Bundesamt für Sicherheit in der Informationstechnik

M 3.56 Schulung der Administratoren für die Nutzung von VoIP

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Telefonie stellt unabhängig von der TK-Anlage zugrunde liegenden Technologie die Kommunikationsbasis der Organisation dar. Deswegen ist es unerlässlich, dass die Administratoren ausreichend geschult sind, damit sie in der Lage sind, die benötigten Funktionen und Sicherheitsmerkmale optimal zu nutzen.

In den Schulungen sollten ausreichende Kenntnisse zu den für die Einrichtung und den Betrieb der VoIP-Komponenten notwendigen Vorgehensweisen, Werkzeugen und Techniken vermittelt werden. Dies gilt auch für herstellerspezifische Aspekte einzelner Produkte, die als VoIP-Komponenten eingesetzt werden.

Für den effizienten Einsatz von VoIP werden ausführliche Kenntnisse über Netze benötigt. Diese müssen ebenfalls in der Schulung vermittelt werden. Oft werden die VoIP-Komponenten auf Standard-IT-Systemen mit eigenständigem Betriebssystem eingesetzt. Hinweise zu diesem Schulungsbestandteil sind in den jeweiligen IT-Grundschutz-Bausteinen zu den Betriebssystemen zu finden.

Im Allgemeinen sollten in den entsprechenden Schulungen mindestens folgende Elemente enthalten sein:

  • Grundlagen zu VoIP - Kompression und Übertragung von Sprachnachrichten mit möglichen Auswirkungen wie Jitter, Delay und Echo
  • Grundlagen der eingesetzten Protokolle der Anwendungsschicht (beispielsweise RTP, SIP und H 3.23)
  • Administration
    • Sicherheitsrelevante Grundlagen und Konzepte der Administration, Kenntnisse der Kommandos zu Einrichtung, Betrieb, Wartung und Fehlersuche für jede VoIP-Komponente. Eine Schulung sollte eine ausgewogene Mischung aus Theorie und Praxis darstellen.
    • Kenntnisse über die Administration der IT-Systeme, auf denen die VoIP-Komponenten betrieben werden sollen.
    • Überblick über relevante rechtliche Aspekte beim VoIP-Betrieb wie z. B. Datenschutz
    • Management der Geräte, Werkzeuge
    • Protokollierung
    • Sicherung und Verwaltung von Konfigurationsdaten
    • Angriffsszenarien (z. B. Denial of Service Angriffe, ARP -Spoofing, IP-Spoofing, DNS -Spoofing, Viren und andere Schadsoftware)
    • Grundlagen zum Thema Virtuelle Private Netze (VPN)
    • Grundlagen zum Umgang mit verschlüsselten Daten (Verschlüsselung z. B. mit SRTP oder IPSec) und Möglichkeiten zur Behandlung verschlüsselter Daten
  • Netztechnik
    • Grundlagen der Strukturierung von Netzen und Dienstgüte
    • Grundlagen von IP und der darauf aufbauender Protokolle (IP-Adressierung, ICMP, TCP, UDP)
    • Virtuelle Netzsegmentierung (VLAN)
  • Fehlerbehebung
    • Fehlerquellen und Ursachen
    • Mess- und Analysewerkzeuge, Werkzeuge zur automatischen Überprüfung der einzelnen Komponenten des Sicherheitsgateways auf korrekte Funktion
    • Teststrategien zur Fehlersuche

Auch wenn in einer Gruppe von Administratoren die Aufgaben verteilt sind, ist es unverzichtbar, dass alle Administratoren ein allgemeines Grundwissen besitzen. Die individuellen Schwerpunkte können davon ausgehend gezielt ausgebaut und gepflegt werden. Zu vielen Produkten gibt es von den Herstellern oder spezialisierten Anbietern ein umfangreiches Angebot an aufeinander aufbauenden und individuell vertiefenden Seminaren. Das Angebot an qualifizierten Schulungen stellt ebenfalls ein Kriterium dar, das bei der Entscheidung für einen bestimmten Hersteller berücksichtigt werden sollte.

Für Schulungsmaßnahmen sollte bereits bei der Beschaffung von IT-Komponenten ein ausreichendes Budget eingeplant und ein Schulungsplan für alle Administratoren erstellt werden.

Prüffragen:

  • Verfügen die verantwortlichen Administratoren über ausreichendes Fachwissen im Bereich VoIP?

Stand: 13. EL Stand 2013