12 www.net-im-web.de 12/25 KOMMUNIKATIONSMANAGEMENT Cybersicherheit und IP-Telefonie Ein genauerer Blick lohnt sich Bernhard Reimann Obgleich man der IP-Telefonie häufig eher wenig Aufmerksamkeit bei Absicherungsmaßnahmen zollt, ist und bleibt die Sicherheit von IP-Telefonen und TelefoniePlattformen eine Daueraufgabe. Denn auch hier können potenzielle Schwachstellen als Einfallstore ausgenutzt werden. Bernhard Reimann ist Chefredakteur der NET Heute wird nahezu jeder Hardware- und SoftwareHersteller regelmäßig mit Sicherheitsmeldungen konfrontiert. Die Bedrohungslage verändert sich dabei stetig: Kriminelle Akteure sind zunehmend organisierter und besser ausgerüstet – und damit immer unberechenbarer. Mit einer klaren Produktentwicklungs- und Wartungsstrategie dagegenzusteuern, ist bei Snom daher schon seit Anbeginn eine Daueraufgabe. „Sicherheit ist kein Zustand, sondern eine Praxis“, meint dazu Mark Wiegleb, VP Products bei Snom. „Jede Zeile Code, jede Web-Oberfläche und jedes Provisioning-Interface muss als potenzielle Angriffsfläche bewertet und geschützt werden. Ein Ausruhen auf erreichten Zielen gibt es in diesem Bereich nicht.“ Typische Schwachstellen Dabei fährt Snom sozusagen zweigleisig: Man setzt auf die eigenen Erfahrungen, aber auch auf das Feedback von Technologie- und Fachhandelspartnern. Die Mehrzahl dieser Schwachstellen entfällt auf Web-Oberflächen, Authentifizierungs- und Provisioning-Prozesse – also genau jene Schnittstellen, die einen großen Komfort für Administratoren ausmachen, aber gleichzeitig zum potenziellen Einfallstor für Angriffe werden können. Die Sicherheitslücken selbst sind selten spektakulär, doch sie wiederholen sich – und genau darin liegt die eigentliche Herausforderung für Hersteller und Installateure, welche diesem Problem entgegenwirken wollen. Die relevantesten Angriffstypen Drei Bedrohungstypen für die Telefone selbst sind – im Gegensatz zu PBX- oder Telefonie-Managementsystemen, bei denen andere Szenarien greifen – besonders hervorzuheben. Cross-Site-Scripting (XSS) Die in IP-Telefonen integrierten Web-Oberflächen zur Konfiguration der Endgeräte bieten Komfort, aber auch Angriffsfläche. Unzureichend validierte Eingaben können Sicherheitslücken sind selten spektakulär, doch sie wiederholen sich. Darin liegt die eigentliche Herausforderung für Hersteller und Installateure, welche diesem Problem entgegenwirken müssen (Foto: Luis Wilker, Pixabay)
RkJQdWJsaXNoZXIy MjE2Mzk=