VoIP vs. IT-Sicherheit eicar WG2, Bonn, 16.11.2006 Ges. für Informatik, Sprecher d. Fachgruppe Netsec
Geiz ist geil! und billig telefonieren schon lange! Aber wer profitiert wirklich?
Was ist VoIP? SKYPE? SIP (Sipgate, SIPPS, u.a.)? Systemtelefonie mit der üblichen PBX? Verbindungen zwischen PBXen?
Wer nutzt VoIP? Privatkunden KMUs Firmen mit Außenstellen Heimarbeitsplätze
Wie wird VoIP genutzt? Direkte Einwahl ins Internet (Laptop) Einwahl über (DSL-)Router Über VPN-Verbindung Standorte untereinander Home-Office Mit PCs, mit PBX, mit VoIP-Telefonen
Wie arbeitet VoIP? 1. 2. A 3. Kommunikation B
Das Problem: der Tunnel
VoIP vs. IT-Sicherheit Wenn VoIP flächendeckend so eingesetzt wird, wie es heute implementiert und verkauft wird, haben wir einen Verlust der - Vertraulichkeit - Verfügbarkeit - Integrität - Verbindlichkeit / Authentizität
VoIP vs. IT-Sicherheit Unternehmen, die VoIP so implementieren, wie es derzeit angeboten wird, geben einen Großteil des Erreichten in der IT-Sicherheit auf. IT-Compliance mit den den Anforderungen aus ISO27001, SoX, BSI-Grundschutz u.a. ist nicht möglich.
VoIP vs. IT-Sicherheit Rechtskonformes Betreiben (nach den Vorgaben aus den Handels-, Arbeits- und TK-Gesetzen) einer VoIP- Installation ist nicht möglich. Um die o.g. Standards wieder zu erreichen muss ein Anwender erheblich in die eigene Infrastruktur investieren, wodurch die Ersparnis von VoIP aufgezehrt wird.
Fakten VoIP wird kommen und die bisherige klassische Telefonie ersetzen. SIP wurde ohne ausreichende Sicherheitsfeatures entworfen. SIPS und SRTP versuchen diese Lücke zu schließen, tun dies aber sehr zaghaft und setzten vor allem eine funktionierende PKI- Infrastruktur (mit Revokation) voraus.
Fakten Selbst mit den S-Varianten wird ein zentrales Problem nicht adressiert. Es gibt einen Tunnel von einem User-Agent (UA) zum anderen UA, der den Transport von Audio, Video, Daten aber auch Programmen und damit Malware erlaubt. Während wir P2P-Netzwerke für den Datenaustausch verbieten, benötigt VoIP genau die gleiche Technik!
Fakten VoIP ist geeignet um einzelne UAs mit einer zentralen TK-Anlage zu koppeln oder vertrauenswürdige TK-Anlagen zu koppeln. Die Nutzung von VoIP im gleichen Netz wie die IT gefährdet aber deren Sicherheit erheblich.
Fakten Nur durch eine konsequente physische Trennung kann VoIP im Intranet eingesetzt werden ohne die Sicherheit zu gefährden. Dem Einsatz von SoftAgents ist abzuraten.
Fakten Die Datenverbindung ist sehr einfach abhörbar -> Vertraulichkeit Bei Stromausfall muss die gesamte Infrastruktur über USVs abgesichert werden -> Verfügbarkeit IT-Infrastruktur ist gefährdet -> Integrität Der Anrufer kann nicht sicher identifiziert werden -> Authentizität
Rechtslage Ulrich Emmert auf der Systems 05: Nach Telekommunikationsgesetz ist VoIP einfach illegal. Es genügt weder 109 TKG noch irgendwelchen Datenschutzgesetzen. Der Unternehmer ist TK-Dienstleister sowohl für die geschäftliche als auch private Nutzung.
Andere Regelungen Unternehmen, die eine Zertifizierung nach BSI-Grundschutz, ISO27001, SOX oder ähnlichem benötigen, können VoIP derzeit nicht mit der bestehenden IT-Landschaft verschmelzen.
Überprüfung der Thesen Unternehmen, die VoIP so implementieren, wie es derzeit angeboten wird, geben einen Großteil des Erreichten in der IT-Sicherheit auf. Stimmt! Aber IT-Compliance mit den den Anforderungen aus ISO27001, SoX, BSI-Grundschutz u.a. ist nicht möglich. Stimmt! Aber
Überprüfung der Thesen Rechtskonformes Betreiben (nach den Vorgaben aus den Handels-, Arbeits- und TK-Gesetzen) einer VoIP- Installation ist nicht möglich. Stimmt! Aber Um die o.g. Standards wieder zu erreichen muss ein Anwender erheblich in die eigene Infrastruktur investieren, wodurch die Ersparnis von VoIP aufgezehrt wird. Stimmt! Aber
Überprüfung der Thesen Wenn VoIP flächendeckend so eingesetzt wird, wie es heute implementiert und verkauft wird, haben wir einen Verlust der - Vertraulichkeit - Verfügbarkeit Stimmt! Aber - Integrität - Verbindlichkeit / Authentizität
Geiz ist Geil? Vermutlich erkaufen wir uns für viel Geld ein riesiges Sicherheitsproblem. Wirklich sparen können nur die Provider, kein Wunder, dass Sie VoIP so preiswert anbieten!