Der Champagner stand schon kalt. Zwei Jahre hatte das Unternehmen unter strengster Geheimhaltung an seinem neuen Produkt getüftelt und eine ausgefeilte Marketing-Kampagne entworfen. Mit der Neuentwicklung, so war die Geschäftsleitung überzeugt, sollte endlich ein eindrucksvoller Coup gelingen. Um so größer war die Katerstimmung, als ein Konkurrent einen Monat später ein vergleichbares, günstigeres Produkt auf den Markt brachte. Eine nachträgliche Sicherheitsanalyse ergab, dass der Wettbewerber das Unternehmen über ein längeren Zeitraum durch das Schlupfloch TK-Anlage ausspioniert hatte. Millioneninvestitionen waren in den Sand gesetzt.
Was sich auf den ersten Blick wie ein billiger Wirtschaftskrimi liest, ist Realität im deutschen Mittelstand. So berichtet etwa Jens Christiansen, Bereichsleiter Netze bei der HMP Teleconsult AG, die unter anderem die Sicherheitskonzepte von mittelständischen Unternehmen überprüft, dass ihnen in 90 Prozent der Überprüfungen ein Einbruch gelingt. "In der Hälfte aller Fälle erweisen sich dabei die TK-Systeme als Schlupfloch", warnt der Experte. Noch schlechter sieht es laut Christian Scheucher, Partner in der Secunet-Niederlassung in München, bei größeren Firmen aus. Das Unternehmen mit Stammsitz in Essen checkt hauptsächlich größere Installationen, in denen etwa in einem Call Center TK-Anlagen - neudeutsch PBX -, SAP-Systeme oder Datenbank-Server zu einem Verbund zusammengeschaltet sind.
Den Aussagen der beiden Berater zufolge, kristallisiert sich folgender Trend heraus: Während die Unternehmen gegenüber den Gefahren aus dem Internet sensibilisiert sind und sich mit Firewalls und anderen Mitteln schützen, werden die TK-Systeme als Einfallstore gerne übersehen. Dabei wächst durch die Koppelung von TK-Anlage mit CTI-Lösungen oder etwa Unified-Messaging-Systemen sowie LAN-Anschlüssen zur internen Administration ein neues Bedrohungspotenzial heran. "Die TK-Anlage ist nicht mehr länger ein Einzelsystem, sondern ein integraler Bestandteil der IT-Netze", erklärt Christiansen.
"Die Angreifer nutzen die TK-Anlage als Sprungbrett für den Einbruch ins Netz", warnt Secunet-Mann Scheucher. Grundsätzlich seien Sicherheitsprobleme rund um die TK-Anlage und das digitale Telefonnetz ISDN nichts Neues (vgl. Kasten), gewännen aber durch die verstärkte Integration eine neue Qualität. In der Vergangenheit missbrauchten die Hacker die Anlagen "lediglich" als Gateways zum Gebührenbetrug, um über sie billig zu telefonieren. Oder es wurde versucht, über die Komfortmerkmale Konferenzräume abzuhören. "Mittlerweile ist die primäre Zielsetzung der Angreifer, das gesamte System zu korrumpieren - letztlich also Industriespionage", beobachtet Christiansen. Dabei wird den ungebetenen Gästen das Spiel häufig leicht gemacht, weil die technische Integration oft weiter fortgeschritten ist als die organisatorische.
Die Kombination unterschiedlichster Systeme zu einem Verbund birgt laut Scheucher paradoxerweise gerade aufgrund der herstellerspezifischen Erweiterungen in Sachen Security große Risiken: "Zwar besitzen die einzelnen Komponenten per se Sicherheitsfunktionen, es ist aber alles andere als einfach, im Verbund ein Security-Konzept zu realisieren."
Erschwerend tritt hinzu, dass die Konfiguration vieler TK-Anlagen einer Einladung an Datendiebe gleichkommt: Nur allzu oft werden die Default-Passwörter für die Wartungszugänge nicht verändert, oder Serviceunternehmen konfigurieren alle von ihnen betreuten TK-Anlagen mit einem Standardpasswort. Dieses Problem ist auch den TK-Herstellern bekannt. So empfiehlt etwa Kurt Schumacher, Marketing-Director Enterprise-Geschäft bei Nortel Networks, den Anwendern mit Blick auf das Passwortrisiko, sich vom Lieferanten der TK-Anlage oder dem betreuenden Dienstleister schriftlich versichern zu lassen, dass die PBX sicher konfiguriert ist.
Eine Garantie, die jedoch nur bedingt weiterhilft, wenn der Hersteller etwa nur ein Master-Passwort für alle Administrations- und Konfigurationsfunktionen implementiert hat. Deshalb hält es Christiansen für ratsam, dass auch in einer PBX - ähnlich wie bei den Netz-Betriebssystemen der Server mit Drucker-, Mail-Admin etc. - eine hierarchische Rechtearchitektur implementiert wird. In diesem Zusammenhang wirft er einem Teil der Anbieter vor, noch nicht einmal die notwendigsten Mechanismen vorzusehen, die man brauchen würde, um detaillierte Security-Maßnahmen treffen zu können.
Falsche Konfiguration erleichtert AngriffeDiese Kritik kann man beim größten deutschen Hersteller von TK-Anlagen, der Siemens AG, nicht nachvollziehen. Für die Münchner ist das Sicherheitsrisiko kein Problem der TK-Anlagen an sich. Sie erkennen die Ursachen vielmehr in einer falschen Konfiguration der Anlagen. Deshalb rät Siemens, wie andere Hersteller auch, beim Kauf einer PBX gleich die Consulting-Leistungen der Hersteller mit zu ordern oder Spezialisten von dritter Seite hinzuzuziehen. Dieser Rat deckt sich mit den Empfehlungen von Scheucher und Christiansen. HMP-Manager Christiansen unterstützt diese Empfehlung zwar, mag aber den Herstellern keine Generalabsolution erteilen: Gerade ältere Anlagen würden im Verbund mit CTI oder Unified Messaging Schwachstellen offenbaren, die bei den Multiservice-Modellen der jüngeren Generationen teilweise behoben wurden. In das gleiche Horn stößt Scheucher von Secunet: "Die proprietäre TK-Technik erschwert die Etablierung von durchgängigen Sicherheitskonzepten, auch wenn sie gegenüber gewöhnlichen Hackern einen gewissen Schutz offeriert. Die passende Administrationssoftware ist nämlich nicht an jeder Ecke im Internet zu finden und entsprechendes Spezialwissen nicht so weit verbreitet". Professionelle Datenspione würden dennoch entsprechende Quellen kennen.
Für Scheucher ist aber letztlich die TK-Anlage als Angriffspunkt nur ein Aspekt der Bedrohung. Ebenso wichtig sei, was über die Anlage abgewickelt werde. "Und hier finden wir bei Sicherheitsüberprüfungen in Relation zu allen TK-Geräten ein bis 1,5 Prozent Datenendgeräte im internen Netz - also Modems und ISDN-Karten, die über die TK-Anlage als Sprungbrett direkt von außen angesprochen werden können", moniert der Sicherheitsspezialist aus seiner Secunet-Praxis. Wer nun glaubt, dass es sich hierbei nur um vergessene Altlasten aus der Vor-Internet-Zeit handelt, befindet sich auf dem Holzweg. Vielmehr werden die Geräte in den Rechenzentren als Wartungszugang für Server, Speichersysteme etc. betrieben "und sind selbst bei Neuanschaffungen noch zu finden", so Scheucher. Er rät den Anwendern, auf die Hersteller von RZ-Equipment, die nach wie vor am Wartungszugang via Dial-up festhalten, Druck auszuüben. Unter Sicherheitsaspekten sei eine Verbindung über VPNs eindeutig zu bevorzugen.
VPNs für die WartungBis sich der Wartungsansatz via VPN auf breiter Front durchsetzt - der Secunet-Experte rechnet hier mit rund fünf Jahren - empfiehlt er, die Wartungsgeräte nicht mit einer einfachen Durchwahlnummer an die TK-Anlage anzuschließen. Wie die Remote-Access-Zugänge für die Heimarbeiter sollten diese auch in einen zentralen Pool aufgenommen werden, in dem die Accounts etwa über einen Authentifizierungs-Server geprüft und Einmal-Passwörter mit Hilfe von Hardware-Tokens generiert werden.
Ferner legt der Berater den Unternehmensleitungen nahe, eine Security Policy aufzustellen, in der auch die Benutzung entsprechender Wartungszugänge restriktiv geregelt ist. Ebenso empfiehlt sich laut HMP-Bereichsleiter Christiansen neben Intrusion-Detection-Systemen wieder die Verwendung der altbekannten Monitoring-Systeme der TK-Anlage. Halfen sie vor der Liberalisierung des TK-Marktes und dem damit einhergehenden Verfall der Gesprächsgebühren hauptsächlich bei der Kostenkontrolle, so könnten sie heute dazu dienen, verdächtige Aktivitäten und Einwahlversuche zu erkennen.
Ungeklärte SicherheitsaspekteDas Risikopotenzial ist jedoch nicht nur auf die Verknüpfung von klassischer TK-Anlage und IT-Welt begrenzt. Bei der Einführung von VoIP-Systemen - als PBX-Nachfolger - steuern die Anwender nach Ansicht von Christiansen "in Sachen Sicherheit auf ein Tollhaus zu". Viele technische Vorgaben seien unter Sicherheitsaspekten noch nicht geklärt. Hier sieht er vor allem die Industrie gefordert, standardisierte Sicherheitsmechanismen zu entwickeln.
Diese Sorge teilt man im Lager der IP-Telefonie-Verfechter nicht. Zwar räumt etwa Schumacher von Nortel Networks ein, dass man für VoIP als eine Datennetztechnik auch Hacking-Tools im Internet herunterladen könne - doch die Sicherheit sei letztlich eine Frage der richtigen Netzkonzeption. Erste Schritte in Richtung sichere IP-Telefonie sind für den Nortel-Manager dabei die Segmentierung der Netze mit Switches sowie eine Authentifizierung der IP-Telefone über MAC-Adressen.
Noch deutlicher wird Carsten Queisser, Business Development Manager bei Cisco: "In der öffentlichen TK-Welt bestehen mit VoIP die gleichen Risiken wie durch eine klassische PBX, ansonsten ist die IP-Telefonie sicherer." Lediglich auf einige IP-Anlagen der ersten Generation würden die Vorwürfe Christiansens zutreffen. Queisser begründet seine Argumention damit, dass ein potenzieller Lauscher bei der IP-Telefonie, wie sie etwa Cisco implementiert, einen viel höheren Aufwand betreiben müsse als in der klassischen TK-Welt, wo bereits der Kupferdraht zum Abhören reiche. Bei der IP-Telefonie genüge es dagegen nicht, sich einfach mit einem Sniffer an das Netz zu hängen und den Verkehr zu überwachen. Vielmehr benötige der Angreifer die IP-Adresse des Empfängertelefons - um im Datenstrom überhaupt ein Telefonat zu erkennen - und müsse zudem noch im richtigen Netzsegment sitzen, da der Verkehr durch ein MAC-Adressfiltering in den Switches nicht im gesamten Netz verfügbar sei. Ferner erfordere ein Angriff noch einen leistungsfähigen Rechner, um die verschlüsselten VoIP-Gespräche zu entschlüsseln. Selbst wenn alle diese Voraussetzungen erfüllt seien, so der Cisco-Manager weiter, scheitere ein Angreifer noch an einem effizienten Intrusion Detection System, das bei einem Verdacht auf Manipulation die entsprechende Session sofort beende.
Angesichts dieser Mechanismen ist für Queisser ein entsprechendes Netzdesign vorausgesetzt, die IP-Telefonie intern sicherer als eine klassische TK-Anlage. Nach außen am Gateway beständen aber die gleichen Probleme wie in der klassischen TK-Welt, wobei allerdings die Problematik der Wartungszugänge entfalle, da diese bei den VoIP-Anlagen über VPNs erfolgen.
ISDN und SicherheitSeit der Einführung der ISDN-Technologie im Jahre 1988 geriet die digitale Telefonie in Sachen Sicherheit immer wieder in die Schlagzeilen. Komfortmerkmale wie "Dreierkonferenz" oder "Freisprechen" in Kombination mit "Direktem Ansprechen" wurden zum Abhören von Räumen missbraucht. Ein Aufstellung der systemimanenten Sicherheitsrisiken rund um ISDN hat das Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Internet unter "www.bsi.bund.de/gshb/deutsch/b/84.htm" veröffentlicht.