Bundesamt für Sicherheit in der Informationstechnik

M 2.377 Sichere Außerbetriebnahme von VoIP-Komponenten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Sollen VoIP-Komponenten, beispielsweise Endgeräte oder Middleware, außer Betrieb genommen oder ersetzt werden, so müssen von den Geräten alle sicherheitsrelevanten Informationen gelöscht werden. Dies gilt nicht nur, wenn Geräte an Hersteller, Service-Unternehmen, Entsorgungsunternehmen oder sonstige Dritte weitergegeben werden. Auch bei Verschrottung, Umzug oder Weitergabe an andere Benutzer müssen entsprechende Maßnahmen ergriffen werden. Neben der endgültigen Außerbetriebnahme betrifft dies insbesondere auch Reparaturen, Wartung und Garantieaustausch.

In vielen Fällen ist es erforderlich, frühzeitig mit Herstellern, Händlern beziehungsweise Service-Unternehmen zu klären, welche Maßnahmen zur Löschung sicherheitsrelevanter Informationen mit den Vertrags- und Garantiebedingungen vereinbar sind. Oft können hier gemeinsam sinnvolle Vorgehensweisen festgelegt werden.

Je nach Einsatzzweck der Komponenten können beispielsweise folgende Informationen auf den Geräten gespeichert sein:

  • Auflistungen, wer mit wem telefoniert hat,
  • Zeitpunkt und Dauer der Anrufe,
  • Benutzernamen und Passwörter für die Anmeldung an der VoIP-Infrastruktur,
  • Rechte und Privilegien der einzelnen Benutzer,
  • E-Mail-Adressen der einzelnen Benutzer für Voice-Mails,
  • Ansagen für den Anrufbeantworter,
  • hinterlassene Nachrichten für die Benutzer,
  • IP-Adressen und weitere Informationen, die auf den Netzaufbau schließen lassen,
  • Protokolldateien,
  • Zertifikate und Schlüssel,
  • Konfigurationsdateien,
  • persönliche Telefonbücher,
  • organisationsweite Telefonverzeichnisse mit allen Mitarbeitern,
  • Passwörter, um private Gespräche abzurechnen,
  • Informationen über weitere Dienste für die Benutzer, wie Terminerinnerungen und
  • in Ausnahmefällen die vollständige Aufzeichnung der eigentlichen Telefongespräche.

Aufgrund des Schutzbedarfs dieser Informationen ist darauf zu achten, dass die Daten gelöscht beziehungsweise unlesbar gemacht werden, bevor defekte oder veraltete Geräte außer Betrieb genommen oder ausgetauscht werden. Nach dem Löschen der Daten muss überprüft werden, ob das Löschen auch erfolgreich war. Die Vorgehensweise hängt dabei stark von der Art und vom Verwendungszweck des Gerätes ab.

Bei "normalen" Rechnern, die als VoIP-Komponenten eingesetzt waren, sollten die Festplatten mit einem geeigneten Tool so gelöscht werden, dass keine Wiederherstellung der Dateien mehr möglich ist. Die kann beispielsweise dadurch geschehen, dass der Rechner von einem externen Boot-Medium gestartet wird und die Festplatten mit Zufallsdaten überschrieben werden. Dabei ist es empfehlenswert, den Überschreibvorgang mehrfach zu wiederholen.

Bei Appliances hängt die Vorgehensweise davon ab, ob in dem Gerät eine Festplatte eingebaut ist oder ob die Daten in einem nichtflüchtigen Speicher gespeichert werden. Oft bieten die Geräte eine "Factory-Reset" Option, mit der sämtliche Konfigurationseinstellungen auf die Werte des Auslieferungszustands zurückgesetzt werden können. Auch nach dem Ausführen eines "Factory-Reset" sollte überprüft werden, ob die Daten wirklich gelöscht beziehungsweise zurückgesetzt wurden oder ob bestimmte Daten oder Dateien noch vorhanden sind.

Neben den Informationen, die auf dem Gerät selbst gespeichert sind, sollte auch überprüft werden, ob auf den Backup-Medien sensitive Informationen enthalten sind. Falls es nicht aus anderen Gründen (beispielsweise Archivierung, Aufbewahrungspflicht aufgrund gesetzlicher Regelungen) erforderlich ist, die Backup-Medien aufzubewahren, so sollten die Medien nach der Außerbetriebnahme des Gerätes ebenfalls gelöscht werden.

Oft sind die Komponenten von außen mit Namen auf Schnellwahltasten, IP-Adressen, Telefonnummern oder sonstigen technischen Informationen beschriftet. Auch diese Beschriftungen sollten vor der Entsorgung entfernt werden.

Prüffragen:

  • Existiert im Rahmen der (temporären) Außerbetriebnahme eine Regelung, um die Daten auf den abzuschaltenden IT -Komponenten sicher zu löschen?

  • Existiert im Rahmen der Außerbetriebnahme eine Regelung, um die Datensicherungsmedien der abzuschaltenden IT -Komponenten sicher zu löschen?

Stand: 13. EL Stand 2013