. In der Regel erfolgen diese Angriffe aus dem Netz des
Anwenders. Solange der Cloud-Anbieter selbst die entsprechenden und erforderlichen
Sicherheitsmaßnahmen ergreift, sind die Angriffe aus dem Netz des Anwenders die am
häufigsten zu beobachtenden Szenarien. Und ein guter Cloud-Anbieter wird Maßnahmen
ergreifen, um Sicherheitsprobleme bei seinen Kunden zu erkennen und Missbrauch möglichst
früh verhindern.
Welche Security-Schwachstellen wirft Cloud-Telefonie auf?
Dennoch sorgten Angriffe auf die Cloud-Telefonie in der jüngsten Vergangenheit für
Schlagzeilen. Was waren das für Schwachstellen?
H.G. Eckhardt: Im August letzten Jahres (2019) und im Januar sorgten Vorfälle im
Zusammenhang mit der IP-Telefonie für Schlagzeilen. So hatten im August Sicherheitsforscher
festgestellt, dass die physischen Endgeräte, also die IP-Tischtelefone, wenn man keine
Softphones verwendet, in sich viele Sicherheitslücken haben. Das waren etwas Cross-Site-
Scriptings etc., man konnte also ohne große Security-Barrieren auf die Telefone zugreifen und
Angriffe auslösen. Allerdings funktionierte das nur, wenn ein Angreifer auf das Telefon zugreifen
konnte. War die Web-Schnittstelle des Telefons abgesichert, waren diese Angriffe nicht
möglich. Deshalb sollten die Anwender immer den Passwortschutz des Telefons aktiviert
lassen, denn es ist ein Trugschluss, davon auszugehen, dass die Telefone sicher seien, wenn
sie im eigenen, lokalen Netz installiert sind. Ein auf Sicherheit achtender Telefonie-Anbieter
wird deshalb seine Telefone immer mit aktiviertem Passwortschutz ausliefern und sich nicht
nur auf die Sicherheitsmechanismen seiner Lieferanten verlassen, sondern zusätzliche
Schutzmaßnahmen installieren.
Was kann denn der Anwender selbst in Sachen Security unternehmen?
H.G. Eckhardt: Kleine mittelständische Unternehmen sollten hier die Experten fragen. Das
muss aber nicht unbedingt der Hersteller oder Serviceanbieter sein, sondern das kann auch der
IT-Partner sein. Viele Systemhäuser haben sich auch auf das Thema Security spezialisiert.
Lässt man diesen Aspekt außen vor, dann hat der in Sicherheitsfragen unbedarfte Anwender
eigentlich nur die Möglichkeit, sich auf die Reputation des Unternehmens zu verlassen. Ferner
sollte er dann in den Medien und anderen Informationsquellen danach suchen, wie wichtig dem
Anbieter Punkte wie Datenschutz sind, und wie transparent er kommuniziert, wenn die Dinge
einmal nicht so laufen wie sie sollten. Transparenz ist in diesem Zusammenhang ein wichtiger
Vertrauensfaktor, der häufig unterschätzt wird.
Wann fällt Security in die Obliegenheiten des Anwenders, ab wo ist der Anbieter zuständig? Wo
verläuft denn die Trennlinie?
H.G. Eckhardt: In Zeiten von Cloud-Anwendungen ist das ein schwieriges Feld. Früher gab es
eine klare Trennlinie: Alles, was im Netz des Anwenders stattfindet - plastisch ausgedrückt,
hinter der Firewall - fällt in die Verantwortung des Anwenders. Das stimmt auch noch im
Großen und Ganzen. Allerdings stellt sich die Frage, ob ein Cloud-Anbieter dem Anwender bei
typischen Fehlern, die er begeht beziehungsweise begehen kann, nicht helfen sollte. Ein
Beispiel wären etwa Anwender, die explizit den Passwortschutz der IP-Telefone deaktivieren.
Soll sich ein Cloud-Anbieter hier auf den Standpunkt stellen, das ist mir egal, da es im
Verantwortungsbereich des Anwenders liegt oder soll er ihn darauf hinweisen oder noch besser
von sich aus für maximale Sicherheit sorgen? Letztlich ist das im Cloud-Zeitalter eine
fließende Grenze und keine klare Trennlinie mehr wie früher.
Cloud VoIP Security - Softphone oder Hardware?
Gibt es in Deutschland eine Art Feature Set an Security-Maßnahmen, die ein Cloud-PBX-
Anbieter offerieren sollte?
H.G. Eckhardt: Es gibt Dinge, die eigentlich jeder Anbieter offeriert. Dazu zählt etwa die
Provisionierung von Endgeräten über verschlüsselte Verbindungen. Gute und seriöse Anbieter
werden auch eine Sprachverschlüsselung im Angebot haben. Verschlüsselung, redundanter
Betrieb des Rechenzentrums, ein sichere Provisionierung - das sollte bei jedem Anbieter
Standard sein. Aber der Teufel steckt im Detail. Wieviel Arbeit macht sich der Anbieter
wirklich? Wie oft hinterfragt er die eigene Security-Strategie? Achtet er auf mögliche Fehler
des Anwenders?
Ist ein Softphone oder ein hardwarebasiertes IP-Telefon sicherer?
H.G. Eckhardt: Beide Typen weisen Risiken auf, aber die Risiken sind unterschiedlich gelagert.
So ist häufig die Erwartungshaltung an ein Telefon auf dem Tisch, dass es ein dummes Gerät
ist. In Wahrheit handelt es sich bei den IP-Telefonen auf dem Tisch mittlerweile um kleine
Linux-Rechner mit Betriebssystem. Die große Gefahr dabei ist: Man ist sich häufig nicht
bewusst, dass diese Geräte ein Security-Problem darstellen. So geht das Gros der DDoS-
Attacken heute nicht mehr von Windows-Geräten aus, sondern von IoT-Devices. Das kann der
smarte Kühlschrank, die intelligente Glühbirne oder eben auch das IP-Telefon sein. Defacto
muss sowohl beim Softphone als auch beim IP-Telefon auf die Sicherheit geachtet werden.
Dabei hat der PC als Host für das Softphone sicherlich das größere Angriffsfenster. Dafür wird
hier aber in der Regel mehr auf die Sicherheit geachtet und aktuelle Patches etc. eingespielt.
Unter dem Strich kann man nicht einfach sagen, das eine oder das andere ist sicherer -
Anwender sollten auf beide Gerätearten achten.
Wird beim Thema Security nicht übertrieben, solange Mitarbeiter am Flughafen oder im Zug
lautstark über Geschäftsgeheimnisse am Telefon sprechen?
H.G. Eckhardt: Das unbedarfte Telefonieren in der Öffentlichkeit ist eine traurige Erkenntnis.
Ein gewiefter Hacker wird sich das Leben sicherlich signifikant einfacher durch Social
Engineering machen. Allerdings ist zu bedenken, worauf der User Einfluss hat - das laut
Telefonieren gehört in seinen Einflussbereich. Dieses User-Verhalten entbindet einen IT-
Verantwortlichen aber nicht von der Verantwortung, möglichst sichere Technik einzukaufen.
News Oktober 2020