Abhören muss aufhören
Von Uli Ries
Kommunikation lässt sich nicht in den Datentresor sperren. Informationstransfer ist immer offen – auch für Unbefugte und böswillige Lauscher. Unified-Communications-Systeme brauchen daher besonders intelligente Schutzmechanismen.
Inzwischen ist es nicht mehr damit getan, Firmennetzwerke durch Firewalls und Virenscanner vor den Gefahren aus dem Netz zu schützen. Diese Mechanismen bewirken rein gar nichts im Kampf gegen die Welle der aktuellen Attacken, da diese sämtlich den Webbrowser als Einfallstor nutzen und so Firewalls locker aushebeln. Die Zeiten der massenhaft verbreiteten Viren und Würmer ist längst vorbei, die Autoren der Schadsoftware (Malware) konzentrieren sich stattdessen auf die Entwicklung von Trojanischen Pferden, die von keinem Virenscanner entdeckt werden.
Das aktuelle Ziel ist der leise, unbemerkte Diebstahl von Informationen, allen voran persönlichen Informationen über Identitäten, Mitarbeiter oder das Unternehmen selbst. Das Ziel ist nicht länger die öffentlich-offensichtliche Schädigung durch Denial-of-Service-Attacken (DoS) auf Web- oder Datenbankserver. Das liegt daran, dass die Motivation hinter den Angriffen sich gänzlich verändert hat: Es geht nicht mehr darum, mit einem spektakulären Angriff in der Öffentlichkeit bekannt zu werden, sondern schlicht um finanzielle Bereicherung. Was bis vor wenigen Jahren noch das Werk von Aufmerksamkeit heischenden PC-Freaks war, wird heute von profitgetriebenen Profis übernommen.
Datenschlüssel, die mitdenken
Was für jedes IT-Konzept gilt, das gilt für eine Unified-Communications-Installation in ganz besonderem Maße. Ein solches System birgt eine gewisse Komplexität, da es unterschiedlich funktionale Bestandteile vereint: VoIP-Telefonanlage, zentrale Steuerungskomponente, E-Mail-Server und viele weitere IT-Systeme, die mit der UC-Lösung eng gekoppelt sind. Es gilt also einerseits, diese Komponenten zu vernetzen – oft auch standortübergreifend –, um die gewünschten Kommunikationsfunktionen zu ermöglichen. Andererseits entstehen gerade durch eine solchermaßen verbundene, vernetzte und in Teilen offene Installation potenzielle Angriffspunkte.
Eine Lösung dieses Dilemmas besteht darin, bereits möglichst viele Sicherheitskomponenten und -intelligenz in die zugrunde liegende Netzwerkinfrastruktur zu packen. So könnten beispielsweise Ethernet-Switches und Router erheblich effizienter zum Aufdecken außergewöhnlicher Datenströme im Netzwerk benutzt werden als eine nachgeschaltete Firewall. Das ist insbesondere in größeren Rechenzentren ein gewichtiges Argument, die einen gewaltigen Aufwand betreiben müssen, um die zahlreichen Einzelkomponenten durch Firewalls zu schützen; jede Einzelkomponente bringt ihre eigenen Krisenszenarien mit. Dasselbe gilt für Unified Communications, da auch hier geografisch verteilte Einzelsysteme geschützt werden müssen. Wenn nun bereits auf Netzwerkebene firewallartige Mechanismen greifen oder spezielle Funktionen DoS-Attacken auf Server verhindern, trägt das erheblich zur Sicherheit der kompletten Architektur bei.
Zudem stellen UC-Lösungen neue Anforderungen an Firewalls. Das zur Sprach- und Videoübertragung unabdingbare RTP (Real Time Protocol) verwendet keinen festen TCP/IP-Port, sondern wählt ihn dynamisch aus. Damit zum einwandfreien Funktionieren von RTP nun nicht wahllos Ports in der Firewall geöffnet werden, muss das Protokoll sie anhand des Paketinhalts erkennen und genau den angeforderten Port dynamisch öffnen und wieder schließen. Noch eine Spur komplizierter wird es beim Protokoll H.323, das bei UC-Installationen ebenfalls zum Einsatz kommt, weil es die Pakete kodiert – im Gegensatz zum im Klartext übertragenden SIP.
Hat die Firewall diese Hürden genommen, steht sie noch vor dem Problem der Echtzeit. Insbesondere VoIP-Datenströme sind anfällig für Verzögerungen. Bereits ab einer Paketlaufzeit (Latenz) von 150 Millisekunden empfinden die Gesprächspartner eine Verschleppung als störend; ab 400 Millisekunden Laufzeit mutiert das Telefonat zur Walkie-Talkie-Unterhaltung. Installierte Sicherheitsmechanismen wie Firewalls oder Verschlüsselungstechniken dürfen die Paketlaufzeit also keinesfalls so sehr verlangsamen, dass die Latenz an diese kritischen Werte heranreicht. Netzwerkperformance ist bei Unified Communications also weit wichtiger als bei klassischer digitaler Kommunikation wie E-Mail oder Instant Messaging.
Sichere VoIP-Verbindungen wählen
Besondere Aufmerksamkeit müssen die Verantwortlichen für Entwicklung und Umsetzung eines Unified-Communications-Konzepts daher der Absicherung der Telefonie per Voice over IP widmen. Bei klassischen Telefonanlagen war es in der Regel nicht nötig, Maßnahmen gegen unberechtigte Abhörer zu treffen: Ein Lauschen von innen heraus war technisch zu aufwändig, so dass zumindest durch die eigenen Mitarbeiter kaum Gefahren drohten. Und wo die Gespräche zwischen Telefonanlage und Telekommunikationsanbieter abgehört wurden, waren entweder Profis oder Strafverfolger am Werk. Vor diesen gibt es ohnehin kaum Schutz.
Im Falle von VoIP ist die Bedrohungslage gänzlich anders. In der Regel basieren die VoIP-Telefonate auf den Protokollen SIP und RTP. Beide übertragen die Daten unverschlüsselt, so dass ein simples ARP-Spoofing-Tool und ein Netzwerkscanner genügen, um den Datenstrom durch den Rechner des Lauschers zu leiten, abzufangen und per Mausklick in Soundfiles zu verwandeln. Prinzipiell könnte also jeder Mitarbeiter im internen Netz beliebige Telefonate im kompletten Unternehmen aufschnappen und mitschneiden – eine immense Gefahr und ein untragbarer Zustand.
Für die Gegenstrategie bieten sich mehrere Möglichkeiten. Zuerst sollten VoIP-Anlage und -Endgeräte in einem physikalisch von allen Arbeitsplatzrechnern getrennten Netzwerksegment untergebracht werden. Somit läuft die ARP-Spoofing-Attacke ins Leere, da der Lauscher in seinem Teil des Netzwerks keine VoIP-Daten sehen kann. Eine Alternative zur getrennten Verkabelung sind Virtual Local Area Networks (VLANs), mit deren Hilfe der Ethernet-Switch die Netze aufspaltet.
Zusätzlich müssen die VoIP-Daten in jedem Fall verschlüsselt werden. Damit dies reibungslos funktioniert, sollten Endgeräte und Anlage von einem Anbieter stammen. Zwar gibt es standardisierte Kodierungen wie Secure RTP (S-RTP), doch aufgrund von Variationen im Standard kann es hier zu Kompatibilitätsproblemen kommen. Wichtig ist, dass alle Endgeräte die Kodierung beherrschen, weil sie während der Unterhaltung direkt per RTP miteinander kommunizieren, während sich die Telefonanlage nur zum Gesprächsauf- und -abbau einschaltet.
Rasteranalyse gegen Raubkode
Virenscanner haben bösartige Dateianhänge, die per Spam-E-Mail die Postfächer bombardieren, inzwischen so gut im Griff, dass diese Angriffsversuche keine Chance mehr haben. Trotzdem gelingt es nach wie vor, Trojanische Pferde auf geschützte Rechner zu schmuggeln – vorbei an Virenscanner und Firewall. Als Einfallstor dient inzwischen der Webbrowser. Den Datenverkehr von Websites (http, Port 80) blockiert so gut wie keine Firewall, so dass hier Tür und Tor offen stehen. Dank ausgefeilter Attacken per Cross Site Scripting (XSS) merken Mitarbeiter, die im Internet unterwegs sind, gar nicht, dass sie soeben Schadkode aufgerufen haben.
Es genügt der Besuch einer Internet-Seite oder eines Beitrags in einem Forum, um solchen Sprengstoff ins Unternehmen zu holen. Da der Kode – meist JavaScript – am Arbeitsplatz des Surfers die gleichen Rechte wie der Anwender selbst hat, sind auch Dateisystemzugriffe möglich. Dadurch können Dateien aus dem Intranet auf den Server des Angreifers kopiert oder umgekehrt Dateien von der bösartigen Website auf den PC des Opfers geschickt werden. Die auf diese Weise übertragenen Schädlinge (Trojanische Pferde) sind so programmiert, dass sie keine Antivirensoftware entdeckt, da sie keinerlei bekannte Muster enthält, auf die die Signaturen des Scanners passen.
Dabei ist es ein weit verbreiteter Irrtum, dass nur Webseiten mit fragwürdigen Inhalten als Infektionsquelle dienen. Zwar wird die Malware letztlich von einer solchen Seite heruntergeladen – der hierfür verantwortliche Kode stammt zunächst aber von einer per se sauberen Quelle, etwa einer der zahlreichen Web-2.0-Seiten á la YouToube oder Myspace. Vor kurzem infizierten Cracker absolut vertrauenswürdige Internet-Auftritte wie usatoday.com, walmart.com oder forbes.com, indem sie die interne Suchfunktion dieser Seiten so manipulierten, dass andere Nutzer mit Schadkode infiziert wurden.
Teil 1 findet die Vorstellung einer bruchlosen Kommunikationswelt im Unternehmen prima. Voice over IP spielt hier die entscheidende Rolle. Teil 2 macht klar, warum gerade VoIP immer noch der heikle Punkt im System ist. Stichwort: Standards. Teil 3 dreht den Marketing-Spieß um und erkundigt sich, was IT-Verantwortliche erwarten. Teil 4 benennt die Schwachstellen und sagt, was in Sachen Sicherheit zu tun ist.
Nachdem es kaum einen Schutz vor derlei Attacken gibt – außer den Internet-Zugriff rigoros zu sperren –, muss die Netzwerkinfrastruktur in der Lage sein, die Folgen der Attacke zu erkennen. Hier helfen intelligente Analysefunktionen des Datenverkehrs am besten weiter. Die hierzu notwendigen Rohdaten können geeignete Router und Switches liefern. Darüber hinaus führt kein Weg an einem sauberen Patch-Management vorbei: Alle IT-Komponenten, vom Router über die Clients bis zum Drucker, sollten stets mit allen wichtigen Sicherheitsupdates versorgt sein.
Fazit: Riesige Chancen, neue Baustellen
Unified Communications ist ein faszinierendes Konzept. Das steht außer Frage. Die Vorteile versteht und nutzt jeder Mitarbeiter sicher gerne und im Handumdrehen.
Bis es jedoch soweit ist, müssen CIOs und IT-Teams noch eine Menge Fragen klären und in jedem konkreten Einzelfall klar machen, wie die Sicherheit garantiert werden soll. Wie die Berlecon-Studie zeigt, trauen die Verantwortlichen letztlich den Softwareherstellern und TK-Systemhäusern die größte Kompetenz zu. Letztlich wird es wohl immer auf eine Kombination aus beiden hinauslaufen, da deren Lösungen ja optimal zusammenspielen sollen.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing