VoIP-Telefonie Security FAQ

Wie sicher ist telefonieren über die Cloud?

27.03.2020
Von 
Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Cloud-Telefonie ist gerade in der Coronavirus-Krise für viele Unternehmen unverzichtbar. Wir beantworten die wichtigsten Fragen zu Security-Aspekten der cloud-basierten VoIP-Telefonie.
Immer mehr Anwender setzen auf die IP-Telefonie aus der Cloud (im Bild das Switchboard einer IP-TK-Anlage im Rechenzentrum).
Immer mehr Anwender setzen auf die IP-Telefonie aus der Cloud (im Bild das Switchboard einer IP-TK-Anlage im Rechenzentrum).
Foto: Maximumm - shutterstock.com

Die Cloud-Telefonie, also das Telefonieren per VoIP über eine virtuelle Telefonanlage wird immer beliebter. Doch viele Unternehmen sind nach wie vor skeptisch und fragen sich, ob die Cloud-Telefonie überhaupt so zuverlässig wie das "gute alte" ISDN sein kann? Und ist das Telefonieren via Internet nicht gar ein großes Sicherheitsrisiko? Immer wieder sorgen Schwachstellen bei der Hardware etc. für Schlagzeilen und verunsichern die Anwender. Wir konfrontierten Jan-Peter Koopmann, CTO beim Cloud-Telefonie-Anbieter Nfon, mit den häufigsten Fragen rund um die Sicherheit der Cloud-Telefonie.

Ist Cloud-Telefonie sicherer als ISDN?

Kann eine Cloud-basierte Telefonie, die über Internet läuft, so zuverlässig sein wie das klassische ISDN?

Koopmann: Die Cloud-Telefonie kann sogar sicherer sein, wenn an Aspekte wie eine redundante Netzanbindung gedacht wird. Das gab es zwar zu ISDN-Zeiten auch, doch in der Regel erhielten dies nur große Unternehmen - im Vergleich dazu ist es heute sehr viel einfacher, ein redundantes Netzwerk zu bekommen. Zudem ist die Frage, ob die Telefonanlage im Keller wirklich sicherer ist als die Cloud-Telefonie eines Anbieters mit redundanten Angeboten. Sicher gibt es Beispiele, wo in 30 Jahren ISDN nie etwas kaputt ging. Auf der anderen Seite genügte es, wenn ein Auto in einen Verteilerkasten fuhr und es ging nichts mehr. Aus heutiger Sicht, mit heutiger Technik kann die Cloud-Telefonie aber als sicherer eingestuft werden.

Wo sind bei der Cloud-Telefonie die Schwachstellen in Sachen Zuverlässigkeit?

Etliche Anwendern trauern noch dem "guten alten" ISDN hinterher. Es galt als sicher und zuverlässig. Werden einige Punkte beachtet, kann die Cloud-Telefonie sogar sicherer sein.
Etliche Anwendern trauern noch dem "guten alten" ISDN hinterher. Es galt als sicher und zuverlässig. Werden einige Punkte beachtet, kann die Cloud-Telefonie sogar sicherer sein.
Foto: Ralf Geithe - shutterstock.com

Koopmann: Im Prinzip gibt es drei Stellen. Das ist zum einen der Anbieter selbst, hat er Schwachstellen, dann kann sein Angebot durchaus nicht mehr verfügbar sein. Der zweite Aspekt sind die Transportwege, etwa wenn eine Internet-Störung auftritt. Aber was viele Anwender gerne vergessen, das ist der dritte Punkt: Die lokale, interne Netzinfrastruktur. Ein Unternehmen kann den besten redundanten Cloud-Anbieter wählen und sich für den teuersten, zuverlässigsten Internet-Dienstleister entscheiden. Wenn dann jedoch die Firewall oder ein Gateway ausfällt und kein Ersatz erhältlich ist, dann funktioniert auch die Cloud-Telefonie längere Zeit nicht. Obwohl immer mehr unternehmenskritische Dienste heutzutage auf funktionierende Netze angewiesen sind, wird gerade auf die eigene, interne Infrastruktur zu wenig geachtet. Die externen Transportwege können heute relativ günstig über mehrere Anbieter oder über LTE/5G abgesichert werden - aber was, wenn der Zulieferer keinen Hardwareersatz liefern kann?

Auf welche dieser Schwachstellen sollte ein Anwender besonders achten?

Koopmann: Ein Anwenderunternehmen sollte auf seine interne Infrastruktur achten, denn dort liegt das größte Fehlerpotenzial. Gleichzeitig hat dies der Anwender wirklich selbst im Griff. Hier kann sehr viel falsch gemacht werden und die Fehlerbeseitigung ist langwierig. Gibt es dagegen bei den Transportwegen oder dem Cloud-Telefonieanbieter Probleme, dann kann ein Unternehmen relativ schnell den Dienstleister wechseln.

Welcher Cloud-VoIP-Anbieter ist der richtige?

Die Anbieter versprechen in Sachen Sicherheit und Zuverlässigkeit den Himmel auf Erden, doch wie kann ich wirklich prüfen, dass das Angebot nicht in einer Hinterhofgarage gehostet wird?

Anwender sollten auf die Reputation des Cloud-Telefonieanbieters achten, wenn sie sich nicht vor Ort von der Seriosität des Anbieters überzeugen können.
Anwender sollten auf die Reputation des Cloud-Telefonieanbieters achten, wenn sie sich nicht vor Ort von der Seriosität des Anbieters überzeugen können.
Foto: Yanawut Suntornkij - shutterstock.com

Koopmann: Das hängt davon ab, wieviel Zeit ein Anwender investieren will und kann. Zuerst kann ein Anwender natürlich auf einer Karte nachsehen, in welcher Gegend der Anbieter sitzt und daraus seine Schlüsse ziehen. Ein großes Unternehmen kann sich zudem eine Beschreibung des Rechenzentrums geben lassen und wird dieses häufig auch besichtigen dürfen, um sich vor Ort überzeugen zu können. Zudem handelt es sich auch bei der Cloud-Telefonie um eine Auftragsdatenverarbeitung, so dass die hierfür geltenden Rechte und Gesetze greifen. Das alles hilft jetzt den größeren Unternehmen, nützt aber den kleinen Mittelständlern - etwa Steuerkanzleien - wenig. Diese können sich eigentlich nur auf die Zertifikate verlassen, mit denen der Anbieter wirbt. Sollten sich diese als Fake erweisen, handelt es sich um Betrug. Und solch ein Fall dürfte sich sehr schnell in der Öffentlichkeit rumsprechen. Ein weiterer Ansatz ist, die Reputation des Cloud-Anbieters auf Portalen oder anderen Informationsangeboten wie zum Beispiel Fachmedien zu überprüfen. Fällt der ins Auge gefasste Anbieter durch verlorene Daten oder ständige Ausfälle auf? Im Internet-Zeitalter ist das ja - egal ob die Unternehmen das möchten oder nicht - sehr transparent.

Und wie prüfe ich, dass die zugesicherte Verfügbarkeit/Ausfallsicherheit kein Märchen ist?

Koopmann: Hier sollten Sie sich die Gegenfrage stellen: Wie haben Sie denn in der Vergangenheit die Verfügbarkeit ihres ISDN- oder DSL-Anschlusses überprüft? Sicher, technisch ist die Überprüfung der Verfügbarkeit der Cloud-Telefonie mit Hilfe von Messinstrumenten möglich. Allerdings sind die wenigsten Anwender bereit, die entsprechenden Kosten zu tragen. Letztlich sind Sie hier auf die Transparenz des Cloud-Anbieters angewiesen. Welche Informationen stellt er außer dem Versprechen einer 99,x-Verfügbarkeit bereit? Zudem sollten Sie stutzig werden, wenn Sie bei Ihrem Anbieter nie etwas über Wartungsfenster etc. lesen. Wir sprechen hier von technischen Lösungen und da kann es keine hundertprozentige Verfügbarkeit geben. Auf der anderen Seite steht die gefühlte Verfügbarkeit. Beeinträchtigt es ihr Business wirklich, wenn der Cloud-Telefonieanbieter regelmäßig zwischen 3:00 und 3:30 Uhr nachts sein Wartungsfenster hat. Dagegen sollte darauf geachtet werden, ob Störungen im Laufe eines Arbeitstages auftreten und wie lange der Anbieter zur Entstörung braucht, beziehungsweise welche Entstörungsfristen er zusichert.

Stellt Cloud-Telefonie ein unkalkulierbares Risiko dar?

Telefonie über Internet, TK-Anlage in der Cloud. Hole ich mir nicht ein unkalkulierbares Risiko ins Haus?

Koopmann: Das ist ein valider Gedanke, doch wie sicher ist ein Unternehmen, wenn es den Schritt in die Cloud nicht geht. Hier werden häufig Äpfel mit Birnen verglichen. Unabhängig von der Telefonie stellt sich diese Frage eigentlich immer: Wie sicher ist es, wenn ein Unternehmen etwas selbst betreibt - etwa einen E-Mail-Server? Letztlich muss sich ein Unternehmen fragen, ob das hundertprozentig sicher betrieben werden kann und die entsprechenden Security-Ressourcen vorhanden sind? Große Unternehmen mit einer entsprechenden IT-Abteilung werden diese Frage wahrscheinlich positiv beantworten können. Doch wie viele Unternehmen sind dazu wirklich in der Lage, wissen, wo die die aktuellen Security-Löcher sind, und installieren fortlaufend die aktuellen Sicherheits-Updates? Letztlich sollte sich jedes Unternehmen - sieht man einmal von Banken, Versicherungen etc. ab - die Frage stellen, wieviel Zeit und Geld es in das Thema Sicherheit investieren kann. Dagegen kann man davon ausgehen, dass die Cloud-Anbieter, egal ob Telefonie- oder andere Services, signifikant mehr Arbeit für das Thema Security aufwenden, denn für sie hängt davon ihre wirtschaftliche Existenz ab.

Wo liegen die Risiken (Viren/Hacker, Man in the Middle, manipulierte Hardware) konkret?

Die Sicherheit der Cloud-Telefonie hängt auch von der Security des eigenen Netzes ab.
Die Sicherheit der Cloud-Telefonie hängt auch von der Security des eigenen Netzes ab.
Foto: Andrea Danti - shutterstock.com

Koopmann: Das Thema manipulierte Hardware spielt derzeit in der Praxis keine Rolle, wenn man den ganzen Geheimdienstbereich beiseite lässt, denn der ist sehr schwer zu beurteilen. Dagegen haben die Anwender mit der ganzen Palette der klassischen Angriffe, wie Trojaner etc. zu kämpfen. Häufig droht die Gefahr auch von innen durch manipulierte E-Mails. Ist ein Angreifer einmal im Netz, dann ist auch die Telefonie bedroht. Und das kann teuer werden. Es gibt etliche Beispiele, wo sich ein Trojaner dann im lokalen Netz ein IP-Telefon gesucht hat. Von dort wurden dann fleißig Rufnummern in Afrika angerufen. Die Schadenshöhe betrug in einigen Fällen mehrere 10.000 Euro. In der Regel erfolgen diese Angriffe aus dem Netz des Anwenders. Solange der Cloud-Anbieter selbst die entsprechenden und erforderlichen Sicherheitsmaßnahmen ergreift, sind die Angriffe aus dem Netz des Anwenders die am häufigsten zu beobachtenden Szenarien. Und ein guter Cloud-Anbieter wird Maßnahmen ergreifen, um Sicherheitsprobleme bei seinen Kunden zu erkennen und Missbrauch möglichst früh verhindern.

Welche Security-Schwachstellen wirft Cloud-Telefonie auf?

Dennoch sorgten Angriffe auf die Cloud-Telefonie in der jüngsten Vergangenheit für Schlagzeilen. Was waren das für Schwachstellen?

Koopmann: Im August letzten Jahres und im Januar sorgten Vorfälle im Zusammenhang mit der IP-Telefonie für Schlagzeilen. So hatten im August Sicherheitsforscher festgestellt, dass die physischen Endgeräte, also die IP-Tischtelefone, wenn man keine Softphones verwendet, in sich viele Sicherheitslücken haben. Das waren etwas Cross-Site-Scriptings etc., man konnte also ohne große Security-Barrieren auf die Telefone zugreifen und Angriffe auslösen. Allerdings funktionierte das nur, wenn ein Angreifer auf das Telefon zugreifen konnte. War die Web-Schnittstelle des Telefons abgesichert, waren diese Angriffe nicht möglich. Deshalb sollten die Anwender immer den Passwortschutz des Telefons aktiviert lassen, denn es ist ein Trugschluss, davon auszugehen, dass die Telefone sicher seien, wenn sie im eigenen, lokalen Netz installiert sind. Ein auf Sicherheit achtender Telefonie-Anbieter sollte deshalb seine Telefone immer mit aktiviertem Passwortschutz ausliefern und sich nicht nur auf die Sicherheitsmechanismen seiner Lieferanten verlassen, sondern zusätzliche Schutzmaßnahmen installieren.

Was kann denn der Anwender selbst in Sachen Security unternehmen?

Koopmann: Kleine mittelständische Unternehmen sollten hier die Experten fragen. Das muss aber nicht unbedingt der Hersteller oder Serviceanbieter sein, sondern das kann auch der IT-Partner sein. Viele Systemhäuser haben sich auch auf das Thema Security spezialisiert. Lässt man diesen Aspekt außen vor, dann hat der in Sicherheitsfragen unbedarfte Anwender eigentlich nur die Möglichkeit, sich auf die Reputation des Unternehmens zu verlassen. Ferner sollte er dann in den Medien und anderen Informationsquellen danach suchen, wie wichtig dem Anbieter Punkte wie Datenschutz sind, und wie transparent er kommuniziert, wenn die Dinge einmal nicht so laufen wie sie sollten. Transparenz ist in diesem Zusammenhang ein wichtiger Vertrauensfaktor, der häufig unterschätzt wird.

Wann fällt Security in die Obliegenheiten des Anwenders, ab wo ist der Anbieter zuständig? Wo verläuft denn die Trennlinie?

Die Frage, ob ein Softphone mit Headset oder ein Hardwaretelefon sicherer ist, lässt sich nicht pauschal beantworten.
Die Frage, ob ein Softphone mit Headset oder ein Hardwaretelefon sicherer ist, lässt sich nicht pauschal beantworten.
Foto: chainarong06 - shutterstock.com

Koopmann: In Zeiten von Cloud-Anwendungen ist das ein schwieriges Feld. Früher gab es eine klare Trennlinie: Alles, was im Netz des Anwenders stattfindet - plastisch ausgedrückt, hinter der Firewall - fällt in die Verantwortung des Anwenders. Das stimmt auch noch im Großen und Ganzen. Allerdings stellt sich die Frage, ob ein Cloud-Anbieter dem Anwender bei typischen Fehlern, die er begeht beziehungsweise begehen kann, nicht helfen sollte. Ein Beispiel wären etwa Anwender, die explizit den Passwortschutz der IP-Telefone deaktivieren. Soll sich ein Cloud-Anbieter hier auf den Standpunkt stellen, das ist mir egal, da es im Verantwortungsbereich des Anwenders liegt oder soll er ihn darauf hinweisen oder noch besser von sich aus für maximale Sicherheit sorgen? Letztlich ist das im Cloud-Zeitalter eine fließende Grenze und keine klare Trennlinie mehr wie früher.

Cloud VoIP Security - Softphone oder Hardware?

Gibt es in Deutschland eine Art Feature Set an Security-Maßnahmen, die ein Cloud-PBX-Anbieter offerieren sollte?

Koopmann: Es gibt Dinge, die eigentlich jeder Anbieter offeriert. Dazu zählt etwa die Provisionierung von Endgeräten über verschlüsselte Verbindungen. Gute und seriöse Anbieter werden auch eine Sprachverschlüsselung im Angebot haben. Verschlüsselung, redundanter Betrieb des Rechenzentrums, ein sichere Provisionierung - das sollte bei jedem Anbieter Standard sein. Aber der Teufel steckt im Detail. Wieviel Arbeit macht sich der Anbieter wirklich? Wie oft hinterfragt er die eigene Security-Strategie? Achtet er auf mögliche Fehler des Anwenders?

Ist ein Softphone oder ein hardwarebasiertes IP-Telefon sicherer?

Koopmann: Beide Typen weisen Risiken auf, aber die Risiken sind unterschiedlich gelagert. So ist häufig die Erwartungshaltung an ein Telefon auf dem Tisch, dass es ein dummes Gerät ist. In Wahrheit handelt es sich bei den IP-Telefonen auf dem Tisch mittlerweile um kleine Linux-Rechner mit Betriebssystem. Die große Gefahr dabei ist: Man ist sich häufig nicht bewusst, dass diese Geräte ein Security-Problem darstellen. So geht das Gros der DDoS-Attacken heute nicht mehr von Windows-Geräten aus, sondern von IoT-Devices. Das kann der smarte Kühlschrank, die intelligente Glühbirne oder eben auch das IP-Telefon sein. Defacto muss sowohl beim Softphone als auch beim IP-Telefon auf die Sicherheit geachtet werden. Dabei hat der PC als Host für das Softphone sicherlich das größere Angriffsfenster. Dafür wird hier aber in der Regel mehr auf die Sicherheit geachtet und aktuelle Patches etc. eingespielt. Unter dem Strich kann man nicht einfach sagen, das eine oder das andere ist sicherer - Anwender sollten auf beide Gerätearten achten.

Wird beim Thema Security nicht übertrieben, solange Mitarbeiter am Flughafen oder im Zug lautstark über Geschäftsgeheimnisse am Telefon sprechen?

Koopmann: Das unbedarfte Telefonieren in der Öffentlichkeit ist eine traurige Erkenntnis. Ein gewiefter Hacker wird sich das Leben sicherlich signifikant einfacher durch Social Engineering machen. Allerdings ist zu bedenken, worauf der User Einfluss hat - das laut Telefonieren gehört in seinen Einflussbereich. Dieses User-Verhalten entbindet einen IT-Verantwortlichen aber nicht von der Verantwortung, möglichst sichere Technik einzukaufen.