CW: Allgemein gefragt, was empfehlen Sie einem Unternehmen, um sicher via VoIP zu kommunizieren?
Lenssen: Schauen Sie sich die VoIP-Lösung des Herstellers in puncto Sicherheitsfunktion genau an. Wie sind die zentralen Komponenten wie etwa das Call-Processing vor Angriffen geschützt, können Gespräche individuell verschlüsselt werden, bietet das Netzwerk die Möglichkeit, VoIP unter Beachtung von Quality-of-Service Vorgaben (SLAs) sicher zu übertragen, ist die verwendete Firewall und IDS/IPS-Systeme VoIP-geeignet? Viele Anbieter bieten zudem mit einer Reihe von Whitepapern und Implementation Guides eine umfangreiche Unterstützung bei der Planung und der Umsetzung.
CW: Ihre Ratschläge klingen interessant, aber im Zusammenhang mit VoIP kommt die Sprache immer wieder auf die Fixed-Mobile-Convergence, die Dect- und GSM-Telefonate auf dem Campus durch WLANs ablösen soll. Aber gerade hierzulande gelten WLANs als unsicher.
Lenssen: WLANs bieten heute mit WPA2 sehr gute Sicherheitsfunktionen, die sich nahtlos in die der drahtgebundenen Netzwerke integrieren und auch von den Endgeräten unterstützt werden. Einer Nutzung von WLANs als Fixed-Mobile-Convergence-Plattform steht damit nichts im Wege.
CW: Wie sollte dann die perfekte WLAN-Sicherheitsstrategie aussehen?
Lenssen: Zu den unentbehrlichen Abwehrmaßnahmen gegen unbefugte Zugriffe auf unternehmenskritische Informationen gehören Zugangskontrolle und Verschlüsselung. Nur eine strenge Authentifizierung kann nicht autorisierte Clients daran hindern, auf die Access Points des Funknetzes zuzugreifen. Dagegen dient die Verschlüsselung der Sicherheit von Datenpaketen auf ihrem Weg zwischen Endgerät und Basisstation. Nur wer über den passenden digitalen Schlüssel verfügt, kann die übertragenen Informationen dechiffrieren. Weil für die Veränderung des Datenstroms wiederum die Kenntnis des Schlüssels Voraussetzung ist, werden so unterwegs auch Manipulationen verhindert. Ein entsprechendes Sicherheitskonzept haben wir beispielsweise mit unserer WLAN Security Suite realisiert.
CW: Uns bleiben dennoch Zweifel. Schließlich hat die Industrie uns auch WEP als sicher verkauft - mittlerweile knackt jedes Skript-Kiddy das Verfahren.
Lenssen: Dass bei WEP im Protokolldesign handwerkliche Fehler gemacht wurden, ist unumstritten. Diese wurden bei der Weiterentwicklung zu WPA und WPA2/802.11i durch Einbindung von Sicherheitsspezialisten von vornherein vermieden. Das Schutzniveau hängt jetzt von der Stärke der verwendeten Authentisierungs- und Verschlüsselungsmechanismen ab. WPA2 nutzt AES mit Schlüssellängen von bis zu 256 Bit und ist damit sehr gut für die Zukunft gerüstet.
CW: Also sind WLANs mittlerweile genauso sicher wie Corporate LANs?
Lenssen: Das Problem von WLAN-Installationen liegt häufig in der schlechten Administration oder schlicht dem Unwissen über die verfügbaren Möglichkeiten. Gute aufgesetzte WLANs unterscheiden eigene Mitarbeiter von Partnern oder Kunden und bieten maßgeschneiderte Schutzprofile pro Nutzer - offenen Zugang zum Internet für Gäste, eingeschränkten Zugang zu dedizierten Ressourcen im Netzwerk für Partner oder Consultants und uneingeschränkten, jedoch stark verschlüsselten Zugang zum Firmennetzwerk für die eigenen Mitarbeiter. Darüber hinaus sind solche sicheren WLANs in der Lage vor unberechtigt in Betrieb genommenen Access Points - die ein Einfallstor für Angreifer bilden können - zu schützen. Viele LANs sind heute noch schlechter geschützt.
CW: Damit spielen Sie auf die häufig unzulänglich geschützten LAN-Ports als Sicherheitsrisiko an?
Lenssen: Das hängt davon ab, wo sich diese ungeschützten LAN-Ports physisch befinden: in öffentlich zugänglichen Bereichen oder eher in Räumlichkeiten, die nur für bestimmte Mitarbeiter erreichbar sind.