Sicherheitsrisiken bei Unified Communications

Mike Gasser ist General Manager bei Norman Data Defense Systems AG Schweiz Unternehmen nutzen heute eine Vielzahl von Kommunikationskanälen, um ihre Mitarbeiter mit Informationen zu versorgen. Die Integration von Sprache, Daten, Video und Netzwerkinfrastruktur in einer einheitlichen Anwendungsumgebung - Unified Communications & Collaboration genannt - erleichtert die Zusammenarbeit und bindet auch Business-Anwendungen wie Office, CRM oder ERP ein. Die unterschiedlichen Komponenten, aus denen eine UCC-Infrastruktur besteht, stellen die IT jedoch vor neue Sicherheitsprobleme. Um einen optimalen Schutz aufzubauen, muss diese ganz genau wissen, welche Kanäle und Medien in die UCC-Infrastruktur eingebunden sind, woher der Datenverkehr kommt und wie potenzielle Bedrohungen in das Firmennetz gelangen könnten.

Voice over IP (VoiP) ist die Grundvoraussetzung für UCC-Anwendungen. Moderne UCC-Dienste basieren meist auf IP (Internet Protocol) sowie SIP (Session Initiation Protocol) und arbeiten mit offenen Standards. Die Konvergenz von Telefonie, Mail und anderen Arten des Datenaustauschs auf ein IP-basiertes Netzwerk macht UCC aber anfällig für Angriffe aus dem Internet wie Denial-of-Service-Attacken (DDoS), ARP Flooding, Broadcast Storms und andere. Zudem kann die Sprachkommunikation in einer IP-Infrastruktur abgehört werden. Der Schlüssel zur effektiven Bekämpfung von Bedrohungen liegt deshalb im Einsatz von Sicherheits-technologien im gesamten Unternehmen - in Form von mehrstufigen Lösungskomponenten. Überwindet ein Angreifer eine dieser Ebenen, dann scheitert er an der nächsten. Um die Abwehr nach innen und aussen zu gewährleisten, muss ein UCC-Sicherheitskonzept den gesamten End-to-End-Kommunikations-prozess berücksichtigen, dazu zählen die komplette Infrastruktur, die Server inklusive Daten und Applikationen im Rechenzentrum, TK-Systeme, LAN und WAN, die Verschlüsselung aller Sprach-, Daten- und Videoanbindungen sowie alle mobilen Endgeräte und Anwender.

Antivirenprogramme, die Firewall auf dem Server sowie Adware- und Spyware-Killer gehören zum Standard. Auch eine zusätzliche Firewall, die den Zugang ins Firmennetz versperrt, ist zwingend nötig. Natürlich müssen Updates und Patches schnell eingespielt und Sicherheitslücken umgehend geschlossen werden. Intrusion-Detection- und -Prevention-Systeme helfen zusätzlich, die Netzwerkkommunikation auf schädliche Inhalte und Manipulationen zu überprüfen. Daneben sind eine sichere VPN-Verbindung für den Kommunikationsaufbau zum Firmennetzwerk und die Verschlüsselung der gesamten Festplatte sowie auch aller externen Speichermedien elementar. Der ein- und ausgehende Netzwerkverkehr muss ständig überwacht werden. Netzwerktransparente Scanner, die in Echtzeit Malware aufspüren, leisten hier gute Dienste. Sie lassen sich an beliebiger Stelle im oder am Rand eines Netzwerks positionieren und blockieren in ihrem Netzwerksegment Malware, die über die unterstützen Protokolle gesendet wird - egal ob FTP, http, SMTP, POP3, RPC, TFTP, IRC oder CIFS/SMB. Dadurch wird auch Malware erfasst, die unter Umgehung zentraler Sicherheitslösungen - etwa über mobile Geräte - mittels VPN-Tunnels oder lokaler Ports ins Netzwerk gelangen. Kommt ein IP-Telefonie-Server zum Einsatz, sollte dieser auf ein gehärtetes und stabiles Betriebssystem zurückgreifen, das mit integrierten Firewall-Funktionen ausgestattet ist. Ein zusätzlicher Virenscanner spürt Viren auf, isoliert und löscht sie. Um Kommunikationsanwendungen bestmöglich vor Attacken zu schützen, empfiehlt es sich, die Übertragung zwischen Server, Gateways, Endgeräten und Anwendungen zu verschlüsseln und den IT-Kommunikations-Server sowie dessen Services getrennt vom Unternehmensnetzwerk zu betreiben. Die Möglichkeit, mit verschiedensten Geräten und von überallher auf Geschäftsdaten zugreifen zu können, erhöht das Risiko, dass Viren und Würmer den Weg ins Netzwerk finden. Um die Betriebsstabilität und die Datenintegrität zu gewährleisten, müssen alle mobilen Endgeräte und Wechselträger in die Sicherheits-strategie mit einbezogen werden: Notebooks, Smartphones, PDAs, aber auch MP3-Player, iPods und USB-Sticks. Der Einsatz von Verschlüsselungstechnologien zur Datenübertragung und ein Identitäts- und Zugriffsmanagement stehen an vorderster Stelle. Zwar sind auf dem Markt eine ganze Reihe von Lösungen erhältlich, mit denen sich der Zugriff von nicht registrierten mobilen Geräten auf Unternehmensressourcen reglementieren lässt. Der grösste Schwachpunkt besteht aber darin, dass die IT-Abteilung oft keinen Überblick über alle Geräte hat und diese daher nicht in ihre Sicherheitsstrategie mit einbeziehen kann. Reports über Datenübertragungen und Richtlinienverletzungen helfen, die Nutzung aller Geräte zu überprüfen und zu verwalten. Um Nutzer und Prozesse zu identifizieren, greifen die meisten UCC-Systeme auf zentrale Directory-Server zu. Bei einer WAN/LAN-Infrastruktur ist eine gesicherte End-to-End-Verschlüsselung erforderlich. Werden Remote-Zugriffe für Mitarbeiter, Kunden und Partner geöffnet, sind sensitive Daten durch Hackerangriffe, Malware oder Datenlecks bedroht. Die Hersteller bieten eine breite Palette an Lösungen an, mit denen sich Unternehmen davor schützen können, zum Beispiel SSL-VPN, NAC, WLAN-Security, Security-Gateways, Endpoint Security etc. Sie werden als zusätzliche Absicherung im Rahmen eines mehrstufigen Sicherheitskonzepts eingesetzt.

Mindestens ebenso wichtig wie die Technik ist es aber, die Mitarbeiter zu sensibilisieren und auf Sicherheitsrichtlinien in der UCC-Infrastruktur hin zu schulen. Dazu zählen Passwort-Policy, Verschlüsselung von vertraulichen Daten auf mobilen Geräten, keine Installation unerlaubter Software oder Chat-Rooms, kein Surfen auf problematischen Websites und keine Messenger-Dienste. Letztere stellen eine besondere Herausforderung dar. Da sie meist port-agil arbeiten, unterlaufen sie oft unbemerkt die Sicherheitsbarrieren und öffnen Schadcode eine Tür ins Unternehmensnetz. Gleichzeitig entsteht durch die Messenger ein unkontrollierter Kommunikationskanal, mit dem sich Unternehmensdaten unbemerkt nach aussen schleusen lassen.

Die Sicherheitsanforderungen für eine UCC-Umgebung sind komplex, von Unternehmen zu Unternehmen verschieden und erfordern individuelle Strategien. Werden die verfügbaren Technologien mit den organisatorischen Bedingungen etabliert, lassen sich die Risiken bei der Einführung einer UCC-Lösung jedoch auf ein Minimum reduzieren.