fortgeschritten ist als die organisatorische.
Die Kombination unterschiedlichster Systeme zu einem Verbund birgt laut Scheucher paradoxerweise gerade aufgrund der herstellerspezifischen Erweiterungen in Sachen Security große Risiken: „Zwar besitzen die einzelnen Komponenten per se Sicherheitsfunktionen, es ist aber alles andere als einfach, im Verbund ein Security-Konzept zu realisieren.“
Erschwerend tritt hinzu, dass die Konfiguration vieler TK-Anlagen einer Einladung an Datendiebe gleichkommt: Nur allzu oft werden die Default-Passwörter für die Wartungszugänge nicht verändert, oder Serviceunternehmen konfigurieren alle von ihnen betreuten TK-Anlagen mit einem Standardpasswort. Dieses Problem ist auch den TK-Herstellern bekannt. So empfiehlt etwa Kurt Schumacher, Marketing-Director Enterprise-Geschäft bei Nortel Networks, den Anwendern mit Blick auf das Passwortrisiko, sich vom Lieferanten der TK-Anlage oder dem betreuenden Dienstleister schriftlich versichern zu lassen, dass die PBX sicher konfiguriert ist.
Eine Garantie, die jedoch nur bedingt weiterhilft, wenn der Hersteller etwa nur ein Master-Passwort für alle Administrations- und Konfigurationsfunktionen implementiert hat. Deshalb hält es Christiansen für ratsam, dass auch in einer PBX - ähnlich wie bei den Netz-Betriebssystemen der Server mit Drucker-, Mail-Admin etc. - eine hierarchische Rechtearchitektur implementiert wird. In diesem Zusammenhang wirft er einem Teil der Anbieter vor, noch nicht einmal die notwendigsten Mechanismen vorzusehen, die man brauchen würde, um detaillierte Security-Maßnahmen treffen zu können.
Falsche Konfiguration erleichtert Angriffe
Diese Kritik kann man beim größten deutschen Hersteller von TK-Anlagen, der Siemens AG, nicht nachvollziehen. Für die Münchner ist das Sicherheitsrisiko kein Problem der TK-Anlagen an sich. Sie erkennen die Ursachen vielmehr in einer falschen Konfiguration der Anlagen. Deshalb rät Siemens, wie andere Hersteller auch, beim Kauf einer PBX gleich die Consulting-Leistungen der Hersteller mit zu ordern oder Spezialisten von dritter Seite hinzuzuziehen.