Wie sicher ist Cloud-Telefonie in der Praxis?

Mehr Flexibilität, leichte Skalierbarkeit, Kostenersparnis: Immer mehr Unternehmen entscheiden sich im Zuge der All-IP-Umstellung oder anlässlich eines Firmenumzugs bzw. einer Expansion für eine VoIP-Telefonanlage aus der Cloud.

Der Technologie-Wechsel zu einer Cloud-Telefonie-Lösung bringt Unternehmen zahlreiche Vorteile, wirft aber oft auch diese Frage auf: Ist das Telefonieren über IP-Netze wirklich sicher?

VoIP-Security hat natürlich oberste Priorität – lassen Sie uns daher die wichtigsten Sicherheitsaspekte im Detail betrachten!

Lesen Sie dazu auch: Braucht jedes Unternehmen eine VoIP-Telefonanlage?

Infografik: So machen Sie Ihre Cloud-Telefonanlage sicher. Grafik: yuutel

Grundlegender Aufbau einer Cloud-Telefonie-Lösung

Um ein effektives Sicherheitskonzept für eine VoIP-Telefonanlage zu erstellen, lohnt es sich, den prinzipiellen Aufbau einer solchen VoIP-Lösung zu betrachten. Technisch gesehen setzt sich eine Cloud-Telefonanlage aus zwei „Teilstücken“ zusammen:

1. Infrastruktur des Betreibers: Der erste Teil besteht aus der Infrastruktur, die im Rechenzentrum des Cloud-Telefonie-Anbieters gehostet wird. Dieser Teil der Lösung ist maximal vor Angriffen geschützt. Dafür sorgen speziell ausgebildete IT- Expertinnen und Experten, die alle beteiligten Komponenten rund um die Uhr betreuen und warten.
2. Infrastruktur des Kunden: Der zweite Teil der Lösung umfasst alle Endgeräte und Komponenten, die sich im Kunden-LAN befinden, bzw. Mobile Clients, die auch außerhalb des Kunden-LANs betrieben werden. Hier für Sicherheit zu sorgen, liegt in der Verantwortung des Kunden!

Betrachten wir zunächst den Infrastrukturbereich des Cloud-Telefonie-Betreibers.

So wird die Infrastruktur des Betreibers abgesichert

Die ideale VoIP-Telefonanlage zeichnet sich dadurch aus, dass zwei georedundante Rechenzentren verwendet werden. Auf diese Weise wird sichergestellt, dass bei Ausfall eines kompletten Rechenzentrums das zweite übernehmen kann. Für Rechenzentren im Allgemeinen gelten internationale Sicherheitsstandards. Details zu diesen Maßnahmen können beispielsweise in der ISO 27000 nachgelesen werden.

Die Einrichtung und laufende Wartung der Call Server des VoIP-Anbieters erfolgt in der Regel durch speziell ausgebildete Expertinnen und Experten. Damit keine Angriffe durch Fehlkonfigurationen möglich sind, werden laufend Patches bzw. Updates eingespielt.

Eine weitere Sicherungsmaßnahme besteht in der Verwendung spezieller, SIP-fähiger Firewalls, Application Layer Gateways (ALG) sowie Session Border Controller (SBC). Diese Komponenten sorgen aktiv für die Sicherheit der Call Server.

Lesen Sie dazu auch: So bleiben Sie mit einer VoIP-Telefonanlage bei Stromausfall erreichbar

Sicherheit in der Kunden-Infrastruktur erhöhen

Auf Kundenseite gilt als oberste Regel: die Höhe der Sicherheit sollte gegen den dafür notwendigen Aufwand beziehungsweise Komfortverlust abgewogen werden. Oder anders formuliert: Die sicherste Lösung ist relativ wertlos, wenn die Bedienung mit zu vielen Einschränkungen verbunden ist!

Vor der Ausrollung einer Cloud-Telefonie-Lösung ist eine der wichtigsten Entscheidungen, ob die Telefonie im selben LAN wie die restliche IT (PCs, Netzwerkdrucker, …) betrieben werden soll  – oder nicht.

Grundsätzlich haben Unternehmen hier die Wahl zwischen drei Varianten:

3 Möglichkeiten, um die Cloud-Telefonie-Lösung in das Kunden-LAN zu integrieren:

1. Gemeinsames LAN: Die aus sicherheitstechnischer Sicht ungünstigste Lösung ist es, wenn sich Telefonie und IT ein LAN ohne logische Trennung teilen. Diese Lösung ist am einfachsten umzusetzen, jedoch auch die „unsicherste“! Sämtliche Endgeräte (Telefone, PCs, …) im LAN sind für alle „sichtbar“ – und damit leicht angreifbar.
2. Separates LAN: Aus Sicherheitsgründen ist es ratsam, ein zweites, physikalisches LAN nur für die Telekommunikation zu verwenden (inklusive separater Internetanbindung!). Dieser (Sicherheits-)Vorteil ist zugleich aber auch ein Nachteil dieser Lösung. Schließlich wird die doppelte Infrastruktur mit zusätzlichen Wartungskosten, zusätzlichen Grundgebühren, etc. benötigt.
3. Logisches Teilnetz (VLAN): Ein Kompromiss aus Sicherheit und Aufwand ist der Einsatz von separaten VLANs („Virtual Local Area Network“). Dabei teilen sich Telefonie und IT zwar ein physikalisches Medium, es gibt aber eine (logische) Trennung auf der Netzwerkebene.

Wir bei yuutel setzen alle drei Varianten je nach Bedarf für unsere Kunden um. Wir beraten Sie gerne!

Sichern des Zugangs zum Kunden-LAN

Bei allen drei Varianten sollte unbedingt der Standard 802.1X verwendet werden. Damit kann sichergestellt werden, dass nur Endgeräte, die auch die nötigen Credentials (z.B. Passwort/Username, Zertifikat, …) besitzen, ins LAN gelangen.

Achtung: 802.1X muss sowohl auf den Telefonapparaten, als auch den PCs, Netzwerkdruckern, etc. aktiviert sein!

Nachdem nun die grundlegenden, netzwerktechnischen Fragen geklärt sind, folgen noch einige Dinge, die nicht nur exklusiv für die Cloud-Telefonie gelten.

Allgemeine IT-Sicherheitsmaßnahmen gelten auch für die VoIP-Telefonanlage

• Administrieren Sie Ihre VoIP-Telefonanlage zentral! Deaktivieren Sie das Admin-Webinterface der einzelnen Telefonapparate, um unkontrollierte Konfigurationen durch einzelne Mitarbeiterinnen bzw. Mitarbeiter zu verhindern! Keine Sorge: auch auf diese Weise ist das Setzen persönlicher Einstellungen möglich (wird zentral vom Administrator vorgenommen), beispielsweise eine individuelle Tastenbelegung!
  
  
• Verwenden Sie ausschließlich Passwörter mit ausreichender Komplexität.
  
  
• Sichern Sie alle Endgeräte mit LAN-Zugang dementsprechend ab! Es hilft die sicherste VoIP-Installation nichts, wenn der LAN-Port am Stockwerks-Switch für den Netzwerkdrucker „offen“ ist!

Unser Tipp: Wenn Sie besondere Anforderungen an die Sicherheit Ihrer virtuellen Telefonanlage haben, sollten Sie die Verschlüsselung aktivieren (lassen)! Achten Sie darauf, dass sowohl der Nutzkanal (sRTP), als auch die Signalisierung (SIPS) verschlüsselt wird.

Fraud, Sperrlisten und (Call Server) IP-Filter – Extra-Schutz für Ihre VoIP-Telefonanlage

Das Internet bietet viele Einfallstore für Kriminelle – das betrifft natürlich auch Cloud-Telefonie-Lösungen. Großes Augenmerk sollte daher auf dem Schutz vor Hacker-Angriffen auf die Telefonanlage, dem sogenannten „VoIP-Fraud“, liegen.

Bei Voice-over-IP-Betrug „übernehmen“ Kriminelle per Netzwerkangriff einzelne Telefone bzw. Softclients und rufen damit Mehrwertrufnummern an. Diese Betrugsmasche kann bei Unternehmen große finanzielle Schäden verursachen – besonders dann, wenn der VoIP-Fraud am Wochenende bzw. über Feiertage stattfindet oder mehrere Endgeräte gleichzeitig übernommen werden. Hinter dem Angriff steht meist entweder der Besitzer der Mehrwertrufnummer oder Dritte, die an den Umsätzen beteiligt sind.

Um derartige Betrugsversuche zu verhindern, bietet jede gute Cloud-Telefonanlage mehrere Möglichkeiten zur VoIP-Fraud-Protection:

• Sperrlisten ermöglichen, dass ganze Rufnummernblöcke gesperrt werden können (z.B. alle Rufnummern, die mit 0900 beginnen). Selbiges gilt für bestimmte Ländervorwahlen bis hin zur Sperre einzelner Rufnummern (Blocklisting).
  
  
• Das Setzen von Kostenlimits (z.B. pro Nebenstelle/Abteilung bzw. pro Tag/Woche/Monat) ist ebenfalls eine effektive Maßnahme, um VoIP-Fraud-Fälle zu vermeiden, da z.B. bei Erreichen des Limits keine kostenpflichtigen Anrufe mehr möglich sind.
  
  
• Mithilfe von IP-Filtern kann (auf Call Server-Ebene) sehr genau geregelt werden, welche IP-Adresse berechtigt ist, einen Client auf der Cloud-Telefonanlage anzumelden. Hier kann mit Block-/VIP-Listen gearbeitet werden, um z.B. Mitarbeiterinnen und Mitarbeitern Home-Office zu ermöglichen, obwohl diese keine VPN-Lösung einsetzen (Eintrag der IP-Adresse in der Whitelist der Cloud-Telefonanlage).

Fazit: Cloud-Telefonie ist sicher – wenn man's richtig macht!

Ihre VoIP-Telefonanlage ist so sicher, wie Sie es brauchen – die Sicherheitsstufe kann je nach Bedarf individuell eingerichtet werden. Von der „Basis-Sicherheit genügt mir, Hauptsache das Netzwerk rennt“- Implementierung bis hin zur vollständig verschlüsselten VoIP-Lösung mit sicheren Passwörtern, 802.1x, IP-Filter, VLANs und VoIP-Fraud-Protection ist mit einer professionellen Cloud-Telefonie Lösung alles möglich!

Bedenken Sie: Für seriöse Cloud-Telefonie-Anbieter gehören hohe Sicherheitsstandards zum Kerngeschäft! Viele, vor allem kleine und mittlere Unternehmen, können die heutigen Security-Anforderungen gar nicht selbst leisten. Ein guter Cloud-Anbieter wird alles daran setzen, die Systeme für seine Kunden optimal zu schützen. Bei yuutel setzen wir beispielsweise auf redundante Hochsicherheits-Rechenzentren in Österreich, die alle Sicherheitsvorgaben der EU erfüllen.

Überlegen Sie den Umstieg auf eine virtuelle Telefonanlage aus der Cloud?

Sie möchten ebenfalls sicher über eine moderne All-IP-Telefonanlage telefonieren oder haben Fragen zu Sicherheitsaspekten? Die Spezialistinnen und Spezialisten bei yuutel beraten Sie gerne persönlich zu den Möglichkeiten – es lohnt sich immer, mit uns zu sprechen!

Alle wichtigen Todos für den Umstieg auf eine VoIP-Telefonanlage haben wir Ihnen in dieser kostenlosen Checkliste zusammengefasst: