Bundesamt für Sicherheit in der Informationstechnik

M 2.373 Erstellung einer Sicherheitsrichtlinie für VoIP

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Bei der Telefonie werden hohe Erwartungen in deren Verfügbarkeit gesetzt. Ebenso wichtig ist aber deren Vertraulichkeit. Daher ist der sichere und ordnungsgemäße Betrieb von Telekommunikationseinrichtungen besonders wichtig. Dieser kann nur sichergestellt werden, wenn das Vorgehen in die bestehenden sicherheitstechnischen Vorgaben integriert ist.

Die zentralen sicherheitstechnischen Anforderungen an VoIP sowie das zu erreichende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie. Sie sollten in einer spezifischen Sicherheitsrichtlinie für VoIP formuliert werden, um die übergeordnete und allgemein formulierte Sicherheitsleitlinie zu konkretisieren und umzusetzen. In diesem Zusammenhang ist zu prüfen, ob neben der organisationsweiten Sicherheitsleitlinie weitere übergeordnete Vorgaben wie beispielsweise IT-Richtlinien, Passwortrichtlinien, Richtlinien zu den IT-Systemen, auf denen die VoIP-Komponenten betrieben werden, oder Vorgaben zur Internetnutzung zu berücksichtigen sind.

Die VoIP-Sicherheitsrichtlinie muss allen Personen und Gruppen, die an Planung, Beschaffung und Betrieb der VoIP-Komponenten beteiligt sind, bekannt und Grundlage für deren Arbeit sein. Wie bei allen Richtlinien sind ihre Inhalte und ihre Umsetzung im Rahmen einer übergeordneten Revision regelmäßig zu prüfen.

Die Sicherheitsrichtlinie sollte zunächst das generell zu erreichende Sicherheitsniveau spezifizieren und grundlegende Aussagen zum Betrieb von VoIP treffen. Nachfolgend sind einige Punkte aufgeführt, die berücksichtigt werden sollten.

Allgemeine Regelungen für die VoIP-Nutzung

Alle VoIP-Benutzer sollten über potentielle Risiken und Probleme bei der VoIP-Nutzung sowie über den Nutzen, aber auch die Grenzen der eingesetzten Sicherheitsmaßnahmen aufgeklärt sein.

Da für die VoIP-Komponenten immer wieder neue Sicherheitslücken offen gelegt werden, sollte sich der IT-Sicherheitsbeauftragte regelmäßig über aktuelle Risiken informieren. Gegebenenfalls ist es angebracht, die Mitarbeiter regelmäßig über die neu bekannt gewordenen Gefahren zu informieren und damit auch zu sensibilisieren.

Bei der Erstellung einer Sicherheitsrichtlinie ist es empfehlenswert, so vorzugehen, dass zunächst ein Maximum an Forderungen und Vorgaben für die Sicherheit der Systeme aufgestellt wird. Diese sollten anschließend zwischen allen Beteiligten abgestimmt werden und auf Machbarkeit überprüft werden. Idealerweise wird so erreicht, dass alle notwendigen Aspekte berücksichtigt werden. Für jede im zweiten Schritt verworfene oder abgeschwächte Vorgabe sollte der Grund für die Nicht-Berücksichtigung dokumentiert werden.

In der Sicherheitsrichtlinie muss klar geregelt sein,

  • ob und wo VoIP-Komponenten eingesetzt werden dürfen,
  • unter welchen technischen Einsatzbedingungen VoIP eingesetzt wird. Hierzu gehören vor allem die Festlegung von Sicherheitsmaßnahmen, die Auswahl und Installation der erforderlichen Sicherheitshard- und -software sowie Vorgaben für die sichere Konfiguration der betroffenen IT-Systeme,
  • welche Informationen nicht über VoIP kommuniziert werden dürfen und
  • welche Leistungsmerkmale und Funktionen unterstützt werden sollen.

Mitarbeiter müssen darüber informiert sein, unter welchen Bedingungen sie VoIP außerhalb der eigenen Institution benutzen dürfen, da hier unter Umständen andere Sicherheitsregelungen gelten.

VoIP-Middleware

Für den Betrieb von VoIP-Middleware muss unter anderem folgendes geregelt werden:

  • Die Vorgaben für Beschaffung von Geräten anhand eines Anforderungsprofils (siehe auch M 2.375 Geeignete Auswahl von VoIP-Systemen ) müssen erstellt werden.
  • Es müssen Regelungen für die Arbeit der Administratoren und Revisoren getroffen werden. Folgende Fragen sollten hierfür beantwortet werden:
    • Über welche Zugangswege dürfen Administratoren und Revisoren auf die Systeme zugreifen (beispielsweise nur lokal an der Konsole, über ein eigenes Administrationsnetz oder über verschlüsselte Verbindungen)?
    • Welche Vorgänge müssen dokumentiert werden? In welcher Form wird die Dokumentation erstellt und gepflegt?
    • Gilt für bestimmte Änderungen das Vier-Augen-Prinzip?
    • Kann der Aufgabenbereich des Administrators für die IT-Systeme von dem Verantwortlichen für die VoIP-Applikation getrennt werden?
  • Die Verantwortlichkeiten müssen festgelegt und geregelt werden.
  • Vorgaben für die Installation und Konfiguration müssen festgelegt und dokumentiert werden, wie
    • das Vorgehen bei der Erstinstallation,
    • die Überprüfung der Default-Einstellungen hinsichtlich ihrer Sicherheitsgefährdungen und
    • die Verwendung und Konfiguration
  • Eine Benutzer- und Rollenverwaltung muss eingeführt, beziehungsweise erweitert werden. Hierzu gehören:
    • Regelungen zur Benutzer- und Rollenverwaltung, Berechtigungsstrukturen (Ablauf und Methoden der Authentisierung und Autorisierung, Berechtigungen für Installation, Updates, Konfigurationsänderungen etc.),
    • ein Rollenkonzept für die Administration und
    • eine Konzeption der Benutzerverwaltung. Die Benutzer müssen angelegt und Telefonnummern zugewiesen werden. Den Benutzern können bestimmte Privilegien, wie der Möglichkeit kostenpflichtige Servicenummern anzurufen, zuwiesen werden.
  • Ein sicherer Betrieb erfordert Regelungen
    • zur Erstellung und Pflege von Dokumentation, Form und Umfang der Dokumentation, z. B. Verfahrensanweisungen, Betriebshandbücher,
    • dazu, welche Dienste und Protokolle zugelassen bzw. nicht zugelassen werden,
    • zu den erlaubten Kommunikationsverbindungen, wie zum Beispiel sollte ein direkter Verbindungsaufbau von internen VoIP-Systemen in öffentliche Netzen vermieden werden,
    • für die Durchführung von Softwareaktualisierungen und
    • zu den Vorgaben in der Sicherheitsrichtlinie der IT-Systeme, auf denen die VoIP-Middleware betrieben wird.
  • Die Vorgaben für den sicheren Betrieb sollten Informationen dazu beinhalten, wie
    • die Administration abzusichern ist (beispielsweise sollte ein Administrationszugriff nur über abgesicherte Verbindungen erfolgen),
    • verschlüsselnde Signalisierungs- und Medientransport-Protokollen einzusetzen sind,
    • welche Werkzeuge für Betrieb und Wartung einzusetzen sind,
    • Berechtigungen zu vergeben sind und welche Vorgehensweisen bei Software-Updates und Konfigurationsänderungen zu beachten sind und
    • welche Sicherheitsmaßnahmen auf dem Betriebssystem umzusetzen sind, auf dem die Middleware betrieben wird.
  • Für die Protokollierung ist zu entscheiden,
    • welche Ereignisse protokolliert,
    • wo die Protokolldateien gespeichert und
    • wie und in welchen Abständen die Protokolle ausgewertet werden sollen.
  • Für die Datensicherung und Wiederherstellung bei VoIP-Komponenten muss das organisationsweite Datensicherungskonzept erweitert werden.
  • Es müssen Regelungen für die Reaktion auf Betriebsstörungen, technische Fehler (lokaler Support, Fernwartung) und Sicherheitsvorfälle getroffen werden.

VoIP-Endgeräte

Im Folgenden werden Vorgaben für den Betrieb von VoIP-Endgeräten vorgestellt, die in der Sicherheitsrichtlinie ergänzt werden sollten.

  • Es müssen Vorgaben für Beschaffung von Geräten anhand eines Anforderungsprofils gemacht werden.
  • Es müssen Regelungen für die Arbeit der Administratoren und Revisoren getroffen werden. Ein Beispiel hierfür wäre die Trennung der Administration des einzusetzenden Softphones von der Administration des IT-Systems.
  • Vorgaben für die Installation und Konfiguration müssen in der Sicherheitsrichtlinie aufgenommen werden. Hierzu sollten folgende Fragen beantwortet werden:
    • Ist eine Konfiguration bei der Auslieferung der Hardphones ausreichend oder soll im Betrieb eine Konfiguration möglich sein?
    • Wie werden bei einer hohen Anzahl von Endgeräten die Änderungen der Konfiguration im Betrieb durchgeführt?
    • Über welche Zugangswege dürfen Administratoren auf die Endgeräte zugreifen?
    • Welche Arten von Konfigurationen der Leistungsmerkmale, wie beispielsweise Weiterleitungen, dürfen die Benutzer durchführen?
  • Vorgaben für den sicheren Betrieb spielen eine wichtige Rolle. Hierzu gehören
    • die Absicherung der Administration (beispielsweise Zugriff nur über abgesicherte Verbindungen),
    • der Einsatz von verschlüsselnden Signalisierungs- und Medientransport-Protokollen,
    • Werkzeuge für Betrieb und Wartung, Integration in ein bestehendes Netzmanagement,
    • Berechtigungen und Vorgehensweisen bei Software-Updates und Konfigurationsänderungen,
    • Vorgaben für Maßnahmen bei der Abwesenheit des Benutzers, wie beispielsweise Rufumleitungen und Sperren des Telefons und
    • der sichere Betrieb des Betriebssystems, auf dem ein Softphone betrieben wird.
    • Für die Notfallvorsorge müssen in der Sicherheitsrichtlinie Regelungen für die Bereitstellung von alternativen Kommunikationswegen aufgenommen werden.

Die Verantwortung für die Umsetzung der VoIP-Sicherheitsrichtlinie liegt beim IT-Betrieb, Änderungen und Abweichungen hiervon dürfen nur in Abstimmung mit dem IT-Sicherheitsbeauftragten erfolgen.

Prüffragen:

  • Existiert für den Bereich VoIP eine Sicherheitsrichtlinie, in der allgemeine sicherheitstechnische Vorgaben konkretisiert werden?

  • Werden in der VoIP -Richtlinie Vorgaben für den Betrieb und die Nutzung von VoIP Komponenten geregelt?

  • Ist die VoIP -Sicherheitsrichtlinie allen beteiligten Personen und Gruppen zugänglich und bekannt?

Stand: 13. EL Stand 2013