VoIP-Telefonie – Sicherheit für Ihr Unternehmen

von Viviane Hansmann

Dass sich VoIP-Telefonie auf dem deutschen Telekommunikationsmarkt durchgesetzt hat, steht heute außer Frage. Nicht nur, dass große Telekommunikationsunternehmen VoIP-Te­lefonie bis 2018 flächendeckend einsetzen wollen, sondern auch die massive Kostenoptimierung in Unternehmen durch den Einsatz der Technologie fördern diese Entwicklung. Die neuen vielfältigen Möglichkeiten, die immer besser werdende Verfügbarkeit aber auch die optimierte Sprachqualität tragen durchaus zu einem Imagewechsel bei. Kein Wunder also, dass auch immer mehr Unternehmen auf VoIP umsteigen möchten.

Hierbei werden oft Bedenken hinsichtlich der Sicherheit laut. Die Berichterstattung der letzten Jahre lässt kaum ein gutes Haar an der Kommunikationssicherheit: da ist von Hackerangriffen, Industrie- und Wirtschaftsspionage, Mitarbeiterüberwachung oder gar vom Abhören durch Geheimdienste die Rede. Was viele aber nicht wissen: VoIP kann sicherer sein als die klassische Telefonie.

Angriffspunkte der analogen – also klassischen - Telefonie gibt es nahezu überall zwischen zwei Teilnehmern eines Telefonates: Es können die Endgeräte abgehört werden, aber auch sogenannte Man-in-the-Middle-Angriffe – also das „Anzapfen der Adern des Telefonkabels“ bzw. Abhören der Kabelsignale über Funkempfänger – sind möglich. Hier gibt es nahezu keine Sicherheit bezüglich der Daten. Bei ISDN-Leitungen können komplette Gespräche über Sniffer abgefangen werden, zumal diese Leitungen teilweise durch den Anbieter ab bestimmten Knotenpunkten bereits auf IP-Technik umgestellt werden. Als Sniffer wird eine Software bezeichnet, die überwacht, welche Datenpakete über ein Netzwerk laufen.

Auch bei VoIP können die übertragenen Datenpakete mit Sniffern abgefangen und mit Decodern wiederhergestellt werden. Dies ist schwieriger als bei der klassischen Telefonie, da die Sprachdaten in einzelne Pakete geteilt werden und diese vollständig abgefangen werden müssen. Jedoch muss der Angreifer hierzu Zugriff auf das interne Netzwerk haben, denn für die Verbindung außerhalb des Netzwerkes muss der Telekommunikationsanbieter entsprechende Maßnahmen ergreifen. Das macht eine gute Netzwerksicherheit unumgänglich. Mit der neuen Technologie werden auch neue Möglichkeiten zur Sicherung der Daten zur Verfügung gestellt. So können bereits relativ einfache Sicherheitsmaßnahmen integriert werden, die das Abhören von außen erheblich erschweren. Hierzu ist eine gute Anforderungsanalyse erforderlich, da nicht für jedes Unternehmen die gleichen Sicherheitsstandards gelten. Für jedes Unternehmen sollten jedoch grundlegende Vorkehrungen getroffen werden. Hierzu zählen vor allem die Trennung von Daten- und Sprachpaketen, spezielle Firewalls zur Absicherung der VoIP-Infrastrukturen, Verschlüsselungsprotokolle und regelmäßige Updates für Hard- und Software, um eventuell bestehende Sicherheitslücken zu schließen.

Diese Maßnahmen machen das interne Netzwerk sehr sicher, jedoch ist klar, dass eine Leitung niemals völlige Datensicherung bieten kann. Diese absolute Sicherheit kann es schon deswegen nicht geben, weil bei der Verabschiedung der IP-Telefonie-Standards 2004 eine einheitliche Verschlüsselung der Kommunikationswege durch das Europäische Institut für Telekommunikationsnormen und VoIP-Anbietern verhindert wurde. Stattdessen wurden die Lawful-Interception-Standards – also die Möglichkeiten des gesetzlich erlaubten Abhörens – erarbeitet. Hierdurch haben Geheimdienste jederzeit die Möglichkeit unter bestimmten Voraussetzungen Telefongespräche abzuhören.

Trotzdem ist nach § 109 des Telekommunikationsgesetzes jeder Anbieter eines öffentlichen bzw. öffentlich zugänglichen Telekommunikationsnetzes dazu verpflichtet, ein Sicherheitskonzept zu erstellen und der Bundesnetzagentur vorzulegen. In diesem Sicherheitskonzept müssen nicht nur alle Maßnahmen zum Schutz gegen Störungen benannt werden, sondern auch alle Vorkehrungen zur Sicherung des Fernmeldegeheimnisses und zum Schutz personenbezogener Daten. Dies bedeutet, dass Telekommunikationsunternehmen bei Verletzung dieser Regelungen haftbar gemacht werden können. Deshalb schützen Anbieter ihre Leitungen unter anderem durch Virtual-Private-Networks (VPN) und/oder Intrusion-Detection (IDS)-Lösungen. Eine flächendeckende End-to-end-Verschlüsselung ist derzeit noch nicht möglich, selbst wenn Anbieter damit gerne werben. Die umworbene End-to-end-Verschlüsselung ist nur dann möglich, wenn das Gespräch zwischen zwei Teilnehmern des gleichen Netzbetreibers geführt wird. Sobald das Gespräch in ein anderes Netz übergeht werden die Daten entschlüs­selt, an das andere Netz übergeben und hier wieder verschlüsselt. Auch diese Knotenpunkte sind von Netzbetreibern ausreichend zu sichern und stellen nur ein geringes Sicherheitsrisiko dar.

Nicht nur Unternehmen, sondern auch die Mitarbeiter eines Unternehmens stehen der neuen Technik kritisch gegenüber. Wird es dem Arbeitgeber nicht vielleicht doch ermöglicht Gespräche mitzuhören – vielleicht sogar mitzuschneiden? Die Möglichkeiten gibt es sicherlich. Jedoch ist die Mitarbeiterkontrolle laut Betriebsverfassungsgesetz (§ 87 Nr. 6) mitbestimmungspflichtig durch den Betriebsrat. Dies bedeutet, dass ein Unternehmen Mitarbeiter nicht oder nur in einem durch den Betriebsrat festgesetzten Rahmen überwachen darf, insbesondere dann, wenn das Unternehmen private Gespräche am Arbeitsplatz erlaubt. Diese Regelungen werden in der Betriebsvereinbarung festgehalten und können von Mitarbeitern eingesehen werden.  Auch wenn im Unternehmen kein Betriebsrat vorhanden ist, so sind Sprachdaten doch immer personenbezogen und unterliegen damit den Datenschutzgesetzen. Somit ist auch ohne einen installierten Betriebsrat ein Unternehmen dem Schutz der Daten verpflichtet.

Trotz weniger noch bestehender Sicherheitslücken ist VoIP-Telefonie bereits heute sicherer als die klassische Telefonie - wenn bestimmte interne Sicherheitsmaßnahmen berücksichtigt werden. Darüber hinaus kann man davon ausgehen, dass Telekommunikationsanbieter an einer kontinuierlichen Verbesserung der Datensicherheit arbeiten und ihre Sicherheitskonzepte dahingehend anpassen. Zusätzlich werden mit der Weiterentwicklung der Technologie früher oder später die rechtlichen Grundlagen angepasst werden.

Zurück

Einen Kommentar schreiben