Cisco sorgt sich um die Sicherheit bei Voice over IP
Die ersten Anlagen sind installiert, doch den Kunden sind die Gefahren, die mit der neuen Technik einhergehen, noch nicht bewusst.
“Der neueste Angriff auf die Kommunikationsnetze im Unternehmen heißt nicht Netsky, sondern Voice Spam”, sagt Klaus Lenßen, Business Development Manager Security bei Cisco in Deutschland. Er hofft durch frühzeitige Sensibilisierung Voice over IP (VoIP) wirksam zu schützen. Diese wird von seinem Unternehmen seit vielen Jahren vorangetrieben und hat bislang viele bunte Features, aber noch wenig maßgeschneiderte Sicherheitstechnik erhalten. Das soll sich ändern, vor allem bei der neu von Cisco erkannten Gefahr: Voice Spam. Schließlich sind jetzt nach Unternehmensangaben allein 4 Millionen Cisco-Endgeräte eingebaut. Das ist wohl die kritische Masse für den Hersteller – er entblättert nun die zugehörige Security-Struktur.
Unter Voice Spam versteht man das massenhafte Beschicken von IP-basierten Telefonanschlüssen mit Werbebotschaften, sinnlosen Nachrichten, unerwünschten Inhalten und ähnlichem. Genau wie im Internet führt dieses neben dem Ärgernis für den Anschlussinhaber und den Admin zu Flaschenhälsen, die die Unternehmenstätigkeit – je nach Schwere des Spam-Angriffs – auch lahm legen können.
Das Konzept von Cisco dagegen heißt ‘Self Defending Network’ und sieht so aus, dass auf vier Ebenen adaptierbare technische Wächter auf Qualität und Sicherheit achten. “Wir dürfen niemals den Faktor Mensch außer Acht lassen – wer das tut, kann die beste Sicherheitstechnik haben und verliert doch”, mahnt Lenßen. Er erzählt kopfschüttelnd: “Es gibt immer noch Unternehmen, in denen alle Anwender Administrationsrechte haben – diese Katastrophe lässt sich zumindest für unsere Produkte bremsen.” Dementsprechend sei die Security-Struktur bei Cisco nicht einmal in Teilen oder “unter Gewaltandrohung an das Netzwerk” zu deaktivieren.
Bei Cisco-VoIP würden dabei auf Infrastrukturebene neben Firewall-Technik, Layer2-Schutz, Secure VPN und Wireless Security auch Gateway-basierende Schutzmechanismen eingesetzt. Dasselbe gilt für den Anwendungsbereich, wo ein so genanntes ‘hardened’ Windows-Betriebssystem zusammen mit Zertifikaten und Software für die Zugangskontrolle eine streng nach SSL-verschlüsselte Qualität schaffen soll. “Die Anwender vergessen gern, dass ein VoIP-Telefon eben, wie der Name schon sagt, über das Internet Protocol arbeitet. Dies gilt es zu schützen, und zwar bevor die Technik eingebaut wird.”
Auf der Anwendungsebene stellt sich Lenßen Administration Directories, Secure Voice Messaging, besonders per https geschützte Bereiche und abgesicherte Plattformen vor. “Die Endpoints – also Endgeräte und Clients – sollen mit digitalen Zertifikaten, Authentifizierung und Protected Signaling geschützt werden.” Außerdem schwört er auf die Struktur, neben dem Internet immer auch ein firmeninternes Intranet aufzubauen. Hier sollen die IT-Entscheider in verschiedenen, portalähnlichen Plattformen differierende Zugangsrechte vergeben, Dokumentenänderung und in Grundbausteinen sogar IT-basierte Teamarbeit erlauben.
Der Manager erklärt den zugrunde liegenden Gedanken: “Hinter all dem steckt die Idee von Secure IP; nach einem erfolgten und registrierten Kommunikationswunsch und der Verifizierung des Kommunikationspartners wird der Ort der Zugangsgeräte festgestellt; dann werden auf technischer Ebene, also automatisiert, die Session-Parameter festgelegt und die Verbindung aufgebaut; das wichtigste ist jedoch, nach Ende des Gesprächs oder Kontaktes diesen Verbindungsweg sicher und kontrollierbar zu schließen.”
Um diese Idee mit Leben zu füllen, so Lenßen, sei Cisco eine Reihe von Partnerschaften eingegangen, ferner würden die zugekauften Techniken sehr gelegen kommen. Sowohl für die Sicherheit auf der Systemebene, als auch für innovative Security-Technik und für integrierte Sicherheit auf jeder Systemebene seien die Kontroll- und Reinigungsfunktionen der kleineren Ex-Partner zum Tragen gekommen. Das ist die Event-Korrektursoftware von Perfigo, die SSL-VPN-Lösung von Twingo Systems, die Threat Response von Psionic, der intelligente Security Agent von Okena oder die Schnüffelsoftware von Riverhead, die Anomalitäten aufstöbert und sofort Laut gibt. Aber auch in alten Töpfen kochen die Kalifornier ihre Sicherheits-Technik. “Die Quarantäne ausgefilterter Daten, ihre Reinigung oder Löschung ist dabei zwar eine alte Idee, um mit Security-Attacken umzugehen – aber sie funktioniert in weiterentwickelter und modernisierter Form noch immer”, so Lenßen.
Das größte Manko ist für ihn die Begeisterung der Kunden für die neue Telefonanlage. Sie vernachlässigen, so der Security-Fachmann, die Wichtigkeit einer durchdachten Struktur. Bisher hätten viele Netzwerktechniker den Kontrollpunkt für die Ausfilterung viel zu weit vom Eintritt ins Unternehmensnetzwerk entfernt aufgebaut. Er geißelt diese Sorglosigkeit. Dabei seien die Gefahren uralte Bekannte: Ablauschen, Stimmenverstellen, Gebührenbetrug und Denial of Service durch Dauerbelegung. Hier hilft – ihm zufolge – nur ein automatisiertes, sich selbst heilendes Netzwerk, das proaktiv mit Störungen umgeht.
Klaus Lenßen hat aber auch eine einfache Grundregel für den Netzbau aufgestellt: “Die logische Anordnung im Netz muss auch bei VoIP der Sicherheit angepasst werden, nicht der Bequemlichkeit: Das heißt, dass der Checkpoint für die Kontrolle möglichst nahe am eventuell infizierten Client sein sollte, am besten jedoch ist jedes Endgerät ohne Unterschied gleich hinter der Firewall angeordnet. Nur so kann auch bei VoIP ein Netzwerk entstehen, das das Vertrauen der Mitarbeiter in die neue Technik auch verdient.”