Sicherheitsrisiko Cloud-Telefonie? Diese Maßnahmen kannst du ergreifen

Cloud-basierte Kommunikationslösungen sind immer mehr im Kommen. Kein Wunder, schließlich bieten sie im Vergleich zu den herkömmlichen Telekommunikationsanlagen viele Vorteile. Doch gleichzeitig machen sich auch Zweifel breit: Kann die Cloud-Telefonie zum Sicherheitsrisiko für Unternehmen werden?

Der Weg von ISDN zur Cloud-Telefonie

Um die Thematik richtig beurteilen zu können, werfen wir zunächst einen Blick auf die Unterschiede zwischen ISDN- und Cloud-Telefonie.

Da eine flächendeckende Abschaltung des ISDN-Festnetz in Deutschland im Laufe des Jahres 2022 erfolgt, sind auch die Zeiten, in denen die Telefonie ihre eigenen Anbindungen ins Telefonnetz hat, vorbei. Bei den Endgeräten ist es ähnlich: Auch hier wird das IP-Netzwerk für die Anschaltung genutzt.

Telefonie ist heute nur noch ein Kommunikationsdienst. Telekommunikationssysteme entwickeln sich zu Unified Communications & Collaborations Lösungen (UCC), die einen Client für Chat, Präsenz, Audio-, Video- und Web-Konferenz sowie Sprach- und Video-Telefonie zur Verfügung stellen. Diese Clients sollen im Unternehmen, aber auch über das Homeoffice und auf mobilen Geräten lauffähig sein. Darüber hinaus sollen UCC Funktionen auch mit externen KundInnen und PartnerInnen funktionieren. Eine unternehmensübergreifende Chatfunktion erleichtert zum Beispiel die Zusammenarbeit. Daten können in Lokationen abgelegt werden, auf die beide Unternehmen Zugriff haben und in Konferenzen können untereinander Bildschirme freigegeben werden.

EXTRA: Cloud Computing für KMU: Das musst du wissen

Für viele Unternehmen ist dies ein Grund, ihre UCC-Lösung direkt aus der Cloud zu beziehen. Dies macht aufwändiges Securitydesign in der eigenen DMZ obsolet. Zweitstufige Konzepte über eine innere und äußere DMZ, wie dies oft bei Finanzinstituten gefordert ist, unterstützen UCC-Lösungen nicht oder nur mit einem immensen Zusatzaufwand. Auch die Hersteller von UCC-Lösungen pushen die Cloud und stellen teilweise keine Lösungen, bei der die Installation beim Kunden erfolgt, zur Verfügung.

Welche Sicherheitsrisiken bergen Cloud-basierte Telefonsysteme?

Zu Beginn sei vermerkt, dass ein Cloud-basiertes Telefonsystem, richtig geschützt, durchaus sicherer sein kann als eine on-premises Lösung. Wichtig ist es, die Sicherheitsrisiken zu kennen und möglichen Angriffen vorzubeugen.

Durch die Verbindung mit dem Internet bieten sich Hackern eine Vielzahl von Angriffsmöglichkeiten, die bei einem analogen System so nicht gegeben sind. Ziel dieser Angriffe ist es, das verwendete Netzwerk zu verlangsamen oder gar lahmzulegen, Daten oder Identitäten zu stehlen oder Telefonate mitzuhören.

Wenn von Cloud die Rede ist, müssen zwischen zwei Ansätzen unterschieden werden. Cloud Lösungen können inkl. der Cloudinfrastruktur als Shared Lösung vom Anbieter zur Verfügung gestellt werden. Bei der zweiten Möglichkeit hostet ein Anbieter eine Lösung für den Kunden aus der Cloud heraus. Hier hat der Kunde je nach Ausprägung ein Mitsprachrecht im Design der Lösung. Bei beiden Ansätzen muss der Kunde seinem Anbieter vertrauen. Denn auf die Sicherheit der Systeme in der Cloud hat er keinen Einfluss.

Ein häufiges Missverständnis ist, dass Cloud-Dienstleister vollständige Sicherheitsmaßnahmen für die Cloud-Kommunikation anbieten. Dies gilt möglicherweise für Anwendungen in der Cloud, jedoch nicht für dein Netzwerk, deine Anrufverläufe, Medien oder Endpunkte, die sich nicht in der Cloud befinden.

Daher müssen Unternehmen auch Maßnahmen ergreifen, um die Sicherheit ihrer sensiblen Daten zu gewährleisten.

EXTRA: Vorsicht vor bösartiger Software: So schützt du dich [Praxistipp]

Welche Sicherheitsmaßnahmen können Unternehmen ergreifen?

Sprachsignale und Datenpakete durchlaufen während ihres Transportes über ein cloudbasiertes UCC-System mehrere Schnittstellen. Jede dieser Stellen birgt das Risiko einer Sicherheitslücke. Das bedeutet, dass du an jeder Stelle für eine Verschlüsselung der versendeten und empfangenen Daten sorgen musst, wenn sie optimal geschützt sein sollen.

Die Verschlüsselung der Signalisierung und Nutzdaten ist ein Standard, hilft am Ende aber nur, wenn auch die genutzten Verschlüsselungsmechanismen sicher und geschützt sind. Bei der Verschlüsselung der Sprache kommt hinzu, dass dies zwar intern zwischen den Endpunkten und der UCC-Cloud möglich ist, in öffentlichen Netzen erfolgt der Transport jedoch unverschlüsselt. Einige Hersteller bieten für ihre Cloud-Lösungen separate Key-Management Lösungen, der Einsatz scheitert jedoch häufig an den Kosten und der Komplexität.

Hersteller machen über ihre internen Sicherheitsfunktionen in der Regel ein Geheimnis und begründen dies mit dem Schutz aller KundInnen. Möglichkeiten die Sicherheit der Cloud durch einen eigenen Penetrations-(PEN-)Test zu verifizieren stimmen die Cloudbetreiber in der Regel nicht zu. Im Gegensatz zu einer eigenen Lösung sind insbesondere die großen Anbieter schneller, wenn es darum geht, Lücken zu schließen. Als Beispiel lässt sich hierbei die erst kürzlich aufgetretene Lücke bei Microsoft Exchange aufführen. In der Microsoft 365 Cloud war die Lücke vor dem Bekanntwerden geschlossen. Viele Kundeninstallationen weisen die Lücke jedoch heute noch auf oder wurden gehackt, bevor man reagieren konnte.

Die größere Gefahr geht jedoch vom Anwender aus, gerade dann, wenn mobile Geräte eingebunden und BYOD-Ansätze gefahren werden. Hier ist die Überwachung der Geräte und der Schutz durch entsprechende MDM-Lösungen elementar. Die häufigsten Angriffe gehen nach wie vor direkt auf Anwender zurück, bei der Öffnung von E-Mail-Anhängen, durch die eine Software eingeschleust wird, die dann ganz in Ruhe ihr Unwesen treiben kann. Hier helfen nur entsprechende Sicherheitslösungen, die erkennen können, wenn eine solche Mal- oder Ransomware aktiv wird und diese umgehend stoppen.