Der Umstieg auf VoIP (Voice over Internet Protocol)-Telefonie wird immer beliebter. Unternehmen, die VoIP nutzen, können mit Kosteneinsparungen rechnen, wenn sie sich das Internet zunutze machen und Fernverbindungsanbieter umgehen. Viele Organisationen können auch Steigerungen der Mitarbeitereffizienz vorweisen, die durch VoIP entstanden sind.
Ein Umstieg auf VoIP bringt jedoch auch ernstzunehmende Sicherheitsrisiken mit sich. VoIP öffnet die Schleusen für Hacker, die sich in Telefongespräche schalten und vertrauliche Daten stehlen. Darüber hinaus können Spam-Sender das System mit Denial-of-Service (DoS)-Angriffen überschwemmen. Bevor Unternehmen auf VoIP umsteigen, sollten sie sich intensiv mit der Sicherheitsproblematik dieser neuen Technologie vertraut machen. Eine gründliche Planung ist unerlässlich, meint Symantec.
Mit dem Strom schwimmen
Wie weit verbreitet ist VoIP eigentlich mittlerweile?
Nach Ansicht von Symantec hat Internet-Telefonie die Einführungsphase bereits hinter sich gelassen und ist mittlerweile zu einem der wichtigsten IT-Themen für die Geschäftswelt geworden. Denn:
- Zwei Drittel der Global 2000-Unternehmen werden Deloitte Services LP zufolge voraussichtlich bis zum Jahr 2006 VoIP implementiert haben.
- In einer Anfang 2005 von der Computing Technology Industry Association veröffentlichten Umfrage unter 500 in der IT-Branche tätigen Personen erklärten 73 Prozent der Befragten, sie würden Konvergenzhardware und -software einsetzen beziehungsweise planen, dies im Verlauf der nächsten 12 Monate zu tun.
- Gartner rechnet damit, dass der Markt für VoIP-Dienste im Jahr 2005 weiter mit zweistelligen Raten expandieren wird.
Viele Unternehmen nutzen VoIP, um hohe Ferngesprächsgebühren zu vermeiden. Es können hier jedoch noch weitere Vorteile in Betracht gezogen werden. Frühe Nutzer geben beispielsweise die fortschrittlichen Funktionen von VoIP wie etwa einheitliches Messaging (ermöglicht den Benutzern den Empfang von Voicemail und E-Mail an einem Ort), dreistelliges Wählen zwischen den verschiedenen Büros, Web-Konferenzen und mehrere Optionen zur Anrufweitervermittlung an.
In einigen Unternehmen wurde festgestellt, dass jetzt kein Mitarbeiter mehr für Sprach- und Support-Telefonanlagen abgestellt werden muss. Andere Unternehmen erkannten, dass VoIP ihnen ermöglicht, über ihre früheren veralteten Infrastrukturen hinauszuwachsen.
Für Unternehmen, die vor einem Umstieg auf VoIP noch etwas zögern, werden von einigen Anbietern IP-Telefoniesysteme einer gemischten Übergangsform angeboten, mit denen die Kunden schrittweise auf Konvergenzsysteme umsteigen und ihre Investitionen in vorhandene Anlagen noch weiter nutzen können.
Sicherheit von allen Seiten
Wie von der kürzlich gegründeten VoIP Security Alliance festgestellt wurde, eilen Fortschritte in der Informationstechnologie in der Regel den entsprechenden Sicherheitsanforderungen voraus, die häufig erst dann in Angriff genommen werden, wenn diese Technologien schon vielerorts eingesetzt werden.
Dasselbe trifft heute auch auf VoIP zu. Mit der zunehmenden Nutzung von VoIP ist diese Technologie heute ein attraktiveres Ziel für Hacker geworden. Dadurch wächst die Gefahr von Schäden durch Cyber-Angriffe. Zudem steigt jetzt auch die Wahrscheinlichkeit von Angriffen auf VoIP-Anwendungsebene, da die Angreifer durch höhere Präsenz von VoIP und leichteren Zugang mit dieser Technologie immer vertrauter werden.
Die Folgen eines Angriffs können verheerend sein. Erfolgreiche Angriffe gegen ein kombiniertes Sprach- und Datennetzwerk können ein Unternehmen lahmlegen, die für die Produktivität benötigte Kommunikation zum Stillstand bringen und aufgebrachte Kunden, Gewinneinbußen und Imageschäden nach sich ziehen.
Aus diesen Gründen plant die VoIP Security Alliance, das Wissen um die Sicherheitsrisiken von VoIP über Diskussionslisten, Hintergrundartikel und Forschungsprojekte zu verbreiten. Die Gruppe hofft, durch Bekanntgabe der optimalen Methoden für Einsteigerfirmen und durch das Warnen vor den Gefahren, denen VoIP ausgesetzt ist (einschließlich Spam und DoS-Angriffen), den Umstieg auf die VoIP-Technologie voranzutreiben. Die Gruppe arbeitet zurzeit an der Entwicklung von Projekten, die letztendlich zur Bereitstellung von Tools und Verfahrensweisen für VoIP-Sicherheitstests führen werden.
Einzigartige Anforderungen von VoIP
Gemäß Gartner ist es mit zunehmendem Interesse der Unternehmen an VoIP hat für CIOs und Netzwerk-Manager sehr wichtig, VoIP sicher zu machen. So bietet es dasselbe Niveau an Sicherheit wie die Anlagen des herkömmlichen Zeitmultiplexverfahrens und des öffentlichen Telefonnetzes.
Nach einem kürzlich von Gartner veröffentlichen Bericht ("Die VoIP-Kommunikation muss sicher werden", November 2004) wird die IP-Kommunikation bis ins Jahr 2006 weiterhin unsicherer sein als die Kommunikation über Anlagen des Zeitmultiplexverfahrens. Zudem werden bis ins Jahr 2008 regelmäßig DoS-Angriffe ausgeführt, um die VoIP-Kommunikation zu stören. Der Bericht sagt außerdem aus, dass im nächsten Jahr der Angriff auf VoIP-Geräte durch Viren und Würmer beginnen wird, die speziell für die Konvergenztechnologie entwickelt wurden.
Gartner hebt hervor, dass sich das Absichern von Sprachkommunikation in technischer Hinsicht vom Absichern herkömmlicherer Datenströme unterscheidet. Zu den Problemen, die bewältigt werden müssen, gehören Belange im Zusammenhang mit garantierter Bandbreite, Verzögerung, Synchronisationsstörungen, Paketverlusten und der rechtzeitigen Zustellung von Signalmeldungen.
Darüber hinaus müssen Unternehmen bei der Absicherung von VoIP sowohl herkömmliche IP-Bedrohungen als auch VoIP-spezifische Bedrohungen berücksichtigen. Nach Gartner "führt die massenhafte Verwendung von Protokollen des Branchenstandards dazu, dass VoIP durch generische Protokollschwachstellen und anbieterspezifische Schwachstellen anfällig bleibt". Darüber hinaus ist Folgendes zu beachten:
"Das Absichern von VoIP-Strömen und die Wahrung der Service-Qualität erfordern einen heiklen Balance-Akt. Es wäre ganz einfach, eine Kombination aus herkömmlichen IP-Sicherheitsverfahren, Nutzdaten und Signalverschlüsselung zu verwenden. Diese Kombination würde zwar eine abgesicherte VoIP-Kommunikation ermöglichen, die Verzögerung könnte jedoch die Qualität der Kommunikation dermaßen stark beeinträchtigen, dass die Kommunikation am Ende nicht mehr zu verstehen wäre."
Ein weiteres Problem von VoIP liegt darin, dass nur wenige Unternehmen ihre Datennetzwerke zur Bereitstellung von Energie konstruiert haben, damit VoIP-Telefone auch bei Stromausfällen weiterfunktionieren können.
Hinzu kommt, wie Deborah Platt Majoras, die Vorsitzende der Federal Trade Commission, kürzlich gewarnt hat, dass die Betreiber von Telefonmarketing die VoIP-Technologie dazu missbrauchen könnten, Kunden über das sogenannte SPIT-Verfahren (Spam over Internet telephony; Spam über Internet-Telefonie) mit riesigen Mengen an Sprachnachrichten zu überschwemmen.
Fazit: Sie müssen herausfinden, wie groß Ihre Toleranz für Verzögerungen bei der Sprachkommunikation ist, und davon ausgehen, dass die Sprachkommunikation nur so sicher ist wie Ihr gesamtes Netzwerk.
Vorbehalte gegenüber VoIP
Obwohl die VoIP-Technologie mittlerweile stabil genug ist, um sie in großem Stil in Unternehmen einführen zu können, nähern sich viele Organisationen nur zögernd dieser Technik. Bob Hafner, Forschungsleiter von Gartner, äußerte gegenüber NetworkWorld, dass dies nicht unerwartet komme. Der Grund für dieses Zögern liegt seiner Meinung nach darin, dass jedes Unternehmen die Kosten eines Konvergenzprojekts rechtfertigen und beurteilen muss, ob die potenziellen Produktivitätssteigerungen und Kosteneinsparungen die Kosten ausgleichen, die eine Entfernung der funktionierenden Telekommunikationsanlagen mit sich bringt.
Gleichzeitig liegt CIOs und Netzwerk-Managern zu Recht sehr viel daran, dass die besten Verfahren zum Absichern von VoIP ermittelt und eingesetzt werden. Schließlich ist VoIP für viele Arten bösartiger Aktivitäten anfällig, zum Beispiel für Angriffe durch Viren und Würmer, IP-Spoofing, Kennwortangriffe sowie Man-In-The-Middle-Angriffe. Indem Unternehmen die Sicherheit zu einer Priorität machen, sind sie in einer besseren Ausgangslage, um die Vorteile von IP voll nutzen zu können und gleichzeitig die Netzwerksicherheit sicherzustellen und einen stabilen Geschäftsablauf aufrecht zu erhalten. (rw)