Bundesamt für Sicherheit in der Informationstechnik

M 2.372 Planung des VoIP-Einsatzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Eine grundlegende Voraussetzung für den sicheren Einsatz von VoIP ist eine angemessene Planung im Vorfeld. Die Planung für den Einsatz von VoIP kann in mehreren Schritten nach dem Prinzip des Top-Down-Entwurfs erfolgen: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifische Teilkonzepten festgelegt. Die Planung betrifft dabei nicht nur Aspekte, die klassischerweise mit dem Begriff Sicherheit verknüpft werden, sondern auch normale betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit nach sich ziehen können.

Im Grobkonzept sollten beispielsweise folgende typische Fragestellungen behandelt werden:

  • Soll vollständig oder partiell auf VoIP umgestiegen werden? Soll VoIP nur für die Kommunikation der leitungsvermittelnden TK-Anlagen untereinander eingesetzt?
  • Gibt es besondere Anforderungen an die Verfügbarkeit von VoIP oder an die Vertraulichkeit und Integrität der Telefonate bzw. der Signalisierungsinformationen?
  • Welche Signalisierungs- und Medientransportprotokolle sollen eingesetzt werden?
  • Wie vielen Benutzern soll die Kommunikation über VoIP ermöglicht werden?
  • Wie soll die Anbindung ans öffentliche Telefonnetz erfolgen? Sollen VoIP-basierte Kommunikationsverbindungen direkt aus dem öffentlichen Datennetz gestattet werden?
  • Kann die Sicherheit des vorhandenen LANs durch VoIP beeinträchtigt werden? Ist das vorhandene LAN für die Nutzung von VoIP ausreichend dimensioniert? Müssen Änderungen an der Netzarchitektur vorgenommen werden?

Die folgenden Teilkonzepte sollten bei der Planung des VoIP-Einsatzes berücksichtigt werden:

  • Umfang der Verschlüsselung: Es muss festgelegt werden, was verschlüsselt werden soll. Beispielsweise kann entschieden werden, dass die gesamte Kommunikation im LAN nicht verschlüsselt, aber alle externen Gespräche vor der Einsicht und Manipulation durch Dritter geschützt werden sollen (siehe Maßnahme M 2.374 Umfang der Verschlüsselung von VoIP ). Im Weiterem muss entschieden werden, ob die Multimediadaten und/oder die Signalisierung verschlüsselt werden sollen.
  • Verschlüsselungsmechanismen: Wenn für einzelne Kommunikationsstrecken die Verschlüsselung festgelegt wurde, muss entschieden werden, wie der Schutz integriert werden kann. Die Verschlüsselung kann sowohl
    auf der Anwendungsschicht, wie beispielsweise über H.235 oder SRTP (siehe M 5.134 Sichere Signalisierung bei VoIP und M 5.135 Sicherer Medientransport mit SRTP ), als auch auf tieferen Schichten, wie über SSL/TLS, IPSec oder VPNs, erfolgen.
  • Komponentenauswahl: Um die getroffenen Entscheidungen umsetzen zu können, müssen die einzusetzenden Geräte diese auch unterstützen. Können keine entsprechenden Geräte beschafft werden, weil beispielsweise nicht alle Anforderungen erfüllt werden können, muss die Planung korrigiert werden. Hierdurch entstehende Änderungen müssen mit dem Sicherheitsmanagement abgestimmt und dokumentiert werden.
  • Notfallvorsorge: Nicht nur für die Geschäftsprozesse ist die Verfügbarkeit der Telefonie eine wichtige Voraussetzung. Bei einem Ausfall der Telefonie kann keine Hilfe in Notfällen gerufen werden. Daher müssen entsprechende Vorkehrungen getroffen werden. Weitere Informationen hierzu sind in der Maßnahme M 6.100 Erstellung eines Notfallplans für den Ausfall von VoIP zu finden.
  • Netztrennung: In einigen Fällen kann die logische oder physikalische Trennung des VoIP-Netzes vom Datennetz sinnvoll sein (siehe Maßnahme M 2.376 Trennung des Daten- und VoIP-Netzes ). In der Planungsphase ist zu entscheiden, ob eine Segmentierung notwendig ist.
  • Leistungsmerkmale: Sehr oft bieten VoIP-Komponenten zusätzliche Leistungsmerkmale. Diese können den Betrieb einer zusätzlichen Middleware-Komponente erfordern oder besitzen andere sicherheitsrelevante Nachteile. Zu den sicherheitskritischen Leistungsmerkmalen gehören beispielsweise das Aufschalten auf ein bestehendes Gespräch, Raumüberwachungsfunktionen und das Wechselsprechen. Während der Planung ist zu entscheiden, welche Leistungsmerkmale verwendet werden soll.
  • Administration und Konfiguration: Es ist frühzeitig festzulegen, wer die Administration und Konfiguration vornehmen soll. Hierfür sollte ein für VoIP zuständiger Administrator benannt werden. Im weiterem ist zu entscheiden, wie die Administration erfolgen soll (siehe M 4.287 Sichere Administration der VoIP-Middleware und M 4.288 Sichere Administration von VoIP-Endgeräten ).
  • Protokollierung: Die Protokollierung von Meldungen der einzelnen VoIP-Komponenten spielt eine wichtige Rolle, beispielsweise bei der Diagnose und Behebung von Störungen oder bei der Erkennung und Aufklärung von Angriffen. In der Planungsphase sollte entschieden werden, welche Informationen mindestens protokolliert werden sollen und wie lange die Protokolldaten aufbewahrt werden sollen. Außerdem muss festgelegt werden, ob die Protokolldaten lokal auf dem System oder auf einem zentralen Logserver im Netz gespeichert werden sollen.

Alle Entscheidungen, die in der Planungsphase getroffen wurden, müssen so dokumentiert werden, dass sie zu einem späteren Zeitpunkt nachvollzogen werden können. Dabei ist zu beachten, dass diese Informationen meist von anderen Personen als dem Autor ausgewertet werden müssen. Daher ist auf passende Strukturierung und Verständlichkeit zu achten.

Prüffragen:

  • Sind für den VoIP -Einsatz die Anforderungen an die Integrität, Vertraulichkeit und Verfügbarkeit festgelegt?

Stand: 13. EL Stand 2013