Der Umstieg auf eine Cloud-Telefonie-Lösung bringt unzählige Vorteile mit sich! Jedoch sollten Unternehmen schon bei der Konzeption einer derartigen Lösung einige grundlegende Dinge beachten – das Thema VoIP-Security ist dabei eine zentrale Anforderung! Warum schon die grundlegende Architektur des (VoIP) LANs wichtig ist und mit welchen Maßnahmen die Sicherheit einer VoIP-Telefonanlage erhöht werden kann, erfahren Sie in diesem Blogbeitrag.
Mehr Flexibilität, leichte Skalierbarkeit, Kostenersparnis: Immer mehr Unternehmen entscheiden sich im Zuge der All-IP-Umstellung oder anlässlich eines Firmenumzugs bzw. einer Expansion für eine VoIP-Telefonanlage aus der Cloud.
Der Technologie-Wechsel zu einer Cloud-Telefonie-Lösung bringt Unternehmen zahlreiche Vorteile, wirft aber oft auch diese Frage auf: Ist das Telefonieren über IP-Netze wirklich sicher?
VoIP-Security hat natürlich oberste Priorität – lassen Sie uns daher die wichtigsten Sicherheitsaspekte im Detail betrachten!
Grundlegender Aufbau einer Cloud-Telefonie-Lösung
Um ein effektives Sicherheitskonzept für eine VoIP-Telefonanlage zu erstellen, lohnt es sich, den prinzipiellen Aufbau einer solchen VoIP-Lösung zu betrachten. Technisch gesehen setzt sich eine Cloud-Telefonanlage aus zwei „Teilstücken“ zusammen:
1. Infrastruktur des Betreibers:
Der erste Teil besteht aus der Infrastruktur, die im Rechenzentrum des Cloud-Telefonie-Anbieters gehostet wird. Dieser Teil der Lösung ist maximal vor Angriffen geschützt. Dafür sorgen speziell ausgebildete IT- Expertinnen und Experten, die alle beteiligten Komponenten rund um die Uhr betreuen und warten.
2. Infrastruktur des Unternehmens (Kunden):
Der zweite Teil der Lösung umfasst alle Endgeräte und Komponenten, die sich im LAN des Unternehmens befinden bzw. alle Mobile Clients, die auch außerhalb des Unternehmens-LANs betrieben werden. Hier für Sicherheit zu sorgen, liegt in der Verantwortung des Unternehmens selbst!
Betrachten wir zunächst den Infrastrukturbereich des Cloud-Telefonie-Betreibers.
So wird die Infrastruktur des Betreibers abgesichert
Die ideale Cloud-Telefonanlage zeichnet sich dadurch aus, dass zwei georedundante Rechenzentren verwendet werden. Auf diese Weise wird sichergestellt, dass bei Ausfall eines kompletten Rechenzentrums das zweite übernehmen kann. Für Rechenzentren im Allgemeinen gelten internationale Sicherheitsstandards. Details zu diesen Maßnahmen können beispielsweise in der ISO 27000 nachgelesen werden.
Die Einrichtung und laufende Wartung der Call Server des VoIP-Anbieters erfolgt in der Regel durch speziell ausgebildete Expertinnen und Experten. Damit keine Angriffe durch Fehlkonfigurationen möglich sind, werden laufend Patches bzw. Updates eingespielt.
Eine weitere Sicherungsmaßnahme besteht in der Verwendung spezieller, SIP-fähiger Firewalls, Application Layer Gateways (ALG) sowie Session Border Controller (SBC). Diese Komponenten sorgen aktiv für die Sicherheit der Call Server.
Tipp
Lesen Sie dazu auch: So bleiben Sie mit einer VoIP-Telefonanlage bei Stromausfall erreichbar
So erhöhen Sie die Sicherheit in der Infrastruktur Ihres Unternehmen
Auf Unternehmensseite gilt als oberste Regel: die Höhe der Sicherheit sollte gegen den dafür notwendigen Aufwand beziehungsweise Komfortverlust abgewogen werden. Oder anders formuliert: Die sicherste Lösung ist relativ wertlos, wenn die Bedienung mit zu vielen Einschränkungen verbunden ist!
Vor der Ausrollung einer Cloud-Telefonie-Lösung ist eine der wichtigsten Entscheidungen, ob die Telefonie im selben LAN wie die restliche IT (PCs, Netzwerkdrucker, …) betrieben werden soll – oder nicht.
Grundsätzlich haben Unternehmen hier die Wahl zwischen drei Varianten. Wir bei yuutel setzen alle drei Varianten je nach Bedarf für unsere Kund:innen um.
1. Gemeinsames LAN
Die aus sicherheitstechnischer Sicht ungünstigste Lösung ist es, wenn sich Telefonie und IT ein LAN ohne logische Trennung teilen. Diese Lösung ist am einfachsten umzusetzen, jedoch auch die „unsicherste“! Sämtliche Endgeräte (Telefone, PCs, …) im LAN sind für alle „sichtbar“ – und damit leicht angreifbar.
2. Separates LAN
Aus Sicherheitsgründen ist es ratsam, ein zweites, physikalisches LAN nur für die Telekommunikation zu verwenden (inklusive separater Internetanbindung!). Dieser (Sicherheits-)Vorteil ist zugleich aber auch ein Nachteil dieser Lösung. Schließlich wird die doppelte Infrastruktur mit zusätzlichen Wartungskosten, zusätzlichen Grundgebühren, etc. benötigt.
3. Logisches Teilnetz (VLAN)
Ein Kompromiss aus Sicherheit und Aufwand ist der Einsatz von separaten VLANs („Virtual Local Area Network“). Dabei teilen sich Telefonie und IT zwar ein physikalisches Medium, es gibt aber eine (logische) Trennung auf der Netzwerkebene.
Sichern des Zugangs zum Kunden-LAN
Bei allen drei Varianten sollte unbedingt der Standard 802.1X verwendet werden. Damit kann sichergestellt werden, dass nur Endgeräte, die auch die nötigen Credentials (z.B. Passwort/Username, Zertifikat, …) besitzen, ins LAN gelangen.
802.1X muss sowohl auf den Telefonapparaten, als auch den PCs, Netzwerkdruckern, etc. aktiviert sein!
Nachdem nun die grundlegenden, netzwerktechnischen Fragen geklärt sind, folgen noch einige Dinge, die nicht nur exklusiv für die Cloud-Telefonie gelten.
Bleiben Sie informiert!
Jetzt zum Newsletter anmelden und regelmäßig News & Tipps erhalten.
Allgemeine IT-Sicherheitsmaßnahmen für die Cloud Telefonanlage
Zentrale Administration
Deaktivieren Sie das Admin-Webinterface der einzelnen Telefonapparate, um unkontrollierte Konfigurationen durch einzelne Mitarbeiterinnen bzw. Mitarbeiter zu verhindern! Keine Sorge: auch auf diese Weise ist das Setzen persönlicher Einstellungen möglich (wird zentral vom Administrator vorgenommen), beispielsweise eine individuelle Tastenbelegung!
Sichere Passwörter
Verwenden Sie ausschließlich Passwörter mit ausreichender Komplexität, die Sie in Passwort Management-Tools sichern.
Sichere Endgeräte
Sichern Sie alle Endgeräte mit LAN-Zugang dementsprechend ab! Es hilft die sicherste VoIP-Installation nichts, wenn der LAN-Port am Stockwerks-Switch für den Netzwerkdrucker „offen“ ist!
Zwei-Faktor-Authentifizierung
Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für den Zugriff auf die Cloud-Telefonanlage! So stellen Sie sicher, dass selbst bei kompromittierten Zugangsdaten kein unbefugter Zugriff möglich ist. Der zusätzliche Sicherheitscode – etwa per App oder Token – schützt besonders wirksam vor externen Angriffen.
Wenn Sie besondere Anforderungen an die Sicherheit Ihrer virtuellen Telefonanlage haben, sollten Sie die Verschlüsselung aktivieren (lassen)! Achten Sie darauf, dass sowohl der Nutzkanal (SRTP), als auch die Signalisierung (SIPS) verschlüsselt wird.
Extra-Schutz für die Cloud Telefonanlage: Sperrlisten, IP-Filter & Co.
Das Internet bietet viele Einfallstore für Kriminelle – das betrifft natürlich auch Cloud-Telefonanlagen. Großes Augenmerk sollte daher auf dem Schutz vor Hacker-Angriffen auf die Telefonanlage, dem sogenannten „VoIP-Fraud“, liegen.
Bei Voice-over-IP-Betrug „übernehmen“ Kriminelle per Netzwerkangriff einzelne Telefone bzw. Softclients und rufen damit Mehrwertrufnummern an. Diese Betrugsmasche kann bei Unternehmen große finanzielle Schäden verursachen – besonders dann, wenn der VoIP-Fraud am Wochenende bzw. über Feiertage stattfindet oder mehrere Endgeräte gleichzeitig übernommen werden. Hinter dem Angriff steht meist entweder der Besitzer der Mehrwertrufnummer oder Dritte, die an den Umsätzen beteiligt sind.
Um derartige Betrugsversuche zu verhindern, bietet jede gute Cloud-Telefonanlage mehrere Möglichkeiten zur VoIP-Fraud-Protection.
Sperrlisten
Sperrlisten ermöglichen, dass ganze Rufnummernblöcke gesperrt werden können (z.B. alle Rufnummern, die mit 0900 beginnen). Selbiges gilt für bestimmte Ländervorwahlen bis hin zur Sperre einzelner Rufnummern (Blocklisting).
Kostenlimits
Das Setzen von Kostenlimits (z.B. pro Nebenstelle/Abteilung bzw. pro Tag/Woche/Monat) ist ebenfalls eine effektive Maßnahme, um VoIP-Fraud-Fälle zu vermeiden, da z.B. bei Erreichen des Limits keine kostenpflichtigen Anrufe mehr möglich sind.
IP-Filter
Mithilfe von IP-Filtern kann (auf Call Server-Ebene) sehr genau geregelt werden, welche IP-Adresse berechtigt ist, einen Client auf der Cloud-Telefonanlage anzumelden. Hier kann mit Block-/VIP-Listen gearbeitet werden, um z.B. Mitarbeiter:innen die Arbeit im Homeoffice zu ermöglichen, obwohl diese keine VPN-Lösung einsetzen (Eintrag der IP-Adresse in die VIP-List der Cloud-Telefonanlage).
Jetzt Cloud-Telefonanlage konfigurieren:
Funktionen auswählen & Preisauskunft erhalten.
Fazit: Cloud-Telefonie ist sicher – wenn man's richtig macht!
Ihre VoIP-Telefonanlage ist so sicher, wie Sie es brauchen – die Sicherheitsstufe kann je nach Bedarf individuell eingerichtet werden. Von der „Basis-Sicherheit genügt mir, Hauptsache das Netzwerk rennt“- Implementierung bis hin zur vollständig verschlüsselten VoIP-Lösung mit sicheren Passwörtern, 802.1x, IP-Filter, VLANs und VoIP-Fraud-Protection ist mit einer professionellen Cloud-Telefonie Lösung alles möglich!
Bedenken Sie: Für seriöse Cloud-Telefonie-Anbieter gehören hohe Sicherheitsstandards zum Kerngeschäft! Viele, vor allem kleine und mittlere Unternehmen, können die heutigen Security-Anforderungen gar nicht selbst leisten.
Ein guter Cloud-Anbieter wird alles daran setzen, die Systeme für seine Kunden optimal zu schützen. Bei yuutel setzen wir beispielsweise auf redundante Hochsicherheits-Rechenzentren in Österreich, die alle Sicherheitsvorgaben der EU erfüllen.