06.02.12 | Autor / Redakteur: Eddy Gordon / Andreas Donner
Mit Unified Communications und Voice over IP halten Techniken in Unternehmen Einzug, die bis dato separate und gut geschützte Services und Dienste auf IP-Basis zusammenführen. Damit wird die bisher sichere Kommunikation anfällig für alle aus dem Netzwerkbereich bekannten Risiken. Zeit also, sich intensiv mit dem Thema Sicherheit bei VoIP und UCC zu beschäftigen.
Lösungsanbieter sind mit den Vorteilen IP-basierten Contact Center und Unified-Communication-Lösungen (UC) bestens vertraut. Sie können einer größeren Anzahl Kunden mehr Services und ein einzigartiges Media-Erlebnis anbieten. Die heutigen modernen Funktionen enthalten jedoch oft eine Reihe neuer Sicherheitslücken. Davon nicht ausgenommen sind Services, die zuvor als unantastbar galten. IP-Netzwerke weisen zahlreiche Expositionspunkte auf, die Attacken auf das Netzwerk eine Angriffsfläche bieten. Unternehmen müssen wissen, wo die Sicherheitslücken liegen, um ihre Lösungen besser zu schützen.
Ein Bereich, der noch immer häufig übersehen wird, ist der der Sprachdienste. Gruppen, die versuchen, Identitäten zu stehlen, können sich in Contact Center hacken und DTMF-Ziffern-Signalisierungen (Dual-Tone Multi-Frequency) stehlen, die in Telefon-Banking- oder andere automatisierte Services eingegeben werden. Hacker, die daran interessiert sind, E-Mail-Nachrichten zu lesen, zeigen zunehmend mehr Interesse am Abhören von Telefongesprächen einer Organisation. Geht man noch einen Schritt weiter, können sie sich Zugang auf Agentengespräche verschaffen, um sekundäre Validierungsinformationen abzuhören.
Wenn es das Ziel ist, den Ruf einer Organisation zu schädigen oder Umsatzverluste zu verursachen, können Hacker ein Unternehmen mit gefälschtem Datenverkehr überfluten, was zur Folge hat, dass Kundenanrufe unbeantwortet bleiben. Natürlich gibt es auch immer wieder Gruppen, die versuchen, Services zu hijacken und kostenlose internationale Gespräche auf Kosten anderer zu tätigen.
Die Wahrheit ist, dass in der IP-Welt Voice-Systeme den gleichen Bedrohungen wie Datensysteme ausgesetzt und im gleichen Maße anfällig sind.
Neben einer Sicherheitsstrategie, die Verfahren beinhaltet, in denen Mitarbeiter regelmäßig geschult werden, ist der beste Weg bei der Risikobewertung, einen Angriff zu simulieren und die Reaktion des Systems zu untersuchen, das heißt schädlichen Datenverkehr – gefälschte Anrufe, falsch formatierte Nachrichten, Spoofing – zu emulieren und das System damit zu bombardieren.
Dies bietet ebenfalls eine ideale Gelegenheit um festzustellen, ob Sicherheitsrichtlinien während eines Angriffs befolgt werden, zum Beispiel ob die Alarmsysteme greifen, ob die richtigen Personen benachrichtigt werden und ob diese die korrekten Schritte ausführen.
Bei einem umfassenden Sicherheitslückentest wird ebenfalls sichergestellt, dass gültiger Datenverkehr nicht betroffen ist. Hierbei wird beispielsweise untersucht, ob Kundenanrufe durchkommen und ob sich die Sprachqualität verschlechtert. Ohne diese Art von Tests können Unternehmen unter Umständen nicht den Unterschied zwischen einem Angriff und Interoperabilitätsproblemen oder sporadischen Sprachqualitätsproblemen erkennen. Ein vollständiges Programm zur Bewertung der Sicherheitslücken von Voice-Systemen sollte die folgenden Tests umfassen:
SIP-Anrufe gelten als vor Angriffen sicher, wenn sie mit minimaler Latenz durchgeführt werden können und RTP-Medien mit nur wenig oder gar keiner Verschlechterung erfolgreich austauschen können. Es ist wichtig, Baseline-Tests vor der Ausführung des Plans durchzuführen, um Benchmarks zum Vergleich zu erhalten, da diese Kennzahlen helfen, die Auswirkungen auf die Kunden (Abschluss und Erfolgsquoten des Anrufs, Sprachqualität, Jitter, Latenz) zu bestimmen. Die Sicherheitslückentests sollten für maximale Sicherheit sowohl unter Last- als auch Überlastbedingungen durchgeführt werden.
Heutzutage wird eine erstaunliche Anzahl von Sicherheitsverletzungen in einem breiten Spektrum von Organisationen gemeldet. Um sicherzustellen, dass Ihre Organisation nicht dazugehört, sollten Sie SBC- und Edge-Gerätetest-Services als wichtigen Teil einer Netzwerk-Readiness-Bewertung erwägen.
Bei IP-basierten UC- und Contact Center-Projekten sollten Organisationen einen methodischen Ansatz bei den Tests vor der Bereitstellung verwenden und die einzelnen Technologieschichten nacheinander (Grundelemente, IVR, Routing, CRM, Präsenz, usw.) bewerten.
Nachdem die Performance und die Funktionalität der Lösung validiert wurden, kann der Lösungsanbieter hinsichtlich Sicherheitsbedrohungen testen. Dieser Ansatz folgt nicht nur Best-Practice-Methoden, sondern ermöglicht es Unternehmen ebenfalls, die bisher geleistete Skriptentwicklungsarbeit zu nutzen, um diese Testpläne für spezifische IVR-, Routing -oder Anwendungsinteraktionen anzupassen. Best-Practice-Methoden empfehlen automatisierte, wiederholbare Testlösungen um sicherzustellen, dass alle erkannten Probleme vollständig korrigiert werden.
Die Sicherheitslückenbewertung ist ein wichtiger Service, den VARs und andere Lösungsanbieter ihren Kunden anbieten können. Der ROI ist nicht berechenbar, aber die Kosten einer Sicherheitsverletzung können sowohl in Bezug auf den Gewinn als auch die Gunst der Kunden extrem hoch sein. IP-Netzwerke entwickeln sich ständig weiter und Organisationen sollten eine Sicherheitslückenanalyse als Teil jedes neuen Technologieprojekts oder als kontinuierlichen Service betrachten.
Neue Patches, Upgrades, Server und Lösungen werden fast täglich bereitgestellt. Diese Änderungen können leicht unbekannte Sicherheitslücken verursachen. Kontinuierliche SBC- und Edge-Geräte-Tests sind die beste Methode zum Schutz eines Unternehmens vor Attacken.
Eddy Gordon ist Director of Product Management, Test Solutions, beiEmpirix.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 31574590)
