Im Netzwerk Insider vor 20 Jahren: Sicherheit im VoIP-Bereich

Die Situation vor 20 Jahren

Vor 20 Jahren war VoIP ganz klar auf dem Vormarsch. Und wo sich eine Technologie in der IT durchsetzt, wird und wurde auch über die Sicherheit dieser Technologie diskutiert. Im Bereich des VoIP war dies eine besonders interessante Diskussion, denn man stellte Anforderungen, die im „klassischen“ Telefonnetz nur schwer umzusetzen waren. Trotzdem war (und ist) diese Diskussion sinnvoll, da Telefonie in den meisten Unternehmen wichtig bis kritisch ist. Dabei kamen vor 20 Jahren auch weitere Punkte jenseits einer sicheren Übertragung auf. Diese konzentrierten sich vor allem auf zwei Aspekte:

• Die Abhörbarkeit, die in den damals betrachteten Szenarien vor allem mit physischen Zugriffsmöglichkeiten auf Leitungen, Switches und Server zusammenhing.
• Die Verfügbarkeit der Telefonie, die auch vergleichsweise einfach von außen beeinträchtigt werden konnte.

Hat sich hier in 20 Jahren viel verändert?

Die Situation heute

Gerade im Bereich der Kommunikation hat sich enorm viel getan. Insbesondere müssen wir zwischen zwei Szenarien unterscheiden:

• Telefonie mit On-Premises-(OnPrem-)Lösungen
• Telefonie über Cloud-Dienste

Bei ersterem hat sich, neben besseren Verschlüsselungen und erweiterten Funktionen, die ebenfalls abgesichert werden müssen, wenig verändert. Es bleibt dabei: Hat ein Angreifer physischen Zugriff, hilft nur die Verschlüsselung auf allen Ebenen. Glücklicherweise ist diese Verschlüsselung mittlerweile Standard oder kann zumindest aktiviert werden.

Bei Telefonie aus der Cloud ist die Situation natürlich eine andere. Die zentralen Systeme befinden sich in Rechenzentren (RZs) von Microsoft, Cisco etc. Hier ist ein guter physischer Schutz sehr wahrscheinlich, und die Gefahr für die Vertraulichkeit geht von Innentätern und Sicherheitsbehörden aus. Deshalb muss man ein entsprechendes Vertrauen in seinen Dienstleister haben. Ob dieses Vertrauen angesichts aktueller Entwicklungen begründet ist, muss jeder für sich entscheiden.

Eins bleibt jedoch, zumindest für die Mitarbeiter an einem Standort, in beiden Fällen gleich: Eine Überlastung der Außenanbindung führt mit an Sicherheit grenzender Wahrscheinlichkeit zu einem Ausfall der externen Kommunikation. Bei einem Dienst in der Cloud kann dies sogar die interne Kommunikation betreffen.

Fazit

Die Sicherheit bei VoIP hat sich nicht so stark verändert wie bei anderen IT-Diensten und -Technologien. Ein Bereich, der damals in dieser Form nicht vorausgesehen wurde, war die Nutzung der Cloud für VoIP. Dabei spielt insbesondere der Zugriff von Sicherheitsbehörden auf die relevanten Daten und auf die Verschlüsselungs-Keys eine Rolle.