Bundesamt für Sicherheit in der Informationstechnik

B 3.401 TK-Anlage

Logo TK-Anlage

Beschreibung

Mit einer Telekommunikationsanlage, kurz TK -Anlage, können die Telefone einer Institution intern verbunden und extern an ein öffentliches Telefonnetz (Public Switched Telephone Network, PSTN ) angeschlossen werden. Neben der Sprachtelefonie können, abhängig von den angeschlossenen Endgeräten, weitere Dienste genutzt werden. So ist es möglich mittels TK-Anlagen Daten, Texte, Grafiken und Bewegtbilder zu übertragen. Die Informationen können dabei analog oder digital über drahtgebundene oder drahtlose Übertragungsmedien übermittelt werden. Je nach Anbindung und genutzter Datennetze können in einer Institution Telekommunikationsanlagen in verschiedenen Ausprägungen eingesetzt werden:

  • Klassische TK-Anlagen
    Klassische TK-Anlagen nutzen zum Verbindungsaufbau und zur Übertragung je nach vorhandener Technik ein separates Netz als TK-Infrastruktur. An die Anlage können beispielsweise Telefone, Faxgeräte, Modems und Anrufbeantworter angeschlossen werden.
  • VoIP-System
    Bei Voice over IP ( VoIP ) wird anstatt einer separaten TK-Infrastruktur mit eigener Verkabelung ein IP -Datennetz genutzt, um die Endgeräte an die TK-Anlage anzuschließen. Die Endgeräte kommunizieren bei VoIP mit der TK-Anlage oder anderen VoIP-Geräten über IP-basierte Signalisierungs- und Medientransportprotokolle. Der Übergang in das öffentliche Telefonnetz erfolgt über ein Gateway innerhalb der Institution.
  • Hybrid System / Hybrid Anlage
    Aufgrund der zunehmenden Bedeutung von VoIP werden TK-Anlagen angeboten, die die klassische Telefonie mit VoIP-Telefonie vereinen. Sogenannte Hybridanlagen verfügen neben den Bestandteilen einer klassischen TK-Anlage zusätzlich über einen Anschluss an das Datennetz, über den IP-Telefone mit der TK-Anlage kommunizieren können. Mit einer Hybrid-Anlage können die klassische digitale oder analoge Telefonie und VoIP gleichzeitig betrieben werden. Auch ist es möglich, mit einer Hybrid-Anlage schrittweise auf eine VoIP-Infrastruktur zu migrieren.
  • IP-Anlagenanschluss
    Bei der Nutzung von VoIP kann der PSTN-Anschluss auch bei einem externen Anbieter liegen. Das (interne) VoIP-System kommuniziert auch nach außen primär über das Internet (IP) mit dem externen Dienstleister. Diese Variante wird IP-Anlagenanschluss genannt.

Generell lässt sich sagen, dass die großen TK-Anbieter das herkömmliche Telefonnetz durch einheitliche IP-basierte Lösungen (Next Generation Network) ablösen, da dann nicht mehr zwischen Daten- und Sprachtransport unterschieden werden muss. Dies wird auch Auswirkungen auf die Schnittstelle zwischen einer internen Telefonanlage und dem TK-Diensteanbieter haben.

In diesem Baustein werden vor allem die für die klassischen TK-Anlagen spezifischen Gefährdungen und Maßnahmen betrachtet. Der Baustein sollte für jede TK-Anlage unabhängig von der später verwendeten Technologie herangezogen werden. Für alle Bereiche, die über die klassische TK-Anlage hinausgehen, sind zusätzlich die entsprechenden Bausteine umzusetzen, beispielsweise zu VoIP (B 4.7 VoIP ) oder den mobilen und drahtlosen Systemen (z. B. B 3.404 Mobiltelefon ).

Gefährdungslage

Für den IT-Grundschutz einer TK-Anlage werden die folgenden typischen Gefährdungen betrachtet:

Höhere Gewalt

G 1.2 Ausfall von IT-Systemen
G 1.10 Ausfall eines Weitverkehrsnetzes

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.5 Fehlende oder unzureichende Wartung

Menschliche Fehlhandlungen

G 3.7 Ausfall der TK-Anlage durch Fehlbedienung
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten

Vorsätzliche Handlungen

G 5.10 Missbrauch von Fernwartungszugängen
G 5.11 Vertraulichkeitsverlust von in TK-Anlagen gespeicherten Daten
G 5.12 Abhören von Telefongesprächen und Datenübertragungen
G 5.13 Abhören von Räumen über TK-Endgeräte
G 5.14 Gebührenbetrug
G 5.15 Missbrauch von Leistungsmerkmalen von TK-Anlagen
G 5.16 Gefährdung bei Wartungs-/Administrierungsarbeiten
G 5.42 Social Engineering
G 5.44 Missbrauch von Remote-Zugängen für Managementfunktionen von TK-Anlagen
G 5.71 Vertraulichkeitsverlust schützenswerter Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Dazu kann beispielsweise der Baustein B 4.5 LAN-Anbindung eines IT-Systems über ISDN gehören, der auf alle Außenverbindungen anzuwenden ist, die über ISDN realisiert werden. Auch die Bausteine B 3.404 Mobiltelefon , B 4.6 WLAN und B 4.7 VoIP sind, wo zutreffend, zu beachten. Die zentralen Einrichtungen einer TK-Anlage sollten in einem Raum aufgestellt werden, der den Anforderungen an einen Serverraum (Baustein B 2.4 Serverraum ) oder einen Raum für technische Infrastruktur (Baustein B 2.6 Raum für technische Infrastruktur ) genügt. Für die Verkabelung der TK-Anlage wird auf den Baustein B 2.2 Elektrotechnische Verkabelung hingewiesen.

Für die TK-Anlage sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Planung über die Beschaffung und den Betrieb bis zur Notfallvorsorge. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.

Planung und Konzeption

Zur Planung der TK-Anlage sollte die Maßnahme M 2.471 Planung des Einsatzes von TK-Anlagen beachtet werden. Eine Richtlinie zum Betrieb und der korrekten Nutzung der TK-Anlage sollte erstellt werden (M 2.472 Erstellung einer Sicherheitsrichtlinie für TK-Anlagen ).

Beschaffung

Die Maßnahme M 2.105 Beschaffung von TK-Anlagen nennt die wesentlichen Kriterien, die bei der Auswahl einer TK-Anlage zu beachten sind.

Umsetzung

Bei der Installation sind unbedingt die vom Hersteller voreingestellten Passwörter zu ändern, da die Anlage sonst von beliebigen Angreifern manipuliert werden kann. Ebenso sind alle Schnittstellen abzusichern. Bei der Konfiguration ist nach der Grundregel zu verfahren, dass alle nicht benötigten Leistungsmerkmale abzuschalten sind, weil sie unnötige Risiken mit sich bringen (siehe M 5.14 Absicherung interner Remote-Zugänge von TK-Anlagen und M 5.15 Absicherung externer Remote-Zugänge von TK-Anlagen ).

Nur diejenigen Personen, die mit den entsprechenden technischen Wartungsaufgaben betraut sind, sollten Zutritt zu dem Technikraum, in dem die TK-Anlage aufgestellt ist, erhalten.

Betrieb

Die Administrationsarbeiten an der TK-Anlage sollten nach Möglichkeit protokolliert werden, um nachvollziehen zu können, ob sicherheitsrelevante Einstellungen verändert wurden, siehe M 4.5 Protokollierung bei TK-Anlagen . Bei hohen Sicherheitsanforderungen an den Betrieb der TK-Anlage ist eine regelmäßige Revision der Konfigurationseinstellungen erforderlich (siehe M 4.6 Revision der TK-Anlagenkonfiguration ). Da die Sicherheit häufig durch die ungeeignete Bedienung der Endgeräte durch die Benutzer unterlaufen wird, sollten die Mitarbeiter in die korrekte Nutzung eingewiesen und regelmäßig für mögliche Gefährdungen sensibilisiert werden (siehe M 3.82 Schulung zur sicheren Nutzung von TK-Anlagen ).

Notfallvorsorge

Es müssen geeignete Maßnahmen zur Notfallvorsorge für die TK-Anlage getroffen werden. Zusätzlich sind ihre Konfigurationsdaten regelmäßig zu sichern, um die Anlage nach einem eventuellen Ausfall schnell wieder hochfahren und korrekt konfigurieren zu können (siehe M 6.145 Notfallvorsorge für TK-Anlagen ).

Nachfolgend wird das Maßnahmenbündel für den Bereich "TK-Anlage" vorgestellt:

Planung und Konzeption

M 2.27 (Z) Wartung einer TK-Anlage
M 2.470 (A) Durchführung einer Anforderungsanalyse für TK-Anlagen
M 2.471 (A) Planung des Einsatzes von TK-Anlagen
M 2.472 (A) Erstellung einer Sicherheitsrichtlinie für TK-Anlagen
M 2.473 (A) Auswahl von TK-Diensteanbietern

Beschaffung

M 2.105 (W) Beschaffung von TK-Anlagen

Umsetzung

M 4.7 (A) Änderung voreingestellter Passwörter
M 4.10 (C) Schutz der TK-Endgeräte
M 4.11 (B) Absicherung der TK-Anlagen-Schnittstellen
M 4.369 (C) Sicherer Betrieb eines Anrufbeantworters
M 5.14 (A) Absicherung interner Remote-Zugänge von TK-Anlagen
M 5.15 (A) Absicherung externer Remote-Zugänge von TK-Anlagen

Betrieb

M 3.82 (B) Schulung zur sicheren Nutzung von TK-Anlagen
M 4.5 (B) Protokollierung bei TK-Anlagen
M 4.6 (C) Revision der TK-Anlagenkonfiguration

Aussonderung

M 2.474 (B) Sichere Außerbetriebnahme von TK-Komponenten

Notfallvorsorge

M 6.26 (B) Regelmäßige Datensicherung der TK-Anlagen-Konfigurationsdaten
M 6.145 (C) Notfallvorsorge für TK-Anlagen

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK