13 www.net-im-web.de 12/25 dazu führen, dass JavaScript-Code im Kontext einer aktiven Sitzung ausgeführt wird. Angreifer erhalten dadurch die Möglichkeit, administrative Befehle auszuführen oder Konfigurationen zu manipulieren. Diesen Risiken kann man mit strenger Eingabevalidierung, klarer Trennung von Benutzer- und Administratorrechten sowie regelmäßigen Firmware-Updates begegnen. Je konsequenter diese Prinzipien umgesetzt werden, desto geringer ist die Wahrscheinlichkeit, dass eine solche Lücke entsteht bzw. als Schwachstelle ausgenutzt werden kann. Privilege -Escalation Viele Angriffe zielen darauf ab, über vorhandene Schwachstellen höhere Rechte zu erlangen. Wird einem Benutzerkonto, vielleicht sogar dem eines ausgeschiedenen Mitarbeitenden, durch unzureichende Rechteprüfung ungewollt Administratorstatus gewährt, können sicherheitsrelevante Einstellungen wie TLS-Konfigurationen oder Verschlüsselungsrichtlinien verändert werden. Das stellt die gesamte Sicherheitsarchitektur infrage. Deshalb sollte dem konsequenten und stets aktuellen Rechtemanagement eine hohe Priorität eingeräumt werden. Provisioning-Injection Die Provisionierung ist ein zentraler Mechanismus der IP-Telefonie. Wenn Eingaben in diesem Prozess nicht korrekt validiert werden, lassen sich Parameter leicht manipulieren oder Rufumleitungen aktivieren. Wird dieser Prozess durch TLS mit gegenseitiger Authentifizierung und individuellen Zertifikaten pro Gerät geschützt, stellt man sicher, dass weder Server noch Endgeräte unautorisiert nachgeahmt werden können. „Provisionierung bedeutet zwar Komfort, aber leider auch einen potenziellen Angriffspunkt“, sagt Wiegleb. „Die Erfahrung zeigt, dass Sicherheit und Benutzerfreundlichkeit kein Widerspruch sein müssen – doch sie erfordern Disziplin in der Umsetzung.“ Sicherheit als Produktphilosophie IP-Telefone sind längst keine einfachen Endgeräte mehr, sondern kleine, spezialisierte Computer mit eigenem Betriebssystem, Netzwerk-Stack und Webserver. Deshalb ist eine kontinuierliche FirmwarePflege unverzichtbar: Sie sorgt nicht nur für neue Funktionen, sondern schließt Sicherheitslücken, die in der zugrunde liegenden Software-Plattform entstehen können. Regelmäßige Updates sind somit kein Komfortthema, sondern Teil der digitalen Hygiene. Das impliziert allerdings auch, dass Anwender ihre Geräte immer dann austauschen müssten, wenn ein Firmware-Update nicht mehr möglich ist. Das gilt für IP-Telefone genauso wie für PCs und Smartphones. Ist die Hardware veraltet, kann ein vollumfänglicher Schutz nicht mehr gewährleistet werden. Eine HardwareErneuerung ist besser, als das Unternehmen einem Sicherheitsrisiko auszusetzen. Die Erfahrungen der letzten Jahre zeigen, dass Sicherheit nicht ausschließlich durch Technologie entsteht, sondern durch die Kombination aus Prozessdisziplin, Architektur und Nutzerverantwortung. Das bedeutet, die IP-Telefonie in Sicherheitsaudits aufzunehmen, die WebOberflächen der Telefone und Provisionierungstools niemals ungeschützt aus dem Internet erreichbar zu machen sowie alle Sicherheitsfunktionen des Telefons zu aktivieren. Auch die Segmentierung von Kommunikationsnetzen und die Verschlüsselung sämtlicher Provisioning- und Signalisierungsverbindungen bleiben unverzichtbare Bestandteile eines modernen Sicherheitskonzepts. Hersteller, die langfristig sichere Lösungen anbieten wollen, müssen weiter investieren – in Penetrationstests, eine Trennung von Rollen und Rechten, eine Verschlüsselung und in die harte, manchmal undankbare Arbeit der Code-Überprüfung bei jeder neuen Firmware. Letztere muss zum Teil auch innerhalb kurzer Zeitspannen überarbeitet und ergänzt werden. „Unsere Aufgabe besteht darin, Kommunikationssicherheit auf GeräteEbene sicherzustellen“, fasst Wiegleb zusammen. „Sichere Software ist keine einmalige Leistung, sondern ein fortlaufender Dialog mit neuen Technologien und Angreifern. Ständige Wachsamkeit und Überprüfung der Entwicklungsarbeit sind nicht unser Slogan, sondern unser Werkzeug. Kommunikation ist die Lebensader moderner Unternehmen – und Sicherheit ist ihr Sauerstoff.“ www.snom.com Cybersicherheit und IP-Telefonie Sichere Software ist keine einmalige Leistung, sondern ein fortlaufender Dialog mit neuen Technologien und Angreifern. Ständige Wachsamkeit und Überprüfung der Entwicklungsarbeit stehen bei Snom daher an oberster Stelle (Foto: Snom)
RkJQdWJsaXNoZXIy MjE2Mzk=