Stuttgart Die Implementierung von Voice over IP (VoIP) in Unternehmen läuft auf vollen Touren. Doch Sicherheitsmängel stellten den Erfolg in Frage, so das Ergebnis eines Kongresses von Computer Zeitung http://www.netigator.de und Lanline http://www.lanline.de . Dabei trügen Anwender und Hersteller gleichermaßen Schuld. Nach der Konvergenz der Netze, der Dienste und der Applikationen stehe jetzt die Konvergenz der Kommunikation auf der Tagesordnung, sagte Stephan Meier, Manager bei Dimension Data http://www.dimensiondata.de , und charakterisierte so den Status quo von VoIP. Dies zeige sich unter anderem in der Entwicklung von Call Centern hin zu Contact Centern, wo neben der Sprachtechnologie auch multimediale und interaktive Technik genutzt werde.
Allerdings steige gerade durch eine solche Verflechtung das Risiko von VoIP, nicht nur durch das Abhören von Telefonaten, lautete die Einschätzung von Andreas Seum, Vice President bei Siemens http://www.siemens.de : Ein VoIP-Telefon ist ein Computer, also muss durch ein so genanntes Profiling klar definiert werden, was ein Nutzer darf und was nicht um nicht autorisierte User mit üblen Absichten auszusperren. Das Access-Protokoll 802.1x werde jedoch längst noch nicht von allen Endgeräten verwendet. Neben der Endpunkte-Sicherheit müsse auch der Missbrauch rund um VoIP-Produkte wie etwa SIP ausgeschlossen werden was ebenfalls nicht der Fall sei.
Auch beim VoIP-Transportprotokoll RTP, das längst als Secure-Version vorliege, hapere es. Komponenten verschiedener Hersteller können darüber nicht kommunizieren, weil jeder ein anderes Schlüsselmanagement nutze, kritisierte der Sicherheits-Experte Enno Rey. Doch getan werde nichts dagegen. Der IT-Rechtsexperte Robert Niedermeier kritisierte die Anwender: Bei allen VoIP-Ansätzen wird der Kostenblock für die Security nicht richtig eingerechnet. Hinzu kommt, dass die Bundesnetzagentur VoIP im Telekommunikationsgesetz noch nicht geregelt hat.
Das Thema Sicherheit bei VoIP muss in der Tat in der Zukunft noch ernster genommen werden, so Massimiliano Mandato, Sicherheitsexperte beim Stuttgarter IT-Dienstleister Nextiraone http://www.nextiarone.de . Nach meiner Auffassung haben die Hersteller von VoIP-Systemen diesen Aspekt viel zu spät in Betracht gezogen. Hier kommt ein wenig die mitteleuropäische Denk- und Handlungsweise zum Tragen: Es wird erst etwas getan, wenn schon etwas passiert ist. Das Beheben von Schäden ist meist teurer als eine präventive Vorsorge.
Schon im Erstgespräch mit dem Kunden müsse der Sicherheitsaspekt thematisiert werden. Der Kunde muss sozusagen dafür sensibilisiert werden. Entsprechend können dann die Systeme und die Infrastrukturen darauf ausgerichtet und implementiert werden. Dabei kann es sich um mehr als nur VoIP-Systeme handeln: Dieses Thema kann von der Firewall bis hin zu PKI-Infrastrukturen und Sicherheits-Policy führen, so der Securityexperte von Nextiraone. Standardinstallationen von VoIP-Lösungen bergen nach Ansicht von Mandato hingegen Sicherheitsrisiken. Erst durch die Kombination von Sicherheitsmechanismen der VoIP-Lösungen und des darunter liegenden Netzwerkes könnte eine ausreichende Sicherheit gewährleistet werden.
X