Technische Leitlinie Sichere TK-Anlagen - Bundesamt für Sicherheit ...
Technische Leitlinie Sichere TK-Anlagen - Bundesamt für Sicherheit ...
Technische Leitlinie Sichere TK-Anlagen - Bundesamt für Sicherheit ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
BSI – <strong>Technische</strong> <strong>Leitlinie</strong><br />
Bezeichnung: <strong>Technische</strong> <strong>Leitlinie</strong> <strong>Sichere</strong> <strong>TK</strong>-<strong>Anlagen</strong><br />
Teil 1: Gefährdungen, Maßnahmen und Konzepte<br />
Kürzel: BSI TL-02103<br />
Version: 1.0<br />
Stand: 01.07.2008
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Das Dokument reflektiert den Stand der Technik bis Mai 2008. An der Erstellung waren<br />
folgende Mitarbeiter des BSI (<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik) beteiligt:<br />
Horst Ahlbrecht, Thomas Finke und Norbert Landeck. Weiterhin haben folgende Mitarbeiter<br />
der ComConsult Beratung und Planung GmbH mitgewirkt: Dr. Simon Hoff, Oliver Flüs,<br />
Dietlind Hübner, Daniel Meinhold, Christian Mertens und Dr. Michael Wallbaum.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik<br />
Postfach 20 03 63<br />
53133 Bonn<br />
Tel.: +49 (0) 1888-95820<br />
E-Mail: publikationen@bsi.bund.de<br />
Internet: http://www.bsi.bund.de<br />
© <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 2008<br />
2 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Gliederung<br />
Gliederung und Verzeichnisse<br />
1 Vorbemerkungen .................................................................................................................9<br />
2 Telekommunikationssysteme im Überblick ......................................................................11<br />
2.1 ISDN <strong>TK</strong>-<strong>Anlagen</strong>......................................................................................................12<br />
2.2 VoIP-Systeme .............................................................................................................14<br />
2.3 Hybrid-Systeme ..........................................................................................................36<br />
2.4 IP-<strong>Anlagen</strong>anschluss...................................................................................................37<br />
2.5 <strong>TK</strong>-Applikationen und Mehrwertdienste....................................................................40<br />
2.6 Mobile und drahtlose Systeme....................................................................................51<br />
3 Gefährdungslage ................................................................................................................65<br />
3.1 ISDN <strong>TK</strong>-<strong>Anlagen</strong>......................................................................................................65<br />
3.2 VoIP-Systeme .............................................................................................................72<br />
3.3 Hybrid-Systeme ..........................................................................................................83<br />
3.4 IP-<strong>Anlagen</strong>anschluss...................................................................................................86<br />
3.5 <strong>TK</strong>-Applikationen und Mehrwertdienste....................................................................88<br />
3.6 Mobile und drahtlose Systeme....................................................................................92<br />
4 <strong>Sicherheit</strong>smaßnahmen ....................................................................................................103<br />
4.1 ISDN <strong>TK</strong>-<strong>Anlagen</strong>....................................................................................................103<br />
4.2 VoIP-Systeme ...........................................................................................................123<br />
4.3 Hybrid-Systeme ........................................................................................................145<br />
4.4 IP-<strong>Anlagen</strong>anschluss.................................................................................................153<br />
4.5 <strong>TK</strong>-Applikationen und Mehrwertdienste..................................................................160<br />
4.6 Mobile und drahtlose Systeme..................................................................................171<br />
4.7 Systemübergreifende Aspekte ..................................................................................185<br />
5 <strong>Sicherheit</strong>skonzepte <strong>für</strong> repräsentative Beispielszenarien...............................................195<br />
5.1 Vorgehensweise bei der Erarbeitung eines Konzepts...............................................195<br />
5.2 ISDN <strong>TK</strong>-<strong>Anlagen</strong>....................................................................................................203<br />
5.3 VoIP-Systeme ...........................................................................................................211<br />
5.4 Hybrid-Systeme ........................................................................................................219<br />
5.5 IP-<strong>Anlagen</strong>anschluss.................................................................................................225<br />
5.6 <strong>TK</strong>-Applikationen und Mehrwertdienste..................................................................228<br />
5.7 Mobile und drahtlose Systeme..................................................................................233<br />
5.8 Systemübergreifende Aspekte ..................................................................................242<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 3
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
6 Zusammenfassung und Ausblick.....................................................................................247<br />
7 Anhang.............................................................................................................................251<br />
7.1 Port-basierte Authentisierung im LAN mit IEEE 802.1X........................................251<br />
7.2 Hinweise <strong>für</strong> die Verwendung von SSL/TLS...........................................................256<br />
7.3 VPN-Techniken ........................................................................................................263<br />
8 Glossar .............................................................................................................................287<br />
9 Literatur ...........................................................................................................................293<br />
10 Abkürzungen....................................................................................................................299<br />
11 Index ................................................................................................................................309<br />
4 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Abbildungsverzeichnis<br />
Gliederung und Verzeichnisse<br />
Abbildung 1: Struktur der <strong>Technische</strong>n <strong>Leitlinie</strong> .......................................................................9<br />
Abbildung 2: Betrachtete Bereiche der Telekommunikation ...................................................11<br />
Abbildung 3:Traditionelle <strong>TK</strong>-Anlage im Überblick ...............................................................12<br />
Abbildung 4: Protokolle <strong>für</strong> VoIP-Systeme im Überblick .......................................................15<br />
Abbildung 5: Vereinfachte SIP-Architektur .............................................................................17<br />
Abbildung 6: Architektur von H.323........................................................................................19<br />
Abbildung 7: Illustration des Funktionsprinzips von Megaco/H.248.......................................20<br />
Abbildung 8: Anbindung von Endgeräten über ein VPN .........................................................24<br />
Abbildung 9: Verbindung von Netzen über ein VPN...............................................................25<br />
Abbildung 10: Signalisierung über Zwischeninstanzen ...........................................................26<br />
Abbildung 11: Ablauf eines Rufaufbaus mit mehrfacher Authentisierung entlang des<br />
Signalisierungspfads........................................................................................................29<br />
Abbildung 12: H.235 zwischen den Endpunkten .....................................................................32<br />
Abbildung 13: H.235 zentral über den Gatekeeper ..................................................................33<br />
Abbildung 14: Hybrid-Anlage im Überblick............................................................................36<br />
Abbildung 15: PSTN-Anbindung über ein Gateway der lokalen VoIP-Anlage.......................37<br />
Abbildung 16: IP-<strong>Anlagen</strong>anschluss.........................................................................................38<br />
Abbildung 17: Applikationen und Mehrwertdienste mit Bezug zur Telekommunikation .......40<br />
Abbildung 18: Typischer Aufbau einer Mehrplatzlösung mit Integration in ein IT-System. ..45<br />
Abbildung 19: Controller-basiertes WLAN-Design.................................................................52<br />
Abbildung 20: Rufvermittlung bei einer FMC-Lösung am Beispiel einer IP-PBX .................57<br />
Abbildung 21: Vereinfachte GAN-Architektur ........................................................................58<br />
Abbildung 22: Vereinfachter Protokoll-Stack <strong>für</strong> die Signalisierung <strong>für</strong> leitungsvermittelte<br />
Dienste.............................................................................................................................59<br />
Abbildung 23: Vereinfachter Protokoll-Stack <strong>für</strong> die Sprachübertragung ...............................59<br />
Abbildung 24: Vereinfachter Aufbau eines DECT-Systems (Quelle: [BSI06b]).....................61<br />
Abbildung 25: ARP-Spoofing durch einen Trojaner zum Abhören eines Gesprächs ..............82<br />
Abbildung 26: Kumulationseffekt durch zusätzliche Komponenten und Schnittstellen<br />
(vereinfacht) ....................................................................................................................83<br />
Abbildung 27: Verschlüsselung zwischen einzelnen Teilnehmern an der ISDN <strong>TK</strong>-Anlage115<br />
Abbildung 28: Verschlüsselung <strong>für</strong> Geräte am Heimarbeitsplatz und auf Reisen .................115<br />
Abbildung 29: Verschlüsselung der Kommunikation zwischen Partnerstandorten ...............117<br />
Abbildung 30: Endpunkte bei Verschlüsselung mit SRTP.....................................................124<br />
Abbildung 31: Beispiel <strong>für</strong> den Aufbau einer VoIP-<strong>Sicherheit</strong>szone durch logische<br />
Netztrennung .................................................................................................................135<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 5
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Abbildung 32: Absicherung der Signalisierungs- und Nutzdaten mittels TLS und SRTP bei<br />
Verwendung eines SBC.................................................................................................155<br />
Abbildung 33: Absicherung der Signalisierungs- und Nutzdaten mittels VPN .....................156<br />
Abbildung 34: Netztrennung mit SBC bei normalem Schutzbedarf ......................................157<br />
Abbildung 35: Mehrstufige Firewall-Architektur mit SBC bei erhöhtem Schutzbedarf........158<br />
Abbildung 36: Trennung zwischen <strong>TK</strong>-Applikationen und IT-Systemen durch eine Firewall<br />
.......................................................................................................................................169<br />
Abbildung 37: Überwachung der Luftschnittstelle durch Access Points in einem Controllerbasierten<br />
WLAN-Design...............................................................................................176<br />
Abbildung 38: Rollen in IEEE 802.1X...................................................................................251<br />
Abbildung 39: Protokolle in IEEE 802.1X.............................................................................252<br />
Abbildung 40: Mischbetrieb mit gestufter Authentisierung ...................................................255<br />
Abbildung 41: Absicherung der Kommunikation auf Layer 2 ...............................................256<br />
Abbildung 42: Einordnung von SSL/TLS in das TCP/IP-Referenzmodell............................257<br />
Abbildung 43: Namenskonvention <strong>für</strong> die Bezeichnung der unterschiedlichen Cipher-Suites<br />
.......................................................................................................................................259<br />
Abbildung 44: VPN-Szenarien ...............................................................................................264<br />
Abbildung 45: Prinzip des Tunneling.....................................................................................265<br />
Abbildung 46: IPsec im Tunnelmodus ...................................................................................267<br />
Abbildung 47: IPsec im Transportmodus ...............................................................................268<br />
Abbildung 48: IKEv1 – Aushandeln der IKE-SA (Main Mode, Schritt 1) ............................271<br />
Abbildung 49: IKEv1 – Austausch der Schlüsselinformationen (Main Mode, Schritt 2)......271<br />
Abbildung 50: IKEv1 – Austausch der Identitäts- und Authentisierungsdaten (Main Mode,<br />
Schritt 3) ........................................................................................................................272<br />
Abbildung 51: IKEv1 - Nachrichtenaustausch im Aggressive Mode.....................................273<br />
Abbildung 52: IKEv1 – Aushandeln der IPsec-SAs (Quick Mode).......................................273<br />
Abbildung 53: IKEv2 – Initialisierung der IPsec-Verbindung (IKE-SA) ..............................275<br />
Abbildung 54: IKEv2 – Authentisierung und Aushandeln der IPsec-SA...............................276<br />
Abbildung 55: IKEv2 – Aushandeln einer weiteren IPsec-SA (Child-SA)............................276<br />
Abbildung 56: IKEv2 – Benachrichtigungen .........................................................................277<br />
Abbildung 57: SSL-VPN <strong>für</strong> E-Mail mit Outlook Web Access.............................................278<br />
Abbildung 58: Erweiterter VPN-Zugriff mittels Plug-In........................................................279<br />
Abbildung 59: Mandantennetze in MPLS-Struktur................................................................283<br />
Abbildung 60: PPTP-Protokollarchitektur am Beispiel eines PPTP-Dial-In-Clients.............284<br />
6 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Tabellenverzeichnis<br />
Gliederung und Verzeichnisse<br />
Tabelle 1: Wichtige CTI-Programmierschnittstellen und -Protokolle......................................43<br />
Tabelle 2: Beispiel: Firewall-Regeln <strong>für</strong> SBC in einer DMZ.................................................157<br />
Tabelle 3: Priorisierung von Maßnahmen...............................................................................203<br />
Tabelle 4: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Zentrale Anlage ....................203<br />
Tabelle 5: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Endgeräte..............................207<br />
Tabelle 6: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Netzwerk...............................209<br />
Tabelle 7: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Netz- und Systemmanagement<br />
.......................................................................................................................................209<br />
Tabelle 8: Maßnahmen-Klassifizierung VoIP-Systeme – Server und Anwendungen............212<br />
Tabelle 9: Maßnahmen-Klassifizierung VoIP-Systeme – Endgeräte .....................................214<br />
Tabelle 10: Maßnahmen-Klassifizierung VoIP-Systeme – Netzwerk....................................216<br />
Tabelle 11: Maßnahmen-Klassifizierung VoIP-Systeme – Netz- und Systemmanagement ..218<br />
Tabelle 12: Maßnahmen-Klassifizierung VoIP-Systeme – Übergreifende Aspekte ..............219<br />
Tabelle 13: Maßnahmen-Klassifizierung Hybrid-Systeme – zentr. Anlage, Server und<br />
Anwendungen................................................................................................................220<br />
Tabelle 14: Maßnahmen-Klassifizierung Hybrid-Systeme – Endgeräte ................................221<br />
Tabelle 15: Maßnahmen-Klassifizierung Hybrid-Systeme – Netzwerk.................................223<br />
Tabelle 16: Maßnahmen-Klassifizierung Hybrid-Systeme – Netz- und Systemmanagement<br />
.......................................................................................................................................224<br />
Tabelle 17: Maßnahmen-Klassifizierung Hybrid-Systeme – Übergreifende Aspekte ...........225<br />
Tabelle 18: Maßnahmen-Klassifizierung IP-<strong>Anlagen</strong>anschluss – Server und Anwendungen<br />
.......................................................................................................................................226<br />
Tabelle 19: Maßnahmen-Klassifizierung IP-<strong>Anlagen</strong>anschluss – Netzwerk .........................227<br />
Tabelle 20: Maßnahmen-Klassifizierung IP-<strong>Anlagen</strong>anschluss – Netz- und<br />
Systemmanagement.......................................................................................................227<br />
Tabelle 21: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste – Server<br />
und Anwendungen.........................................................................................................228<br />
Tabelle 22: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste – Endgeräte<br />
.......................................................................................................................................231<br />
Tabelle 23: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste – Netzwerk<br />
.......................................................................................................................................231<br />
Tabelle 24: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste – Netz- und<br />
Systemmanagement.......................................................................................................232<br />
Tabelle 25: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste –<br />
Übergreifende Aspekte..................................................................................................232<br />
Tabelle 26: Maßnahmen-Klassifizierung WLAN – Server und Anwendungen.....................233<br />
Tabelle 27: Maßnahmen-Klassifizierung WLAN – Endgeräte ..............................................234<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 7
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Tabelle 28: Maßnahmen-Klassifizierung WLAN – Netzwerk ...............................................234<br />
Tabelle 29: Maßnahmen-Klassifizierung WLAN – Netz- und Systemmanagement..............235<br />
Tabelle 30: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Server und<br />
Anwendungen................................................................................................................236<br />
Tabelle 31: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Endgeräte...............237<br />
Tabelle 32: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Netzwerk ...............238<br />
Tabelle 33: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Netz- und<br />
Systemmanagement.......................................................................................................238<br />
Tabelle 34: Maßnahmen-Klassifizierung DECT – Endgeräte................................................239<br />
Tabelle 35: Maßnahmen-Klassifizierung DECT – Netzwerk.................................................240<br />
Tabelle 36: Maßnahmen-Klassifizierung DECT – Netz- und Systemmanagement ...............240<br />
Tabelle 37: Maßnahmen-Klassifizierung Bluetooth – Endgeräte...........................................241<br />
Tabelle 38: Maßnahmen-Klassifizierung Bluetooth – Netzwerk ...........................................241<br />
Tabelle 39: Maßnahmen-Klassifizierung Bluetooth – Netz- und Systemmanagement..........242<br />
Tabelle 40: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Passive<br />
Netzinfrastruktur............................................................................................................243<br />
Tabelle 41: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Server des <strong>TK</strong>-<br />
Systems..........................................................................................................................243<br />
Tabelle 42: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Netz- und<br />
Systemmanagement.......................................................................................................245<br />
Tabelle 43: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Datenschutz.......245<br />
Tabelle 44: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Auswahl von<br />
Diensteanbietern............................................................................................................246<br />
8 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
1 Vorbemerkungen<br />
1 Vorbemerkungen<br />
Die moderne Telekommunikation ist untrennbar mit der Informationstechnik (IT) zusammengewachsen.<br />
Dieser Wandel hat zusammen mit der Konvergenz von Festnetzen und Mobilfunknetzen<br />
fundamentale Auswirkungen auf die <strong>Sicherheit</strong> von Telekommunikationssystemen.<br />
Gefährdungen der IT springen auf die Telekommunikation über, und durch das<br />
Zusammenwirken der vernetzten Komponenten entstehen unerwartete neue Bedrohungen.<br />
Auf diese komplexe, systemübergreifende Gefährdungslage muss mit einem ganzheitlichen,<br />
auf die konkrete Nutzungsweise der Telekommunikation flexibel zugeschnittenen Maßnahmenkatalog<br />
reagiert werden.<br />
Diese <strong>Technische</strong> <strong>Leitlinie</strong> beinhaltet konkrete Handlungsempfehlungen <strong>für</strong> die Planung,<br />
Beschaffung, Installation, Konfiguration, Abnahme, Betrieb und Außerbetriebnahme von<br />
privaten Telekommunikationssystemen in Bereichen mit erhöhtem Schutzbedarf. Dabei werden<br />
auch die relevanten Datenschutzaspekte berücksichtigt.<br />
Dieses Dokument richtet sich an alle, die mit der Absicherung eines privaten Telekommunikationssystems,<br />
sei es in der Rolle als Planer, Beschaffer, Betreiber oder Revisor<br />
befasst sind. Die vorliegende <strong>Technische</strong> <strong>Leitlinie</strong> hat dabei Empfehlungscharakter. Verbindlichkeit<br />
entsteht erst durch individuelle Vorgabe des Bedarfsträgers (z. B. als Bestandteil von<br />
Ausschreibungsunterlagen).<br />
Abbildung 1: Struktur der <strong>Technische</strong>n <strong>Leitlinie</strong><br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 9
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Das Kapitel 2 stellt zunächst die betrachteten Telekommunikationssysteme und die in diesen<br />
Systemen vorhandenen <strong>Sicherheit</strong>smechanismen vor. Ausgehend von ISDN <strong>TK</strong>-<strong>Anlagen</strong><br />
werden VoIP- und Hybrid-Systeme sowie der IP-<strong>Anlagen</strong>anschluss beschrieben. Weiterhin<br />
wird die Palette der <strong>TK</strong>-Applikationen und Mehrwertdienste untersucht und die Integration<br />
von drahtlosen und mobilen Kommunikationssystemen wird betrachtet.<br />
Die spezifische Gefährdungslage dieser Systeme wird anschließend in Kapitel 3 analysiert.<br />
Ein mit den Systemen vertrauter Leser kann die Beschreibung der sicherheitstechnischen<br />
Grundlagen in Kapitel 2 überspringen und direkt in die jeweiligen Bereiche der Gefährdungsanalyse<br />
in Kapitel 3 einsteigen. Auf die Gefährdungslage zugeschnitten wird in Kapitel 4 <strong>für</strong><br />
jedes der betrachteten Systeme und den systemübergreifenden Bereich von <strong>TK</strong>-Applikationen<br />
und Mehrwertdienste ein Maßnahmenkatalog entwickelt, der insbesondere die Anforderungen<br />
eines erhöhten Schutzbedarfs berücksichtigt.<br />
Um dem Anwender dieser <strong>Technische</strong>n <strong>Leitlinie</strong> die Umsetzung der Maßnahmen zu erleichtern,<br />
werden in Kapitel 5 Profile <strong>für</strong> verschiedene Einsatzszenarien entwickelt. Diese<br />
Einsatzszenarien sind zusammen mit den zugehörigen Kapiteln in den Maßnahmenkatalogen<br />
insbesondere <strong>für</strong> Planer und Betreiber von <strong>TK</strong>-<strong>Anlagen</strong> wichtig.<br />
Zur Unterstützung bei der Beschaffung von <strong>TK</strong>-<strong>Anlagen</strong> dient der in Teil 2 der <strong>Technische</strong>n<br />
<strong>Leitlinie</strong> erarbeitete Beschaffungsleitfaden. Dieser Beschaffungsleitfaden ist in zwei Kapitel<br />
unterteilt. Das erste Kapitel spezifiziert die Kriterien <strong>für</strong> die Auswahl von Komponenten eines<br />
<strong>TK</strong>-Systems, während das zweite Kapitel Kriterien <strong>für</strong> die Prüfung von <strong>TK</strong>-Systemen und<br />
deren Komponenten beinhaltet.<br />
10 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
2 Telekommunikationssysteme im Überblick<br />
In diesem Kapitel werden kurz die wesentlichen technischen Grundlagen der behandelten<br />
Systeme (siehe Abbildung 2) vorgestellt. Dabei werden auch die in den Systemen bereits<br />
vorhandenen oder typischerweise genutzten <strong>Sicherheit</strong>smechanismen beschrieben.<br />
Abbildung 2: Betrachtete Bereiche der Telekommunikation<br />
Zunächst werden in Kapitel 2.1 die klassischen ISDN <strong>TK</strong>-<strong>Anlagen</strong> betrachtet, <strong>für</strong> die neben<br />
dem lokalen Netz (Local Area Network, LAN) ein eigenes Netzwerk <strong>für</strong> die Nebenstellenapparate<br />
geschaffen werden muss. Diese Technik wird vermehrt durch Voice over IP (VoIP),<br />
d. h. die Übertragung von Sprache über das Internet Protocol (IP) verdrängt. Die <strong>TK</strong>-Anlage<br />
und Telefone werden so Teil der IT-Infrastruktur. Die hierbei verwendeten Protokolle und<br />
grundlegenden <strong>Sicherheit</strong>smechanismen werden in Kapitel 2.2 beschrieben. Im Rahmen einer<br />
Migration zu VoIP kann es manchmal vorteilhaft sein, <strong>TK</strong>-<strong>Anlagen</strong> zu verwenden, die sowohl<br />
den traditionellen Anschluss von Nebenstellen gestatten als auch über ein VoIP-Modul die<br />
Verwendung von IP-Telefonen ermöglichen (siehe Kapitel 2.3). Der Anschluss eines VoIP-<br />
Systems an das Telefonnetz (Public Switched Telephone Network, PSTN) kann lokal im<br />
Unternehmen oder in der Behörde durch ein entsprechendes Gateway erfolgen. Der PSTN-<br />
Anschluss kann aber auch bei einem externen Anbieter geschehen und das VoIP-System<br />
kommuniziert auch nach außen primär über IP. Dieser sogenannte IP-<strong>Anlagen</strong>anschluss wird<br />
in Kapitel 2.4 betrachtet.<br />
Durch die Kopplung von <strong>TK</strong>-<strong>Anlagen</strong> und IT-Systemen ist eine Palette von IT-basierten <strong>TK</strong>-<br />
Applikationen und Mehrwertdiensten entstanden, die beispielsweise universell über die verschiedensten<br />
Kommunikationsmedien Nachrichten zwischen Teilnehmern transportieren, die<br />
Sprachnachrichten und Faxe über E-Mail übertragen, Anrufe per Mausklick von einer Anwendung<br />
am PC initiieren und vermitteln, die aktuelle Verfügbarkeit eines Teilnehmers anzeigen<br />
und vieles mehr. Die hierbei eingesetzten Techniken werden in Kapitel 2.5 vorgestellt.<br />
Neben VoIP sind drahtlose und mobile Kommunikationstechniken eine weitere treibende<br />
Kraft in der Weiterentwicklung der privaten Telekommunikation, die in Kapitel 2.6 beschrieben<br />
werden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 11
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
2.1 ISDN <strong>TK</strong>-<strong>Anlagen</strong><br />
Eine digitale <strong>TK</strong>-Anlage besteht vereinfacht aus folgenden<br />
Komponenten (siehe auch Abbildung 3):<br />
• Das digitale Koppelfeld kann Verbindungen zwischen<br />
Ports schalten.<br />
• Die Anschlusseinheiten stellen die Ports bereit.<br />
• Die Steuereinheit hat unter anderem die Aufgabe Rufnummern und Kommandos, die von<br />
den angeschlossenen Telefonen gewählt werden, zu analysieren und entsprechende<br />
Kommandos an das Koppelfeld zu geben.<br />
• Über die Wartungseinheit erfolgt der administrative Zugriff zur Anlage. Die Wartung<br />
kann über ein Wartungstelefon oder einen PC erfolgen. Der Wartungszugang <strong>für</strong> einen<br />
PC kann durch eine Telekommunikationsverbindung oder IP-basiert realisiert werden.<br />
Der Anschluss einer <strong>TK</strong>-Anlage an das öffentliche Telefonnetz erfolgt meist über einen<br />
ISDN-<strong>Anlagen</strong>anschluss.<br />
Endgeräte können kabelgebunden oder drahtlos an die <strong>TK</strong>-Anlage angeschlossen werden.<br />
Der kabelgebundene Anschluss an die Ports der <strong>TK</strong>-Anlage erfolgt je nach System meist<br />
digital über einen ISDN S0-Bus oder eine systemspezifische Schnittstelle. Bei der Verbindung<br />
über Kabel wird oft eine strukturierte Verkabelung vorgenommen, die gleichermaßen <strong>für</strong> das<br />
Telekommunikationsnetz und das (Ethernet-basierte) Datennetz genutzt wird.<br />
Für die drahtlose Anbindung wird meist DECT (Digital Enhanced Cordless Telecommunications)<br />
verwendet (siehe Kapitel 2.6.3).<br />
<strong>TK</strong>-<strong>Anlagen</strong> mehrerer Standorte innerhalb einer größeren Institution können über Standleitungen<br />
(seltener Wählleitungen) zu einem Verbund vernetzt werden. Für die<br />
Kommunikation zwischen den <strong>TK</strong>-<strong>Anlagen</strong> werden systemspezifische Protokolle oder das<br />
standardisierte QSIG-Protokoll verwendet 1 .<br />
1 QSIG ist eine Abkürzung <strong>für</strong> die Signalisierung am Q-Referenzpunkt, der eine Schnittstelle <strong>für</strong> die Kopplung<br />
privater Vermittlungssysteme darstellt.<br />
12 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Abbildung 3:Traditionelle <strong>TK</strong>-Anlage im Überblick<br />
2 Telekommunikationssysteme im Überblick<br />
<strong>TK</strong>-<strong>Anlagen</strong> verfügen über Fernwartungszugänge <strong>für</strong> Managementfunktionen. Über diese<br />
Zugänge können alle Administrations- und Wartungstätigkeiten sowie sonstige Managementfunktionalitäten<br />
wie z. B. Alarmsignalisierung und -bearbeitung abgewickelt werden. Solche<br />
Remote-Zugänge sind besonders in <strong>TK</strong>-<strong>Anlagen</strong>-Verbünden (Corporate Networks) nützlich<br />
und teilweise unverzichtbar.<br />
Der Remote-Zugang kann über folgende Techniken realisiert werden:<br />
• Zugang über dedizierte Management-Ports per Modem<br />
• Direkte Einwahl über Direct Inward System Access (DISA) 2<br />
2 DISA ist ein Dienst von <strong>TK</strong>-<strong>Anlagen</strong>, über den externe Anrufer von außen unter Angabe eines Passcodes<br />
auf die <strong>TK</strong>-Anlage zugreifen können. Dabei erhält der externe Anrufer den internen Wählton und kann darüber<br />
wie ein interner Teilnehmer mit den Berechtigungen eines internen Apparats Gespräche aufbauen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 13
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Zugang über ein IP-Netz<br />
Für die Absicherung von <strong>TK</strong>-<strong>Anlagen</strong> muss besonders beachtet werden, dass verstärkt Anwendungen<br />
aus dem Bereich der Computer Telephony Integration (CTI) eingesetzt werden,<br />
die eine entsprechende Anbindung der <strong>TK</strong>-Anlage an eine IT-Infrastruktur erfordern, wie in<br />
Kapitel 2.5 beschrieben.<br />
Die Beschreibung der traditionellen <strong>TK</strong>-<strong>Anlagen</strong>technik ist bewusst kurz gehalten, da sich<br />
dieser Bereich der Telekommunikationstechnik seit geraumer Zeit nicht geändert hat und auf<br />
eine Vielzahl guter Veröffentlichungen hingewiesen werden kann 3 , Außerdem muss darauf<br />
hingewiesen werden, dass Systeme basierend auf VoIP vermehrt die traditionelle ISDNbasierte<br />
Telekommunikation verdrängen.<br />
2.2 VoIP-Systeme<br />
Neben der klassischen, auf Time Division Multiplexing<br />
(TDM) und Leitungsvermittlung basierenden Sprachkommunikation<br />
hat sich Voice over IP (VoIP), die<br />
Sprachübertragung über IP-Netze, fest in der Architektur<br />
moderner Kommunikationsdienste etabliert. Dieses Kapitel<br />
beschreibt die technischen Grundlagen der IP-<br />
Telefonie, die wesentlichen Elemente eines VoIP-Systems und die verschiedenen <strong>Sicherheit</strong>smechanismen<br />
<strong>für</strong> VoIP-Systeme.<br />
2.2.1 IP als Träger <strong>für</strong> Sprache<br />
Da grundsätzlich das IP-Protokoll verbindungslos und paketorientiert ist, steht VoIP im Gegensatz<br />
zur klassischen Telekommunikationstechnik, welche verbindungsorientiert und leitungsvermittelnd<br />
arbeitet. Dadurch drohen in IP-Netzen Qualitätsverluste in der Sprachübertragung<br />
durch Paketverluste, Verzögerungen (Delay) und durch Jitter, der Schwankung des<br />
Delay. Allgemein gilt: Je höher der Delay oder der Jitter sind, desto schlechter ist die realisierbare<br />
Sprachqualität. Abbildung 4 zeigt die wesentlichen <strong>für</strong> VoIP-Systeme verwendeten<br />
Protokolle im Überblick. Beschreibungen hierzu finden sich in den folgenden Kapiteln.<br />
Eine traditionelle digitale <strong>TK</strong>-Anlage nutzt getrennte Kanäle <strong>für</strong> die Signalisierung und Nutzdatenübertragung.<br />
VoIP beschreitet hier einen anderen Weg, indem Signalisierungs- und<br />
Nutzdaten als einzelne Pakete über ein IP-Netz übertragen werden und lediglich die Angaben<br />
zur Sende- und Empfangsadresse enthalten. Die Pakete werden also nicht mehr über dedizierte<br />
Signalisierungs- und Nutzkanäle übertragen, sondern werden individuell anhand der<br />
im Paket spezifizierten Informationen vermittelt. Bei der Übertragung wird vom Netz zunächst<br />
kein Unterschied zwischen IP-Datagrammen <strong>für</strong> VoIP und Datagrammen <strong>für</strong> andere<br />
Anwendungen gemacht.<br />
3 Einen Einstiegspunkt liefert die Wikipedia unter den Stichworten Integrated Services Digital Network und<br />
Telefonanlage<br />
14 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Abbildung 4: Protokolle <strong>für</strong> VoIP-Systeme im Überblick 4<br />
2.2.2 Anwendungsgebiete von VoIP<br />
VoIP findet im Wesentlichen in vier unterschiedlichen Bereichen moderner Telekommunikation<br />
Anwendung:<br />
• VoIP im LAN<br />
• IP-<strong>Anlagen</strong>anschluss<br />
• VoIP auf Weitverkehrsstrecken<br />
• Internettelefonie<br />
Diese werden im Folgenden kurz erläutert.<br />
2.2.2.1 VoIP im LAN<br />
Innerhalb von Firmen und Behörden wird die getrennte Infrastruktur <strong>für</strong> Daten und Telekommunikation<br />
verstärkt von einer IP-basierten konvergenten Netzarchitektur abgelöst, die<br />
Daten- und <strong>TK</strong>-Dienste über eine gemeinsame LAN-Infrastruktur unterstützt. Telefonanlagen<br />
werden dabei durch Softswitches, auch IP-PBX genannt, ersetzt. Dieser Wandel bringt ent-<br />
4 Formal korrekt ist die Bezeichnung DoD-Modell, umgangssprachlich hat sich die Bezeichnung TCP/IP-<br />
Modell eingebürgert<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 15
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
sprechende Einsparungen in den Bereichen Verkabelung, Netzinfrastruktur, Administration<br />
und Wartung mit sich. Nach außen wird das interne VoIP-Netz über ein Gateway direkt an<br />
das PSTN oder über IP an andere VoIP-Netze bzw. über einen VoIP-Provider an externe<br />
Netze angebunden.<br />
Durch die Übertragung von Sprache und Daten über eine gemeinsame LAN-Infrastruktur<br />
ergeben sich zusätzliche Anforderungen an die <strong>Sicherheit</strong>.<br />
2.2.2.2 IP-<strong>Anlagen</strong>anschluss<br />
Die Kopplung einer VoIP-Anlage an das Public Switched Telephony Network (PSTN) kann<br />
zunächst durch Gateways innerhalb der lokalen Infrastruktur erfolgen. Dem steht die Entwicklung<br />
in den Carrier-Netzen gegenüber, welche mehr und mehr IP-basierende Netze aufbauen.<br />
Ziel der Carrier ist, im Rahmen der Umstellung auf Next Generation Networks<br />
(NGNs), die Schaffung einer einheitlichen, auf IP basierenden Netzinfrastruktur. Als Konsequenz<br />
kann der Übergabepunkt zum Carrier unmittelbar durch VoIP-Komponenten realisiert<br />
werden und notwendige Übergänge zum PSTN leistet dann der Carrier. Dieser rein IPbasierte<br />
<strong>Anlagen</strong>anschluss wird in Kapitel 2.4 genauer beschrieben.<br />
2.2.2.3 VoIP auf Weitverkehrsstrecken<br />
VoIP kann in WAN-Backbones eingesetzt werden, um kostengünstig eine standortübergreifende<br />
interne Telefonie zu realisieren. Die bestehende IP-Infrastruktur kann <strong>für</strong> Telekommunikationsdienste<br />
mitverwendet werden. Die im Allgemeinen teurere Leitung, welche<br />
zuvor dediziert <strong>für</strong> die Telefonie genutzt wurde, entfällt.<br />
Dieser Einsatzbereich, der sich schon seit geraumer Zeit etabliert hat, wird in dieser <strong>Technische</strong>n<br />
<strong>Leitlinie</strong> nicht weiter vertieft, da hier Sprache letztendlich nichts anderes als eine weitere<br />
IT-Anwendung ist, die über eine WAN-Strecke übertragen wird. Dabei sind keine spezifischen<br />
über die in WAN-Bereichen gängigen <strong>Sicherheit</strong>smechanismen hinaus erforderlich.<br />
2.2.2.4 Internettelefonie<br />
Der Begriff der Internettelefonie bezeichnet allgemein die Telefonie über öffentliche IP-<br />
Netze. Internettelefonie wird vornehmlich von Privatpersonen eingesetzt. Zum Einsatz kommen<br />
oft sogenannte Softphones, d. h. Dienstprogramme, welche auf einem Computer installiert<br />
in Verbindung mit einem Headset das Telefonieren ermöglichen. Dabei lehnen sich die<br />
Softphones in ihrer Struktur an Messenger- und Chat-Dienste an bzw. werden teilweise als<br />
Zusatzfunktion in diese Dienstprogramme integriert. Im Vordergrund steht hierbei das Anbieten<br />
von VoIP zur Gebühreneinsparung und nicht eine mit herkömmlicher Telefonie vergleichbare<br />
hohe Qualität.<br />
Der Bereich der Internettelefonie wird in dieser <strong>Technische</strong>n <strong>Leitlinie</strong> nicht weiter behandelt.<br />
Allerdings lassen sich viele der in diesem Dokument beschriebenen Gefährdungen und Maßnahmen<br />
auf die Internettelefonie übertragen.<br />
16 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2.2.3 Übertragung von Signalisierungsdaten<br />
2 Telekommunikationssysteme im Überblick<br />
Zur Übertragung der Signalisierungsnachrichten werden unterschiedliche Protokolle eingesetzt.<br />
Zu nennen sind hier insbesondere:<br />
• Session Initiation Protocol (SIP), siehe Kapitel 2.2.3.1<br />
• H.323, siehe Kapitel 2.2.3.2<br />
• Media Gateway Control Protocol (Megaco), siehe Kapitel 2.2.3.3<br />
In Kapitel 2.2.3.4 wird das Verfahren Telephone Number Mapping (ENUM) beschrieben, das<br />
die Übersetzung von Telefonnummern in DNS-Namen 5 und umgekehrt realisiert und über<br />
das die <strong>für</strong> die Signalisierung benötigten Informationen verwaltet werden können.<br />
2.2.3.1 Session Initiation Protocol (SIP)<br />
Das Session Initiation Protocol (SIP) wurde von der Internet Engineering Task Force (IETF)<br />
entwickelt (siehe [RFC3261]) und lehnt sich an das Hypertext Transfer Protocol (HTTP) an,<br />
besitzt jedoch keinen unmittelbaren Anwendungsbezug hierzu. SIP wird verwendet, um die<br />
erforderlichen Informationen <strong>für</strong> den Aufbau und die Steuerung einer Sitzung (also etwa eines<br />
Telefongesprächs) auszutauschen. Die <strong>für</strong> eine Sprachübertragung nötigen Details, wie unterstützte<br />
Sprach-Codecs, werden mittels des Session Description Protocol (SDP) innerhalb der<br />
SIP-Protokolldateneinheit ausgehandelt.<br />
In Abbildung 5 ist die grundsätzliche SIP-Architektur vereinfacht dargestellt. Wesentliche<br />
Elemente sind dabei zunächst der User Agent (UA) und der SIP Proxy. Zur Teilnehmerlokalisierung<br />
wird der SIP Proxy durch weitere SIP Server unterstützt (SIP Registrar Server<br />
und SIP Redirect Server).<br />
Abbildung 5: Vereinfachte SIP-Architektur<br />
UAs stellen die Endpunkte der SIP-Signalisierung dar. Ein UA ist zunächst der entsprechende<br />
Dienst im Endgerät, welcher die SIP-Funktionalität bietet. Gateways zu anderen Netzen wie<br />
ISDN haben ebenfalls einen UA implementiert. Üblicherweise wird ein UA, welcher eine<br />
Verbindung initiiert, User Agent Client (UAC) und das entsprechende Ziel User Agent Server<br />
(UAS) genannt.<br />
5 DNS ist eine Abkürzung <strong>für</strong> Domain Name Service.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 17
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Neben den UAs beinhaltet eine SIP-Architektur in der Regel mindestens einen SIP Proxy.<br />
Beim Aufbau einer Session schickt der anrufende UA die SIP-Signalisierungspakete an seinen<br />
SIP Proxy. Die SIP-Anfrage wird dann an den SIP Proxy des angerufenen UA weitergeleitet,<br />
welcher einen eingehenden Anruf signalisiert. Die Weiterleitung muss nicht direkt an<br />
den Proxy des UAs gerichtet sein, sondern kann auch über mehrere Hops, zwischengeschaltete<br />
Proxies, erfolgen. Im Falle vieler Hops kann dadurch beim Verbindungsaufbau<br />
eine spürbare Verzögerung entstehen (auch SIP-Trapezoid genannt).<br />
Um herauszufinden, an wen die Signalisierungsnachrichten <strong>für</strong> eine Sitzung weiterzuleiten<br />
sind, wendet sich ein SIP Proxy an einen sogenannten SIP Registrar Server. SIP-Endgeräte<br />
müssen sich, um erreichbar zu sein, an einem SIP Registrar Server registrieren, der seinerseits<br />
die Informationen zur Registrierung an eine Datenbank (Location Service) weitergibt. Falls<br />
der angerufene Teilnehmer nicht am selben Registrar Server wie der Anrufende angemeldet<br />
ist, muss der Aufenthaltsort erst bestimmt werden. Dies geschieht durch eine Anfrage an den<br />
zuständigen SIP Proxy oder SIP Redirect Server, welche wiederum den Location Service<br />
nutzen, um den aktuellen Aufenthaltsorts des Teilnehmers zu ermitteln.<br />
SIP Proxy, SIP Registrar Server und SIP Redirect Server sind logische Funktionen, die auch<br />
auf einer gemeinsamen Hardware implementiert werden können.<br />
Über die SIP-Nachrichten handeln die UAs die Modalitäten <strong>für</strong> ihre Session aus. Dabei kommunizieren<br />
die UAs meist nicht direkt, sondern über die SIP Proxies. Der Austausch der<br />
eigentlichen Nutzdaten (z. B. die Sprachkommunikation, Medientransfer), erfolgt dann ohne<br />
zwischengeschaltete Proxies direkt zwischen den UAs.<br />
SIP ist nicht auf Sprachübertragung beschränkt, sondern kann auch <strong>für</strong> andere Dienste, z. B.<br />
<strong>für</strong> Videokonferenzen oder Instant Messaging, verwendet werden.<br />
SIP kann sowohl das User Datagram Protocol (UDP) als auch das Transmission Control<br />
Protocol (TCP) <strong>für</strong> die Übertragung nutzen. Bei der Verwendung von UDP wird die Neuübertragung<br />
bei Paketverlust durch SIP geregelt.<br />
2.2.3.2 H.323<br />
H.323 wurde zunächst 1996 von der ITU-T verabschiedet und war das erste Signalisierungsprotokoll<br />
<strong>für</strong> VoIP. Eine aktualisierte Form ist seit 2006 verfügbar (siehe [H.323]). Es referenziert<br />
diverse Unterprotokolle, z. B. <strong>für</strong> Rufsignalisierung (siehe [H.225.0]), <strong>für</strong> die <strong>Sicherheit</strong><br />
(siehe [H.235.0]), <strong>für</strong> das Öffnen und Schließen von Kanälen zur Medienübertragung<br />
(siehe [H.245]) und <strong>für</strong> den Faxversand (siehe [T.38]).<br />
Abbildung 6 zeigt die Architektur eines H.323-Systems, das aus folgenden Komponenten<br />
besteht:<br />
• Unter einem Terminal sind alle Arten von Endgeräten zu verstehen, die eine einzelne<br />
Verbindung terminieren, z. B. Telefone, Mailbox-Systeme, Videosysteme oder auch<br />
Softphones. Damit deckt der Begriff Terminal alle Systeme ab, die zur Kommunikation<br />
zwischen Teilnehmern eingesetzt werden.<br />
• Ein Gateway realisiert den Übergangspunkt von einer H.323-Architektur in andere Netze<br />
(PSTN), beispielsweise ISDN. Prinzipiell ist die Funktion des Gateways also die Konvertierung<br />
der Nachrichten zwischen verschiedenen Formaten. Diese Konvertierung ist<br />
18 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
nicht auf Signalisierungsnachrichten beschränkt, sondern übersetzt auch zwischen verschiedenen<br />
Audio- und Video-Codecs.<br />
• Multipoint Control Units (MCUs) sind Endpunkte, welche dem Management und der<br />
Verwaltung von Konferenzschaltungen zwischen drei oder mehr Terminals oder Gateways<br />
dienen.<br />
• Ein Gatekeeper realisiert die Zugangskontrolle von H.323-Terminals zu einem H.323-<br />
Netzwerk. Dazu werden Registration-, Admission- und Status-Nachrichten (Registration,<br />
Admission and Status, RAS) verwendet. Darüber hinaus realisiert der Gatekeeper das<br />
Bandbreitenmanagement, d. h. er verwaltet und bearbeitet die Bedürfnisse der Terminals<br />
bezüglich Bandbreite und teilt sie diesen zu. Eine weitere Aufgabe ist das Abbilden von<br />
H.323-Identitäten (beispielsweise nutzer@example.com) auf E.164-Rufnummern (etwa<br />
+491234567890, siehe [E.164]) und umgekehrt. Anrufverwaltung ist ebenfalls ein wesentlicher<br />
Bestandteil der Gatekeeper-Funktionalität. Damit ist der Gatekeeper das zentrale<br />
Element eines H.323-Systems.<br />
Abbildung 6: Architektur von H.323<br />
Die Signalisierung nach H.323 umfasst mehrere Phasen:<br />
• Im ersten Schritt erfolgt über den RAS-Kanal in Form von H.225-Nachrichten ein Anmeldevorgang:<br />
Die Terminals senden hierzu zunächst einen Register Request (RRQ) an<br />
den Gatekeeper. Bei erfolgreicher Registrierung antwortet dieser mit einer Nachricht vom<br />
Typ Register Confirmation (RCF), andernfalls versendet der Gatekeeper ein Registration<br />
Reject (RRJ). Die Kommunikation während der Registrierung findet über UDP statt.<br />
• Anschließend wird über H.225 ein Steuerkanal <strong>für</strong> die weitere Signalisierung (üblicherweise<br />
über TCP) aufgebaut.<br />
• Danach handeln die Teilnehmer über H.245 innerhalb des Steuerkanals ihre Fähigkeiten<br />
zur Sprach- und Videoübertragung aus.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 19
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Die Nutzdaten werden üblicherweise über RTP versendet (siehe Kapitel 2.2.4)<br />
2.2.3.3 Media Gateway Control Protocol (Megaco)<br />
Das Media Gateway Control Protocol (Megaco) ist ein von ITU-T unter der Empfehlung<br />
[H.248] veröffentlichtes Protokoll zur Steuerung von dezentralen Media Gateways (MGWs)<br />
über einen Media Gateway Controller (MGC) 6 . Megaco/H.248 ging aus dem ebenfalls Media<br />
Gateway Control Protocol genannten, aber MGCP abgekürzten, [RFC3435] hervor und stellt<br />
eine Kooperation zwischen der ITU-T und der IETF dar.<br />
Das Prinzip von Megaco/H.248 ist in Abbildung 7 im Zusammenspiel mit SIP gezeigt. Aus<br />
Gründen des besseren Verständnisses sind in der Abbildung das Signalisierungs-Gateway<br />
(Signalling Gateway) und das MGW getrennt dargestellt. Eine physikalische Trennung ist<br />
jedoch keine Voraussetzung. Es kann auch eine rein logische Trennung zwischen den Gateways<br />
vorgenommen werden.<br />
Ruft ein VoIP-Endpunkt, hier als SIP-UA dargestellt, einen Teilnehmer in einem anderen<br />
Netz, z. B. dem öffentlichem Netz (PSTN) an, signalisiert er dies seinem SIP Proxy. Der<br />
Proxy leitet die Anfrage zum MGC weiter. Der MGC hat jetzt zwei Aufgaben:<br />
• Zum einem setzt der MGC die Signalisierungsdaten des SIP-Pakets in das im PSTN<br />
verwendete Signalisierungssystem Nr. 7 (SS7) um.<br />
• Zum anderen muss der MGC die Parameter <strong>für</strong> die Nutzdatenübertragung zwischen<br />
MGW und UA koordinieren.<br />
Die nach SS7 übersetzten SIP-Nachrichten leitet der MGC via SS7 over IP an das zuständige<br />
Signalisierungs-Gateway weiter, welches die SS7-Nachricht in das PSTN überträgt. Im MGW<br />
werden dann auf Basis der Angaben des MGC entsprechende Ressourcen zwischen PSTN<br />
und IP-Netz geschaltet, d. h. die Nutzdatenübertragung zwischen den Endgeräten in PSTN<br />
und IP-Netz findet statt.<br />
PSTN<br />
Abbildung 7: Illustration des Funktionsprinzips von Megaco/H.248<br />
SS7<br />
TDM<br />
Signalling<br />
Gateway<br />
Media<br />
Gateway<br />
SS7 over IP<br />
Megaco/H.248<br />
SIP<br />
MGC SIP Proxy<br />
RTP/RTCP<br />
20 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik<br />
SIP<br />
SIP-UA<br />
6 Ursprünglich wurde das Protokoll auch in RFC3525 spezifiziert. Dieser RFC ist aber inzwischen als „historic“<br />
klassifiziert, da alle Inhalte in H.248 erfasst sind.
2.2.3.4 Telephone Number Mapping (ENUM)<br />
2 Telekommunikationssysteme im Überblick<br />
Das Telephone Number Mapping (ENUM) ist in [RFC3761] spezifiziert und verwaltet auf<br />
Basis des Domain Name Service (DNS) die Zuordnung von herkömmlichen Telefonnummern<br />
nach E.164 der ITU-T Empfehlung [E.164] zu einer Internet-Adresse (Uniform Resource<br />
Identifier, URI). Als Toplevel-Domain wurde arpa, als Subdomain e164 gewählt.<br />
Auch wenn ENUM hauptsächlich im Zusammenhang mit VoIP verwendet wird, ist ENUM<br />
nicht auf VoIP beschränkt, sondern ermöglicht, dass unter einer Adresse – der Telefonnummer<br />
– beliebige Kontaktdaten hinterlegt sind. Neben den Adressen <strong>für</strong> den Festnetzanschluss,<br />
Fax, Handy oder Anrufbeantworter können theoretisch beliebige Informationen<br />
hinterlegt werden. Die Internet Assigned Numbers Authority (IANA) verwaltet diese Einträge.<br />
Mögliche ENUM-Kontaktdaten sind z. B.:<br />
• E-Mail<br />
• Instant Messaging<br />
• Webseite<br />
• SMS / MMS / EMS (via PSTN oder E-Mail)<br />
• Visitenkarte (vCard)<br />
Die Anwendung bzw. das Endgerät entscheidet letztendlich, welche Daten verwendet werden.<br />
Der Nutzen <strong>für</strong> die Telefonie soll anhand eines Beispiels verdeutlicht werden, bei dem eine<br />
gewählte Telefonnummer in die entsprechende ENUM-Domain übersetzt wird:<br />
1. Wahl der Telefonnummer durch den Benutzer: +49123456789<br />
2. Entfernen aller Zeichen, die keine Ziffer darstellen: 49123456789<br />
3. Einfügen von Punkten zwischen den Ziffern: 4.9.1.2.3.4.5.6.7.8.9<br />
4. Umkehrung der Reihenfolge: 9.8.7.6.5.4.3.2.1.9.4<br />
5. Anhängen der Domain-Suffixe: 9.8.7.6.5.4.3.2.1.9.4.e164.arpa<br />
6. Nachdem die E.164-Nummer entsprechend umgewandelt ist, durchsucht der ENUM-<br />
Client (z. B. ein Gateway oder ein Endgerät) die Domain 9.8.7.6.5.4.3.2.1.9.4.e164.arpa<br />
nach DNS NAPTR Resource Records (RR) 7 . Diese NAPTR-Einträge (Naming Authority<br />
Pointer) enthalten Regeln <strong>für</strong> die Umschreibung und Auflösung der Anfrage, welche<br />
schließlich die Ziel-URI ergeben.<br />
Der so ermittelte URI kann jetzt im Rahmen der Signalisierung als Zieladresse des fernen UA<br />
verwendet werden.<br />
7 NAPTR ist eine Abkürzung <strong>für</strong> Naming Authority Pointer und bezeichnet einen gemäß [RFC3404] festgelegten<br />
DNS-Eintrag, der unter anderem die Prioritäten der URIs festlegt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 21
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
2.2.4 Übertragung der Nutzdaten<br />
Das Real-Time Transport Protocol (RTP) setzt auf UDP auf und dient der Übertragung echtzeitsensitiver<br />
Dienste <strong>für</strong> Unicast- und Multicast-Anwendungen. Vornehmlich wird es <strong>für</strong> die<br />
Übertragung von Sprach- und Videodaten eingesetzt. Bei RTP-Sitzungen werden im Fall von<br />
Paketverlusten Daten nicht erneut übertragen. Stattdessen werden Datenverluste und damit<br />
verbundene Qualitätsschwankungen bewusst in Kauf genommen, um zu verhindern, dass<br />
Delay und Jitter durch wiederholtes Senden der Pakete erhöht werden.<br />
RTP-Pakete enthalten eine Sequenznummer, um evtl. Datenverlust im Empfänger detektieren<br />
zu können. Zur Wahrung der Synchronität enthalten RTP-Pakete einen Zeitstempel auf Basis<br />
eines Grundtaktes in Sender und Empfänger. Dabei bezieht sich dieser Zeitstempel auf den<br />
Moment, an welchem das erste Byte des RTP-Payloads generiert wurde. Über diesen Zeitstempel<br />
lässt sich neben Synchronisation auch der Jitter ermitteln.<br />
RTP besitzt keine Mechanismen, um dem Sender über empfangene Daten und evtl. Verluste<br />
sowie über die Qualität der Übertragung (Jitter) Bericht zu erstatten. Darum wurde als Zusatzprotokoll<br />
zum RTP das RTP Control Protocol (RTCP) entwickelt. Es dient der Rückmeldung<br />
und Aushandlung von Übertragungsparametern. Teilnehmer geben sich über RTCP<br />
periodisch Rückmeldung über die Qualität der empfangenen Daten, um eine flexible Anpassung<br />
des Datenstroms an die Netzqualität zu ermöglichen. Um die Bandbreite <strong>für</strong> RTP<br />
nicht durch Verwendung von RTCP einzuschränken, regulieren die Stationen auch die<br />
Frequenz der RTCP-Datenpakete.<br />
2.2.5 <strong>Sicherheit</strong>smechanismen in VoIP<br />
Die Absicherung einer VoIP-Kommunikation kann letztendlich auf allen Protokollebenen<br />
vorgenommen werden, von einer physikalischen Netztrennung bis zur Absicherung der<br />
Sprachübertragung auf Anwendungsebene. In diesem Kapitel werden die Möglichkeiten der<br />
Absicherung von VoIP auf der Vermittlungsschicht (Network Layer) und höher betrachtet.<br />
Aus diesem Blickwinkel betrachtet, besteht VoIP-<strong>Sicherheit</strong> aus zwei wesentlichen Bestandteilen:<br />
• <strong>Sichere</strong>r Medientransport: Zum sicheren Medientransport (z. B. Sprache oder Video)<br />
wird vor allem das Secure Real-Time Transport Protocol (SRTP) eingesetzt (siehe Kapitel<br />
2.2.5.1). Es kommen aber auch andere Verfahren wie IPsec 8 und allgemein VPN-<br />
Techniken in Frage (siehe Kapitel 2.2.5.2).<br />
• <strong>Sichere</strong> Signalisierung: VoIP-Sitzungen werden über Signalisierungsprotokolle auf- und<br />
abgebaut sowie gesteuert. Die Absicherung dieser Protokolle erfolgt bei VoIP meist auf<br />
der Transportschicht über Transport Layer Security (TLS, siehe Kapitel 2.2.5.3) oder auf<br />
der Vermittlungsschicht über IPsec. Im Detail unterscheiden sich die verschiedenen Signalisierungsprotokolle<br />
hinsichtlich ihrer Absicherung (siehe Kapitel 2.2.5.4 <strong>für</strong> SIP und<br />
Kapitel 2.2.5.5 <strong>für</strong> H.323).<br />
8 Bei IPv6 sind die in IPsec spezifizierten Mechanismen ein fester Bestandteil des Standardumfangs von<br />
IPv6.<br />
22 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Grundlage der hier beschriebenen Verfahren sind Verschlüsselungsalgorithmen, die <strong>für</strong> den<br />
Schutz der Vertraulichkeit und Integrität von Informationsströmen dienen. Als Verschlüsselungsverfahren<br />
kommen im Zusammenhang mit VoIP häufig der Advanced<br />
Encryption Standard (AES) und der Triple Data Encryption Standard (3DES) zum Einsatz.<br />
Auf die Darstellung der Details der Verschlüsselungsalgorithmen wird an dieser Stelle verzichtet<br />
und auf die einschlägige Literatur zu Kryptografie verwiesen.<br />
Eine detaillierte Darstellung der <strong>Sicherheit</strong>smechanismen <strong>für</strong> VoIP-Systeme findet sich in der<br />
VoIPSEC-Studie des BSI (siehe [BSI05a]).<br />
2.2.5.1 Secure Real-time Transport Protocol (SRTP)<br />
Da bei RTP und RTCP die Daten im Klartext übertragen werden, kann die Kommunikation<br />
durch Mitschneiden der Nachrichten mitgehört werden. Daneben kann aber auch der Inhalt<br />
gezielt gefälscht werden oder durch Manipulation der Steuerinformationen ein Denial of<br />
Service (DoS) erreicht werden.<br />
Zur Erhöhung der <strong>Sicherheit</strong> beim Real-Time Transport Protocol wurde daher das Secure<br />
Real-Time Transport Protocol (SRTP) entwickelt und im RFC 3711 der IETF spezifiziert.<br />
SRTP bietet kryptografischen Schutz sowohl <strong>für</strong> RTP als auch <strong>für</strong> RTCP hinsichtlich Vertraulichkeit,<br />
Authentizität und Integrität. Weiterhin bietet SRTP einen Schutz gegen Replay-<br />
Angriffe. Ein Replay-Angriff liegt zum Beispiel dann vor, wenn ein Angreifer die Audioinformationen<br />
der Ansage einer Mailbox aufzeichnet und später abspielt, um dem Anrufenden<br />
vorzutäuschen, dass eine Kommunikation mit einer bestimmten Mailbox vorliegt.<br />
SRTP verwendet ein symmetrisches Verschlüsselungsverfahren mit einer Schlüssellänge von<br />
mindestens 128 Bit, das auf AES basiert.<br />
Das Schlüsselmaterial, der sogenannte Master Key, muss beiden Kommunikationspartnern<br />
bekannt sein. Aus dem Master Key werden die eigentlichen Sitzungsschlüssel abgeleitet. Zur<br />
Erzeugung und Verwaltung der Master Keys ist ein Schlüsselmanagement notwendig. SRTP<br />
legt einen solchen Mechanismus nicht fest, sodass hier ergänzende Verfahren zum Tragen<br />
kommen. Die Schlüsselverwaltung <strong>für</strong> SRTP kann über einen spezifischen Mechanismus<br />
(s. u.) oder alternativ im Rahmen der Signalisierung (siehe Kapitel 2.2.5.4 und 2.2.5.5) erfolgen.<br />
Ein speziell <strong>für</strong> das Schlüsselmanagement bei einer Echtzeit-Multimedia-Kommunikation<br />
entwickeltes Verfahren ist Multimedia Internet KEYing (MIKEY), welches in [RFC3830]<br />
spezifiziert ist. Über MIKEY kann ein gemeinsamer Schlüssel basierend auf einem Pre-<br />
Shared Key (PSK), über Diffie-Hellman oder über eine Public Key Infrastructure (PKI) vereinbart<br />
werden. MIKEY ist dabei unabhängig vom Signalisierungsprotokoll. Für VoIP besteht<br />
der Anwendungsbereich von MIKEY in der Aushandlung von <strong>Sicherheit</strong>sparametern und des<br />
Master Key <strong>für</strong> SRTP. Dabei können an einem Endgerät unterschiedliche Schlüssel <strong>für</strong> verschiedene,<br />
simultane Sitzungen vereinbart werden. Für Konferenzschaltungen gestattet MI-<br />
KEY auch die gemeinsame Verwendung eines Master Key. MIKEY hat bisher eine vergleichsweise<br />
geringe Akzeptanz bei den Herstellern.<br />
Die mit SRTP spezifizierte <strong>Sicherheit</strong>sarchitektur deckt sowohl Unicast- als auch Multicast-<br />
Applikationen ab. Da die Verschlüsselung und die Vertrauensbeziehung Ende-zu-Ende-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 23
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Charakter haben, ist sie insbesondere <strong>für</strong> heterogene Netzumgebungen, z. B. <strong>für</strong> Mischungen<br />
aus drahtgebundenen und drahtlosen Netzen, geeignet.<br />
Bei der Verwendung von SRTP wird der RTP-Header nicht verschlüsselt. Die unverschlüsselte<br />
Übertragung der RTP-Header dient zum Beispiel dazu, dass die Verwendung<br />
neuer Schlüssel im RTP-Paket vermerkt wird (Re-Keying). SRTP verfügt über kein Re-<br />
Keying, bietet jedoch Ansätze und Parameter, welche von einem ergänzenden Verfahren zum<br />
Schlüsselmanagement genutzt werden können.<br />
2.2.5.2 IP Security (IPsec)<br />
IP Security (IPsec) wurde 1998 mit dem Ziel entwickelt, die sicherheitstechnisch relevanten<br />
Schwächen des Internet Protocol zu beheben. IPsec realisiert eine Ergänzung zu IP und ist<br />
daher unabhängig von der Anwendung und dem verwendeten Transportprotokoll. Für eine IP-<br />
Kommunikation sichert IPsec Vertraulichkeit, Authentizität und Integrität zu. Die Verschlüsselung<br />
der Daten geschieht manchmal noch mit 3DES, jedoch ist der Einsatz moderner<br />
Verfahren wie AES zu bevorzugen. Weiterer Informationen zu IPsec können dem Anhang<br />
(siehe Kapitel 7.3.3) entnommen werden.<br />
Der in Abbildung 8 dargestellte Ansatz zeigt einen IPsec-Tunnel zwischen einem Endgerät<br />
mit SIP-UA und einem VPN-Gateway. Damit ist das Endgerät über diesen Tunnel gesichert<br />
in das vertrauenswürdige Netz, z. B. ein Firmennetz, eingebunden. Über den Tunnel ist neben<br />
anderen Anwendungen auch die SIP-Kommunikation vor Angriffen aus dem nicht vertrauenswürdigen<br />
Netz, z. B. dem Internet, geschützt.<br />
Abbildung 8: Anbindung von Endgeräten über ein VPN<br />
IPsec kann darüber hinaus zur Verbindung von zwei vertrauenswürdigen IP-Netzen über ein<br />
dazwischenliegendes nicht vertrauenswürdiges IP-Netz genutzt werden (siehe Abbildung 9).<br />
Ein solches Szenario <strong>für</strong> den Einsatz von IPsec ist die Kopplung von <strong>TK</strong>-Netzen über eine IP-<br />
Verbindung. Die Media Gateways bauen da<strong>für</strong> über das nicht vertrauenswürdige IP-Netz<br />
einen Tunnel auf, über welchen die Sprach-Kommunikation abgewickelt wird.<br />
24 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2.2.5.3 Transport Layer Security (TLS)<br />
Abbildung 9: Verbindung von Netzen über ein VPN<br />
2 Telekommunikationssysteme im Überblick<br />
Transport Layer Security (TLS) ist die standardisierte Version des unter Secure Socket Layer<br />
(SSL) bekannten Verfahrens (siehe [RFC4346]). Die <strong>Sicherheit</strong>smechanismen bei TLS umfassen<br />
sowohl Verschlüsselung als auch Authentisierung. TLS setzt auf der verbindungsorientierten<br />
Kommunikation der Schicht 4 auf, d. h., TLS verwendet TCP.<br />
Für die Anwendung von TLS bei der Absicherung einer VoIP-Kommunikation (primär <strong>für</strong> die<br />
Signalisierung) wäre aber der Schutz einer verbindungslosen Kommunikation von Interesse.<br />
Hierzu gibt es Datagram TLS (DTLS), eine Adaptierung von TLS, die UDP verwendet, siehe<br />
[RFC4347]. DTLS ist der Praxis noch nicht geläufig. Wenn die VoIP-Signalisierung über<br />
TLS abgesichert werden soll, wird meist über TCP übertragen.<br />
Für die Authentisierung einer TLS-Sitzung werden Zertifikate verwendet. Dies erfordert<br />
insbesondere <strong>für</strong> die Endgeräte eine entsprechende Zertifikatsverwaltung im Rahmen einer<br />
Public Key Infrastructure (PKI). Dabei ist es notwendig, dass zwischen den Zertifizierungsstellen<br />
(Certificate Authorities, CAs), welche die Zertifikate der beteiligten Kommunikationspartner<br />
signiert und ausgestellt haben, ein Vertrauensverhältnis besteht. Dieses Vertrauensverhältnis<br />
kann über Zwischeninstanzen etabliert werden, was den Aufbau einer<br />
Vertrauenskette erfordert.<br />
Der TLS-Ansatz wird auch in der IP-Telefonie (insbesondere <strong>für</strong> SIP) verwendet. Damit wird<br />
zum Beispiel die Authentisierung zwischen IP-Telefonen und Telefonie-Servern realisiert und<br />
das Schlüsselmanagement <strong>für</strong> die Ende-zu-Ende-Verschlüsselung des Nutzdatentransports<br />
abgesichert. Eine detailliertere Beschreibung von TLS mit Hinweisen zur sicheren Nutzung<br />
findet sich im Anhang in Kapitel 7.2.<br />
2.2.5.4 SIP-<strong>Sicherheit</strong>smechanismen<br />
SIP bietet als textbasiertes Signalisierungsprotokoll eine große Angriffsfläche <strong>für</strong> Attacken<br />
und erfordert daher entsprechende <strong>Sicherheit</strong>smechanismen.<br />
2.2.5.4.1 Absicherung auf Transportebene<br />
Der Transport der Sprachdaten wird zur Optimierung der Übertragungszeit meist direkt von<br />
einem Endgerät zum anderen durchgeführt. Die SIP-Signalisierung erfolgt dagegen ggf. auch<br />
über Zwischeninstanzen wie z. B. Proxies bei Providern. Für diese Szenarien kann eine Ver-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 25
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
schlüsselung von SIP-Nachrichten von SIP-Instanz zu SIP-Instanz (Hop-by-Hop) erfolgen,<br />
wie in Abbildung 10 gezeigt. Dies setzt voraus, dass die einzelnen Zwischeninstanzen vertrauenswürdig<br />
sind.<br />
Bemerkung: Wie in Kapitel 2.2.5.4.2 erläutert, ermöglicht SIP grundsätzlich auch eine Endezu-Ende<br />
Absicherung mittels Secure Multipurpose Internet Message Extensions (S/MIME),<br />
jedoch ist diese Variante mit gewissen Nachteilen verbunden und in der Praxis kaum anzutreffen.<br />
Wie bei HTTP basiert die Absicherung von SIP daher in der Regel auf TLS (siehe Kapitel<br />
2.2.5.3). Zur Aktivierung von TLS wird bei HTTP https: statt http: verwendet und analog bei<br />
SIP sips: statt sip: in der Adressierung. Während die ungesicherte Variante von SIP in der<br />
Regel auf UDP basiert, setzt die gesicherte SIP-Variante, d. h. TLS, grundsätzlich auf TCP<br />
auf. Wie in Kapitel 2.2.5.3 erläutert, setzt die Nutzung von TLS voraus, dass die Kommunikationspartner<br />
einer gemeinsamen Instanz vertrauen bzw. über weitere Zwischeninstanzen eine<br />
Vertrauenskette aufbauen. Zum Beispiel baut der UA eines Endgeräts eine Vertrauensbeziehung<br />
mit dem Outbound Proxy 9 des eigenen Unternehmens bzw. der eigenen Behörde<br />
auf, welcher wiederum Vertrauensbeziehungen mit anderen Instanzen eingeht usw. Alle am<br />
Verbindungsaufbau beteiligten Instanzen speichern bei einer sicheren Signalisierung Statusinformationen<br />
zu jeder SIP-Kommunikation, was die Skalierbarkeit des Verfahrens einschränkt.<br />
Unternehmen /<br />
Behörde A<br />
Abbildung 10: Signalisierung über Zwischeninstanzen<br />
Signalisierung Signalisierung Signalisierung<br />
UA UA<br />
Dienstanbieter<br />
(Provider)<br />
Signalisierung<br />
Nutzdaten<br />
2.2.5.4.2 Absicherung auf Anwendungsebene<br />
Dienstanbieter<br />
(Provider)<br />
Unternehmen /<br />
Behörde B<br />
Das Verfahren S/MIME (Secure Multipurpose Internet Message Extensions) wurde ursprünglich<br />
von den Laboratorien der RSA Security Inc. entwickelt, um eine sichere Ende-zu-Ende<br />
Übertragung von Nachrichten, insbesondere E-Mails, zu ermöglichen. Mittlerweile hat die<br />
IETF die Standardisierung von S/MIME übernommen und in diesem Zusammenhang unter<br />
anderem [RFC3850], [RFC3851] und [RFC3852] veröffentlicht.<br />
9 Der Outbound Proxy ist derjenige Proxy Server, an den ein UA einen ausgehenden Anruf signalisiert. Die<br />
Adresse des Outbound Proxy kann manuell auf dem UA konfiguriert oder durch einen DHCP-Server zugewiesen<br />
werden. Andere Methoden zur Auffindung (Discovery) des Outbound Proxy sind grundsätzlich<br />
auch möglich.<br />
26 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Der Einsatz von S/MIME ist jedoch nicht auf die Absicherung von E-Mails beschränkt, sondern<br />
kann <strong>für</strong> jegliche Kommunikation verwendet werden, in der MIME verwendet wird, z.<br />
B. <strong>für</strong> Instant Messaging oder SIP. S/MIME ermöglicht damit im Unterschied zur Hop-by-<br />
Hop Absicherung, wie sie bei TLS erfolgt, eine sichere Ende-zu-Ende Signalisierung.<br />
Allgemein dient der Standard MIME (Multipurpose Internet Mail Extensions) der Kodierung<br />
von Nachrichten. Insbesondere bei E-Mails dient MIME der Kodierung von binären Daten<br />
bzw. Zeichen, die nicht im US-ASCII-Zeichensatz vorhanden sind. Um welche Daten es sich<br />
im kodierten Teil handelt, wird durch den MIME-Typ bzw. Content-Typ angegeben, z. B.<br />
„text“ <strong>für</strong> Textdateien, „multipart“ <strong>für</strong> mehrteilige Daten oder „application“ <strong>für</strong> applikationsspezifische<br />
Inhalte. Die sichere Übertragung der Nachrichten mit den Zielen Vertraulichkeit<br />
und Integrität, wird bei S/MIME durch eine Verschlüsselung und Signatur der MIMEkodierten<br />
Daten erreicht. S/MIME nutzt hier<strong>für</strong> eine Public-Key-Infrastruktur mit Zertifikaten<br />
nach ITU-T Standard X.509 in Version 3 (siehe [X.509v3]).<br />
Im Rahmen des SIP-Protokolls nach [RFC3261] wird der Body einer SIP-Nachricht MIMEkodiert<br />
übertragen und ermöglicht damit eine optionale Absicherung mittels S/MIME. Bei der<br />
Verschlüsselung von Signalisierungsinformationen, die Ende-zu-Ende (Peer-to-Peer) übertragen<br />
werden, muss beachtet werden, dass zwischengeschaltete Proxies auf diese Informationen<br />
aus dem SIP-Paket nicht mehr zugreifen können. Um die Zustellung der SIP-<br />
Nachrichten zu gewährleisten, müssen also bestimmte Header-Felder (z. B. die SIP-Routing-<br />
Information) im Klartext übertragen werden.<br />
Weitere Header-Felder und der SDP-Body können hingegen durch S/MIME geschützt werden.<br />
Die Konsequenz ist, dass Netzelemente, welche zwischen diesen beiden Teilnehmern<br />
agieren, z. B. Firewalls, SBCs (Session Border Controller) oder SIP Proxies, nicht länger auf<br />
den Inhalt der SIP-Nachrichten zugreifen können. Bei der Verwendung von SIP mit S/MIME<br />
ist daher zu berücksichtigen, dass Netzelemente, insbesondere Firewalls mit VoIP-<br />
Applikationsintelligenz, nicht mehr in der Lage sind, dynamisch RTP-Ports <strong>für</strong> die Nutzdaten<br />
zu öffnen.<br />
Im Zusammenhang mit SIP hat man bei S/MIME die Wahl zwischen zwei Modi:<br />
• Nur der Body der SIP-Nachricht wird verschlüsselt und/oder signiert.<br />
• Die gesamte SIP-Nachricht wird erneut MIME-kodiert und als Body einer neuen SIP-<br />
Nachricht versendet und damit getunnelt. Für SIP und S/MIME im Tunnelmodus wird<br />
der Inhalt der inneren SIP-Nachricht mit dem MIME-Typ „message/sip“ gekennzeichnet<br />
und bis auf die erforderlichen Felder zur Weiterleitung der Nachricht durch S/MIME geschützt.<br />
Der Einsatz von S/MIME ermöglicht unter anderem den sicheren Austausch von Schlüsselmaterial<br />
<strong>für</strong> SRTP.<br />
Da S/MIME auf X.509-Zertifikaten basiert, gelten allgemein die Hinweise aus Kapitel 7.2 zur<br />
Verwendung von Zertifikaten. Im Gegensatz zu den geräte- bzw. serverspezifischen Zertifikaten<br />
bei TLS werden die Zertifikate bei S/MIME auf den jeweiligen Benutzer ausgestellt.<br />
Entsprechend ist bei der Validierung der Zertifikate nicht der Hostname zu verifizieren, sondern<br />
der Benutzer in Form seiner öffentlichen SIP bzw. SIPS-URI (z. B. nutzer@example.com).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 27
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Aufgrund der fehlenden Herstellerunterstützung ist der Einsatz von S/MIME im Zusammenhang<br />
mit SIP derzeit noch nicht relevant.<br />
2.2.5.4.3 SIP-basiertes Schlüsselmanagement <strong>für</strong> SRTP<br />
Das Schlüsselmanagement <strong>für</strong> SRTP kann über SIP durch die Nutzung eines im Session<br />
Description Protocol (SDP) vorgesehenen Schlüsselfelds erfolgen. SDP wurde in der SIP-<br />
Architektur zunächst nur <strong>für</strong> die Beschreibung von Session-Merkmalen wie Audio- und Videomerkmalen<br />
eingesetzt, unter der Bezeichnung Session Description Protocol Security<br />
Descriptions for Media Streams (SDES) in [RFC4568] jedoch um die Aushandlung von<br />
Security Suites 10 , Schlüsseln und anderen <strong>Sicherheit</strong>sparametern erweitert. Für den Transport<br />
von Schlüsselmaterial mittels SDES müssen die SDP-Informationen ihrerseits verschlüsselt<br />
übertragen werden. Dies kann durch Absicherung der SIP-Signalisierung über TLS (siehe<br />
Kapitel 2.2.5.4.1) oder S/MIME (siehe Kapitel 2.2.5.4.2) erfolgen.<br />
2.2.5.4.4 Authentisierung zum Aufbau einer SIP-Sitzung<br />
Unabhängig von einer etwaigen Nutzung von TLS zur Absicherung der Signalisierung kann<br />
zwischen den SIP-Elementen eine Authentisierung zum Aufbau der SIP-Sitzung erfolgen.<br />
In der SIP-Authentisierungsarchitektur nach [RFC3261] wird die Übertragung von Kennwörtern<br />
im Klartext (HTTP Basic) ausdrücklich abgelehnt. Die Methode zur Authentisierung,<br />
SIP Digest Authentication basiert auf HTTP Digest Authentication. Die Authentisierung der<br />
Proxies erfolgt dabei analog zur Authentisierung der Endgeräte, d. h. mittels HTTP Digest<br />
Authentication. Verschiedene Proxies entlang des Signalisierungspfads können jeweils eine<br />
separate Authentisierung fordern.<br />
Proxies, die eine Authentisierung fordern, weisen nicht-authentisierte Client Requests mit<br />
dem Return Code „407 Proxy Auth required“ ab. Innerhalb des SIP-Headers fügt der Proxy<br />
hierbei ein weiteres Header-Feld, den sogenannten „Proxy Authenticate Header“, ein. Verschiedene<br />
Proxies entlang des Signalisierungspfads können jeweils eine separate Authentisierung<br />
vom Endgerät fordern. Fordert ein Proxy eine Authentisierung, sendet der Client (d. h.<br />
der UA) den Request erneut, diesmal jedoch mit Authentisierungsinformationen in dem zusätzlichen<br />
Feld „Proxy Authorization“:<br />
• Innerhalb des im empfangenen 407-Code enthaltenen Proxy Authenticate Header findet<br />
der UA einen zufälligen Wert, die sogenannte Challenge. Aus dieser Challenge bildet der<br />
UA dann mit seinem Nutzernamen und seinem Passwort einen Hash-Wert entsprechend<br />
der angegebenen Authentisierungsmethode, beispielsweise MD5.<br />
• Der UA schickt daraufhin einen erneuten INVITE-Request an den Proxy, der einen Proxy<br />
Authorization Header mit dem errechneten Hash-Wert enthält.<br />
Die Abbildung 11 zeigt ein Beispiel <strong>für</strong> mehrere Authentisierungsschritte während des Rufaufbaus.<br />
Hier wird neben der Proxy-Autorisierung auch die Autorisierung am angerufenen<br />
Teilnehmer verdeutlicht.<br />
10 Der Begriff Security Suite kann am ehesten mit <strong>Sicherheit</strong>spaket übersetzt werden. Eine Security Suite<br />
vereinigt verschiedene <strong>Sicherheit</strong>sverfahren (beispielsweise zur Verschlüsselung, Integritätsprüfung und<br />
Authentisierung).<br />
28 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Abbildung 11: Ablauf eines Rufaufbaus mit mehrfacher Authentisierung entlang des Signalisierungspfads<br />
Proxy-Authorization:...<br />
Proxy-Authorization:…<br />
Authorization:...<br />
UAC UAS<br />
INVITE<br />
ACK<br />
INVITE<br />
ACK<br />
INVITE<br />
ACK<br />
407 Proxy Auth. Req.<br />
100 Trying<br />
401 Unauthorized<br />
100 Trying<br />
180 Ringing<br />
200 OK<br />
SIP Proxy<br />
INVITE<br />
ACK<br />
INVITE<br />
ACK<br />
Nutzdaten<br />
Proxy-Authenticate:...<br />
401 Unauthorized<br />
180 Ringing<br />
200 OK<br />
In dem in der Abbildung 11 dargestellten Beispiel baut der UAC die Sitzung auf. Dazu sendet<br />
er eine INVITE-Nachricht an seinen Proxy. Dieser antwortet mit der Meldung „407 Proxy<br />
Authentication Required“, um dem UAC mitzuteilen, dass <strong>für</strong> die Nutzung der Dienste des<br />
Proxy-Systems eine Authentisierung erforderlich ist.<br />
Das Endgerät übermittelt eine erneute INVITE-Message mit einem „Proxy-Authorization“-<br />
Header. Dieser Header enthält die Antwort auf die vom Proxy mit der 407-Nachricht versandten<br />
Challenge. Im Falle einer erfolgreichen Authentisierung durch den Proxy leitet dieser<br />
die INVITE-Nachricht an den UAS des angerufenen Endgeräts weiter.<br />
Fordert dieser auch eine Authentisierung vom Client („401 Unauthorized“), wird die INVITE-<br />
Nachricht nochmals vom Initiator (UAC) via SIP Proxy zum Partner (UAS) geschickt, diesmal<br />
zusätzlich mit der Authentisierungsinformation <strong>für</strong> das angerufene Endgerät. Somit trägt<br />
die dritte INVITE-Nachricht zwei Header, einen mit den <strong>für</strong> die Nutzung der Proxy-Dienste<br />
erforderlichen Informationen und einen mit den vom anderen Endgerät angeforderten Authentisierungsinformationen.<br />
Sind beide Authentisierungsinformationen gültig, wird die INVITE-<br />
Methode vom anderen SIP-Partner akzeptiert und die Verbindung kommt zustande.<br />
Fordern mehrere Proxies entlang des Signalisierungspfads eine Authentisierung vom Endgerät,<br />
so müssen die beschriebenen Schritte mehrfach ausgeführt werden. Der Client muss je<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 29
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Authentisierungs-Schritt ein INVITE-Paket mit den entsprechenden Authentisierungsinformationen<br />
generieren und versenden.<br />
Die SIP Digest Authentication ist optional und kann <strong>für</strong> verschiedene SIP-Methoden, wie<br />
REGISTER und INVITE, genutzt werden. Da die SIP Digest Authentication selektiv von der<br />
jeweiligen Implementierung <strong>für</strong> einzelne SIP Methoden angefordert werden muss und nicht<br />
die gesamte Signalisierung automatisch abgesichert wird, entsteht eine nicht unerhebliche<br />
Komplexität und es bleibt das Risiko, dass Teile der Signalisierung ohne Authentisierung<br />
durchgeführt werden. Weiterhin sind <strong>für</strong> die Zusicherung von Vertraulichkeit und Integrität<br />
der Signalisierungsinformationen weitergehende Mechanismen erforderlich. Aus diesen<br />
Gründen hat sich in der Praxis die Verwendung von TLS zur Absicherung von SIP durchgesetzt.<br />
2.2.5.4.5 Teilnehmer-Identifikation<br />
Analog zur ISDN-basierten Telekommunikation unterstützt SIP Funktionen zur Anzeige der<br />
Identität von Teilnehmern bzw. zur Unterdrückung dieser Anzeige. Hierzu ist bei SIP ein<br />
zusätzliches Protokollfeld (ein sogenannter Extension Header) namens Remote Party Identification<br />
(RPID) vorgesehen, das differenziert nach User, Subscriber und Terminal die Identitätsinformationen<br />
übertragen kann.<br />
Signierte Informationen im RPID-Feld können genutzt werden, um die authentisierte Identifizierung<br />
des Initiators sicherzustellen. Dazu muss eine Vertrauenskette zwischen den involvierten<br />
SIP-Instanzen zur Bestätigung der Authentisierung genutzt werden. Die zwischengeschaltete<br />
SIP-Instanz authentisiert dabei den Anrufer und fügt eine signierte RPID hinzu<br />
(eine fehlgeschlagene Authentisierung wird auch angezeigt).<br />
Der Initiator der Session kann ein bestimmtes Vertraulichkeitsniveau fordern, sodass die<br />
Nachricht nur dann an einen anderen Vertrauensbereich weitergeleitet wird, wenn die angeforderte<br />
Vertraulichkeit garantiert ist.<br />
2.2.5.5 <strong>Sicherheit</strong>smechanismen in H.323<br />
In einer H.323-Umgebung ist der wichtigste <strong>Sicherheit</strong>sstandard H.235 „Security and Encryption<br />
for H-Series (H.323 and other H.245-based) Multimedia Terminals“. H.235 beschreibt<br />
Mechanismen in folgenden Bereichen:<br />
• Verschlüsselung von Audio- und Video-Daten (AV), die über RTP übertragen werden<br />
• <strong>Sicherheit</strong>smechanismen <strong>für</strong> die Kommunikation zwischen dem Endgerät und dem Gatekeeper<br />
(Registration, Admission, Status, RAS) und <strong>Sicherheit</strong>smechanismen während des<br />
Verbindungsaufbaus entsprechend der Spezifikation H.225<br />
• Aushandlung der <strong>Sicherheit</strong>sfähigkeiten (Security Capabilities) über H.245<br />
Die Ziele des ITU-Standards H.235 sind Authentisierung, Integrität und Vertraulichkeit bei<br />
Punkt-zu-Punkt- und Mehrpunkt-Konferenzen, die H.245 als Protokoll zur Aushandlung der<br />
Fähigkeiten der Endgeräte nutzen. In H.235 werden keine Vorschriften gemacht, welche<br />
Verschlüsselungsverfahren unterstützt werden müssen, d. h., es können verschiedene Verschlüsselungsverfahren<br />
und Schlüssellängen genutzt werden. Es wird empfohlen, dass Endgeräte<br />
so viele Verfahren wie möglich unterstützen können, um Interoperabilitätsproblemen<br />
30 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
begegnen zu können. Weiterhin können bestimmte Verschlüsselungsverfahren auf den Transport,<br />
andere auf die Signalisierung angewandt werden.<br />
Grundlegend <strong>für</strong> H.235 ist die Annahme, dass die Bedrohungen nicht über die Endgeräte,<br />
sondern aus dem Netz kommen. Endgeräte selbst werden als vertrauenswürdig und somit<br />
auch als ausreichend geschützt eingestuft. Schutz von Registrierung, Autorisierung und Signalisierung<br />
Zur Absicherung von RAS zwischen Endpunkt und Gatekeeper kommt üblicherweise TLS<br />
oder IPsec zum Einsatz (siehe Kapitel 2.2.5.3 und 2.2.5.2). Für den Verbindungsaufbau über<br />
H.225 zwischen zwei Endpunkten wird ebenfalls TLS oder IPsec genutzt.<br />
Innerhalb der nach H.225 aufgebauten Verbindung können die Endgeräte ihre Fähigkeiten<br />
über H.245 aufeinander abstimmen. Dabei werden auch der zu verwendende <strong>Sicherheit</strong>smechanismus<br />
und die zugehörigen Sitzungsschlüssel vereinbart. Die Sitzungsschlüssel<br />
können auch während der Sitzung neu ausgehandelt werden.<br />
2.2.5.5.1 Authentisierung<br />
Die Authentisierung bei H.235 kann mittels Pre-Shared Key (PSK) oder durch den Austausch<br />
von Zertifikaten implementiert werden. H.235 beschreibt das Protokoll <strong>für</strong> den Austausch der<br />
Authentisierungsinformation (sowohl <strong>für</strong> eine beidseitige als auch <strong>für</strong> eine einseitige Authentisierung)<br />
und lässt Varianten <strong>für</strong> die Authentisierungsprozedur und -kriterien zu.<br />
Zertifikate belegen zum Beispiel, dass der Kommunikationspartner im Besitz des zu einem<br />
öffentlichen Schlüssel passenden privaten Schlüssels ist. Eine erforderliche Richtlinie, wie<br />
mit (von einer bestimmten Instanz signierten) Zertifikaten umgegangen wird (akzeptieren<br />
oder ablehnen), ist jedoch kein Bestandteil von H.235, sondern dem Betreiber der Geräte<br />
überlassen. Die Akzeptanz oder Ablehnung von Zertifikaten kann automatisiert oder manuell<br />
durchgeführt werden (analog zu Zertifikaten im World Wide Web).<br />
Eine weitere Option besteht darin, dass die Authentisierung im Rahmen eines separaten <strong>Sicherheit</strong>sprotokolls<br />
wie TLS oder IPsec durchgeführt wird.<br />
2.2.5.5.2 Schlüsselmanagement<br />
Zur Vereinbarung der Schlüssel <strong>für</strong> die Verschlüsselung des Datentransports kann ein verschlüsselter<br />
H.245-Kanal ausgehandelt werden. Es ist auch möglich, H.245 unverschlüsselt zu<br />
nutzen und die Sitzungsschlüssel über ein separates Schlüsselmanagementverfahren auszutauschen.<br />
Jede Instanz, die einen verschlüsselten Kanal terminiert, wird als vertrauenswürdig<br />
und geschützt eingestuft, z. B. eine MCU oder ein Gateway. Falls die Vertrauensbeziehung<br />
nicht a priori besteht, muss jede als vertrauenswürdig zu behandelnde Instanz im Übertragungspfad<br />
authentisiert werden (analog zu SIP).<br />
Falls es keine gemeinsamen Security-Fähigkeiten gibt, kann das angerufene Endgerät die<br />
Annahme des Anrufs verweigern. Die Authentisierung des H.245-Kanals erfolgt vor dem<br />
Austausch jeglicher Fähigkeiten der Endgeräte.<br />
Bei Mehrpunktkonferenzen handelt die MCU mit jedem Teilnehmer die <strong>Sicherheit</strong> separat<br />
aus.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 31
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Für das Schlüsselmanagement nach H.235 werden sogenannte dynamische Payload Types<br />
unter RTP eingesetzt. Während herkömmliche Payload Types Angaben über die Art des Payloads,<br />
also Audio oder Video sowie verwendetem Code beinhalten, werden dynamische Payload<br />
Types von den Endpunkten vereinbart. Bei H.235 wird nach jeder Aushandlung eines<br />
neuen Sitzungsschlüssels (Re-Keying) ein neuer dynamischer Payload Type vereinbart. Hierzu<br />
wird das Master-Slave-Prinzip angewendet. Dabei gibt der Master sowohl den Payload<br />
Type als auch den Sitzungsschlüssel über H.245 vor.<br />
H.235 sieht zwei Varianten des Schlüsselmanagements vor:<br />
• Falls der Gatekeeper die unter H.235 vorgesehenen <strong>Sicherheit</strong>smechanismen nicht unterstützt,<br />
erfolgt nur die Phase Registration, Admission, Status (RAS) über den Gatekeeper.<br />
Alle anderen Phasen folgen direkt (Peer-to-Peer) unter Umgehung des Gatekeepers. Dieser<br />
Ablauf ist in Abbildung 12 dargestellt. Das Problem bei diesem Ansatz besteht darin,<br />
dass die fehlende Unterstützung der <strong>Sicherheit</strong>smechanismen durch den Gatekeeper das<br />
Schlüsselmanagement bei einem Einsatz vieler Endgeräte erschwert.<br />
• Bei einer gegebenen H.235-Unterstützung durch den Gatekeeper erfolgen alle Phasen der<br />
Signalisierung über den Gatekeeper, wie in Abbildung 13 dargestellt. Lediglich die Nutzdatenübertragung<br />
erfolgt direkt zwischen den Endgeräten ohne Einbindung des Gatekeepers.<br />
Dabei kann der Gatekeeper auch das zentrale Schlüsselmanagement übernehmen.<br />
Abbildung 12: H.235 zwischen den Endpunkten<br />
32 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Abbildung 13: H.235 zentral über den Gatekeeper<br />
RAS über H.225<br />
H.235<br />
H.225/H.245<br />
2.2.6 Anbindung von Außenstellen<br />
Gatekeeper<br />
SRTP<br />
2 Telekommunikationssysteme im Überblick<br />
H.225/H.245<br />
H.235<br />
RAS über H.225<br />
Für ein Filialszenario, in dem eine größere Zahl von meist kleineren Außenstellen über VPN<br />
oder über eine WAN-Verbindung an eine Zentrale angebunden wird, muss eine VoIP-Lösung<br />
geeignet gestaltet werden. Wesentliches Element ist die Sicherstellung der Verfügbarkeit der<br />
Telefonie in einer Filiale auch bei einem Ausfall von Verbindungen zur Zentrale.<br />
Typischerweise verwendet man zentrale VoIP-Server und die Signalisierung der IP-Telefone<br />
erfolgt über WAN bzw. VPN. Für die Anbindung an das PSTN werden oft zentrale Gateways<br />
genutzt. Gespräche von den Filialen in das PSTN laufen dann grundsätzlich über die Zentrale.<br />
Hierzu sind die Übertragungswege dem Schutzbedarf der Telekommunikation entsprechend<br />
abzusichern. Neben dem Einsatz gesicherter VPN (z. B. IPsec VPN oder SSL-VPN) ist auch<br />
eine Verschlüsselung der Signalisierung und des Medienstroms, d. h. die Verwendung von<br />
SRTP, möglich.<br />
Bei Ausfall der Anbindung an die Zentrale ist es erforderlich, dass zumindest ein Notbetrieb<br />
der Telefonie sichergestellt werden kann. Hierzu bieten die <strong>TK</strong>-Ausrüster unterschiedliche<br />
Lösungen an, die auf einem gemeinsamen Prinzip basieren. Auf einer herstellerspezifischen<br />
Plattform werden ein meist rudimentärer Telefonie-Server und ein PSTN-Gateway realisiert.<br />
Diese Komponenten können auf einer gemeinsamen Hardware laufen oder in getrennten<br />
Elementen untergebracht werden. Bei Ausfall der Verbindung zur Zentrale übernimmt automatisch<br />
das lokale Notsystem und die IP-Telefone in der Filiale kommunizieren über das<br />
Notsystem. Zu beachten ist, dass Funktionsumfang und Kapazität der Notversorgung meist<br />
erheblich reduziert sind und sich auf die reine Telefonie beschränken.<br />
2.2.7 VoIP über Vertrauensgrenzen hinweg<br />
Für die VoIP-Kommunikation über Vertrauensbereiche hinaus ist es erforderlich, den VoIP-<br />
Verkehr (Signalisierung und Medientransport) an einem Security Gateway zwischen den<br />
Vertrauensbereichen geeignet zu filtern.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 33
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Beispiele sind die Kommunikation zwischen unterschiedlichen Unternehmen oder die Kommunikation<br />
zwischen einem Softphone, das dem Datennetz zugeordnet ist, und einem IP-<br />
Telefon in einem abgetrennten VoIP-Netz.<br />
Die Filterung kann aus zwei Perspektiven erfolgen:<br />
• Erkennung und Weiterleitung erlaubter Kommunikation durch eine Firewall-Funktion<br />
• Erkennung und Blockierung von Kommunikationsanomalien (insbesondere Angriffen)<br />
durch ein Intrusion Prevention System (IPS)<br />
Diese Funktionen können in einem Gerät oder in getrennten Geräten realisiert werden.<br />
Die <strong>für</strong> eine RTP-Übertragung zu verwendenden RTP-Ports werden im Rahmen der Signalisierung<br />
(z. B. per SDP) zwischen den Endpunkten ausgetauscht. Diese Ports variieren in der<br />
Regel bei jedem neuen Gespräch. Eine auf einem dynamischer Paketfilter basierende Firewall<br />
stößt hier an Grenzen, denn große Portbereiche müssten <strong>für</strong> RTP-Pakete dauerhaft freigeschaltet<br />
werden. Dies stellt ein erhebliches Risiko dar, da eine sehr große Angriffsfläche <strong>für</strong><br />
DoS- und andere Attacken geschaffen wird.<br />
Eine Firewall mit VoIP-Applikationsintelligenz ist daher dringend zu empfehlen. Dabei sind<br />
<strong>für</strong> das verwendete Signalisierungsprotokoll entsprechende Parser zu unterstützen. Durch die<br />
Analyse der Signalisierung kann die Firewall die <strong>für</strong> eine Sitzung zu verwendenden Ports<br />
feststellen und diese dynamisch <strong>für</strong> die Dauer der Sitzung freischalten. Die Feststellung der<br />
Zuordnung von Sitzungen und Ports ist <strong>für</strong> eine IPS-Funktion ebenfalls relevant.<br />
Falls die Signalisierung verschlüsselt übertragen wird, hat eine Firewall oder ein IPS zunächst<br />
keine Möglichkeit, die Signalisierungsinformationen zu analysieren und insbesondere die<br />
Ports <strong>für</strong> die RTP- bzw. SRTP-Kommunikation zu ermitteln. Die Firewall muss in diesem<br />
Fall einen Endpunkt der Verschlüsselung realisieren. Manche Hersteller von Firewalls und<br />
IPS bieten hierzu die Funktion eines SSL Proxy bzw. TLS Proxy an, der im Sinne eines vertrauenswürdigen<br />
Man in the Middle zwischen den Kommunikationspartnern die TLS-<br />
Kommunikationsbeziehung in beide Richtungen terminiert. Diese Funktion ist aus der <strong>Sicherheit</strong>sperspektive<br />
allerdings kritisch zu bewerten, da keine Ende-zu-Ende-Verschlüsselung<br />
zwischen den eigentlichen Signalisierungsinstanzen besteht.<br />
Alternativ kann die Firewall auch als Session Border Controller (SBC) aktiver Bestandteil des<br />
VoIP-Systems werden und so automatisch zum Endpunkt einer verschlüsselten Signalisierungssitzung<br />
werden. Siehe hierzu auch das Kapitel 2.4 zum IP-<strong>Anlagen</strong>anschluss.<br />
Weiterhin ist die Verwendung von Network Address Translation (NAT) bei der Übertragung<br />
von VoIP problematisch, da in einigen VoIP-Signalisierungspaketen die IP-Adresse verwendet<br />
wird.<br />
[RFC3489] definiert einen Ansatz zur Lösung dieses Problems unter der Bezeichnung Simple<br />
Traversal of User Datagram Protocol (UDP) Through Network Address Translators (NATs),<br />
kurz STUN. Dabei kann ein NAT Binding, d. h. die öffentliche (externe) IP-Adresse und die<br />
Abbildungsvorschrift zwischen den internen und den externen Ports über einen STUN-Server<br />
von einem STUN-Client im Endgerät abgefragt werden. Weitere Ansätze, die allerdings noch<br />
nicht als RFC vorliegen, sind Traversal Using Relay NAT (TURN) und Interactive Connectivity<br />
Establishment (ICE). ICE ist <strong>für</strong> SIP spezifiziert, funktioniert aber auch mit H.323. Weitere<br />
Informationen zu diesem Thema sind in [BSI05a] zu finden.<br />
34 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2.2.8 Denial of Service<br />
2 Telekommunikationssysteme im Überblick<br />
Nach wie vor gibt es offene Punkte bei der VoIP-<strong>Sicherheit</strong>, zu denen zum Beispiel die Problematik<br />
Spam over Internet Telephony (SPIT) gehört. Vergleichbar zu Spam mittels E-Mail<br />
wird mit zunehmender Verbreitung von Internet Telephony die missbräuchliche Nutzung<br />
dieses Dienstes <strong>für</strong> Marketingzwecke oder als Denial-of-Service-Angriff stark zunehmen.<br />
Dann stellt sich die Frage, wie VoIP-Netzelemente, die an das Internet angeschlossen werden<br />
und die Kommunikation des Unternehmens oder der Behörde ermöglichen, vor der möglichen<br />
SPIT-Flut zu schützen sind.<br />
Die bisherigen Überlegungen zum Schutz vor SPIT haben ergeben, dass der Schutzansatz auf<br />
einer Erkennung ungewöhnlicher Verkehrsprofile, d. h. auf statistischen Methoden basieren<br />
muss. Wird zum Beispiel erkannt, dass eine ungewöhnliche Häufung von SIP-INVITE-<br />
Nachrichten von einer Quelle ausgeht, können diese zum Beispiel abgewiesen oder ignoriert<br />
werden. Solche statistischen Methoden sind <strong>für</strong> Intrusion-Prevention-Systeme Gegenstand<br />
aktueller Forschungs- und Entwicklungsarbeiten und werden in manchen Bereichen bereits<br />
eingesetzt. Zu beachten ist dabei, dass die Erkennung einer statistischen Anomalie generell<br />
deutliche länger dauert als die Erkennung einer Protokollanomalie und auch mit einem deutlich<br />
höheren Risiko einer Fehlentscheidung (False Positive) verbunden ist.<br />
Die Internet-Telefonie ist zwar nicht im Fokus dieser <strong>Technische</strong>n <strong>Leitlinie</strong>, die verwandte<br />
Problematik der Abwehr von Angriffen vom Typ Denial of Service (DoS) hingegen schon.<br />
Generell ist die Abwehr von DoS bei der IP-Telefonie nicht vollständig möglich. Das gilt<br />
insbesondere <strong>für</strong> Telefonie-Server und andere Server eines VoIP-Systems, die Ziel massiver<br />
Angriffe werden können. Unabhängig vom implementierten <strong>Sicherheit</strong>skonzept bleiben Restrisiken.<br />
Ein realistisches Ziel besteht darin, die Systeme so aufzubauen und zu konfigurieren,<br />
dass sie solche DoS-Angriffe überstehen und danach wieder zur Verfügung stehen. Unrealistisch<br />
ist die Erwartung, dass alle Systeme auch während jedes Angriffs ungehindert weiter<br />
arbeiten können.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 35
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
2.3 Hybrid-Systeme<br />
Der Begriff Hybrid-<strong>Anlagen</strong> bezeichnet <strong>TK</strong>-<strong>Anlagen</strong>, die<br />
sowohl Ports <strong>für</strong> den Anschluss herkömmlicher Endgeräte<br />
als auch <strong>für</strong> den Anschluss von IP-Telefonen bereitstellen<br />
können (siehe Abbildung 14). Manche herkömmliche<br />
Telefonanlagen können auch mit VoIP-Modulen zu einer<br />
Hybrid-Anlage aufgerüstet werden. Mit einer Hybrid-<br />
Anlage können klassische digitale und analoge Telefonie und VoIP gleichzeitig betrieben<br />
werden.<br />
Abbildung 14: Hybrid-Anlage im Überblick<br />
Seitens der Hersteller von Hybrid-<strong>Anlagen</strong> wird als Vorteil oft angebracht, dass Hybrid-<br />
<strong>Anlagen</strong> den schrittweisen Umstieg auf eine VoIP-Infrastruktur erlauben. Alle bestehenden<br />
Endgeräte, Applikationsserver und Leistungsmerkmale können zunächst weitergenutzt und<br />
sukzessive <strong>für</strong> die IP-Telefonie ausgetauscht bzw. umgestellt werden. Hier muss aber betont<br />
werden, dass sanfte Migrationspfade auch hin zu reinen VoIP-Systemen möglich sind.<br />
36 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2.4 IP-<strong>Anlagen</strong>anschluss<br />
Die aktuelle Entwicklung von der klassischen Telefonietechnik<br />
hin zu IP-basierter Sprachkommunikation betrifft<br />
nicht nur die private Infrastruktur in Unternehmen und<br />
Behörden, sondern auch die Infrastruktur der Netzdienstanbieter<br />
(Carrier).<br />
2 Telekommunikationssysteme im Überblick<br />
Einerseits findet VoIP beispielsweise auf Basis von SIP<br />
eine zunehmende Verbreitung in Unternehmens- und Behördennetzen. Telefonanlagen mit<br />
herkömmlicher ISDN-Technik werden nach und nach durch sogenannte Softswitches bzw. IP-<br />
PBX ersetzt. Die Anbindung an das PSTN erfolgt dabei oft durch eine Gateway-Komponente<br />
in der lokalen VoIP-Anlage, wie in Abbildung 15 dargestellt.<br />
Auf der anderen Seite arbeiten die Carrier seit einigen Jahren daran, ihre Netze auf IP umzustellen.<br />
Das Ziel dieser Umstellung ist ein Next Generation Network (NGN), d. h. der Aufbau<br />
eines Kernnetzes, das mit einer einheitlichen, paketvermittelten und IP-basierten Netzwerktechnik<br />
alle Dienste bereitstellen kann 11 .<br />
Abbildung 15: PSTN-Anbindung über ein Gateway der lokalen VoIP-Anlage<br />
Beide Entwicklungen haben eine logische Konsequenz: Der Übergabepunkt zwischen privatem<br />
Nutzer und Carrier wird auch <strong>für</strong> die Telekommunikation immer häufiger IP-basiert sein.<br />
Der private Nutzer bräuchte insbesondere keine ISDN-Gateway-Komponente mehr und hätte<br />
nach außen lediglich einen IP-<strong>Anlagen</strong>anschluss. Auf Basis des verwendeten Signalisierungsprotokolls<br />
(in der Regel SIP) wird dazu eine VoIP-Verbindung zwischen der IP-fähigen Telefonanlage<br />
des Unternehmens bzw. der Behörde und dem VoIP-Anbieter (genauer gesagt dem<br />
IP Telephony Service Provider, ITSP) über das Internet hergestellt. Der ITSP kann dabei auch<br />
11 NGN werden vom European Telecommunications Standards Institute (ETSI) unter der Bezeichnung<br />
Telecommunications and Internet converged Services and Protocols for Advanced Networking (TISPAN)<br />
standardisiert. Neben der Architektur (siehe [ES282001]) sind unter anderem auch <strong>Sicherheit</strong>sanforderungen<br />
(siehe [TS187001]) spezifiziert und eine zugehörige <strong>Sicherheit</strong>sarchitektur <strong>für</strong> NGN erarbeitet<br />
worden (siehe [TS187003]).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 37
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
dem Internet Service Provider (ISP) entsprechen. Bei SIP wird diese Verbindung als SIP<br />
Trunk bezeichnet 12 .<br />
Die Anbindung an das PSTN erfolgt also anstatt über einen lokalen Anschluss (z. B. ein S2M-<br />
Anschluss) über entsprechende Media Gateways (inklusive des im Folgenden beschriebenen<br />
<strong>Sicherheit</strong>selements Session Border Controller, SBC) beim ITSP, wie in Abbildung 16 gezeigt.<br />
Eine zusätzlich zu pflegende lokale TDM-Infrastruktur entfällt. Bei einem IP-<br />
<strong>Anlagen</strong>anschluss kann die Zahl der Sprachkanäle im Prinzip frei dem Bedarf angepasst<br />
werden.<br />
Abbildung 16: IP-<strong>Anlagen</strong>anschluss<br />
Eine IP-basierte Telekommunikations-Schnittstelle zu einem ITSP erfordert die Berücksichtigung<br />
folgender Punkte:<br />
• Schutz des privaten Netzes vor dem ITSP und umgekehrt<br />
• Schutz der Kommunikation zwischen privatem Netz und ITSP<br />
• Bereitstellung von öffentlichen IP-Adressen<br />
• Bereitstellung von Abrechnungsfunktionen<br />
• Bereitstellung von Zugangskontrollfunktionen<br />
• Bereitstellung von Funktionen zur Sicherstellung der Dienstgüte (Quality of Service,<br />
QoS)<br />
Zur Unterstützung dieser Bereiche dient ein sogenannter Session Border Controller (SBC).<br />
Ein SBC ist ein Netzelement, das ein Provider-Netz oder ein privates IP-basiertes Telekommunikationsnetz<br />
abschließt, d. h. es begrenzt alle abgehenden und ankommenden Gespräche.<br />
Grundsätzlich realisiert der SBC eine Protokollvalidierung <strong>für</strong> alle übertragenen Daten<br />
(Signalisierungs- und Nutzdaten), wobei die Kommunikation auch über Network Address<br />
Translation (NAT) hinweg erfolgen kann. Werden verschiedene Protokolle im VoIP-Netz<br />
genutzt, erfolgt die Umsetzung dieser Protokolle im SBC.<br />
12 Das Herstellerkonsortium SIP Forum hat im Januar 2008 hierzu eine Empfehlung <strong>für</strong> die Interoperabilität<br />
zwischen IP-PBX und der Infrastruktur eines ITSP herausgegeben (siehe [SIPF08]).<br />
38 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Solche Grundfunktionalitäten werden ergänzt um eine Firewall-Funktion <strong>für</strong> die VoIP-<br />
Protokolle, die gegebenenfalls durch einen Signalisierungs- und RTP-Proxy ergänzt wird und<br />
Schutz vor Attacken, z. B. vom Typ Denial of Service (DoS) bietet.<br />
Im Rahmen der Signalisierung wird die erforderliche Gesprächsqualität durch folgende Funktionen<br />
gewährleistet:<br />
• Limitierung der Bandbreite <strong>für</strong> alle Gespräche insgesamt bzw. je Gespräch<br />
• Call Admission Control<br />
Mittels Call Admission Control (CAC) können Verbindungsanforderungen nach festgelegten<br />
Regeln (z. B. der verfügbaren Bandbreite) akzeptiert oder abgelehnt werden, um<br />
eine geforderte Dienstgüte <strong>für</strong> die Sprachübertragung gewährleisten zu können.<br />
• Traffic Shaping<br />
Über Traffic Shaping wird die Übertragungsrate der Pakete gesteuert, um die Latenz der<br />
Nutzdatenpakete zu kontrollieren und den Anforderungen anzupassen. Dabei werden die<br />
Pakete klassifiziert und je nach Priorität bevorzugt weitergeleitet.<br />
Bei der Übertragung der Nutzdaten, d. h. des Medienstroms, übernimmt der SBC die folgenden<br />
Funktionen:<br />
• Umwandlung von Sprach-Codecs (Transcoding)<br />
Die nutzbaren Sprach-Codecs können eingeschränkt werden, sodass z. B. nur G.711alaw<br />
und G.729 verwendet werden dürfen<br />
• Entfernung bzw. Modifikation VoIP-spezifischer Header<br />
• Priorisierung von markierten IP-Paketen entsprechend den Festlegungen während der<br />
Signalisierung<br />
Diese Funktionen gelten allgemein <strong>für</strong> alle VoIP-Standards, neben SIP sind hier H.323 oder<br />
Megaco zu nennen.<br />
Aus dem Blickwinkel des Nutzers eines IP-<strong>Anlagen</strong>anschlusses besteht zunächst lokal weiterhin<br />
die Gefährdungslage eines VoIP-Systems. Geändert hat sich die Gefährdungslage an<br />
der Schnittstelle zum TSP, die ja jetzt IP-basiert ist, sowie beim TSP selbst, der die Anbindung<br />
an das PSTN bereitstellt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 39
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
2.5 <strong>TK</strong>-Applikationen und Mehrwertdienste<br />
In Unternehmen und Behörden werden im Umfeld von<br />
<strong>TK</strong>-<strong>Anlagen</strong> eine Vielzahl von Applikationen und Diensten<br />
eingesetzt. Diese können sich der Vermittlungsfunktion<br />
einer <strong>TK</strong>-Anlage bedienen, die Anlage und<br />
Endgeräte steuern oder Informationen verwerten, die von<br />
der Anlage bereitgestellt werden.<br />
Solche <strong>TK</strong>-nahen Systeme erhalten mit der wachsenden Verbreitung von Voice over IP eine<br />
zunehmend größere Relevanz, da durch den Einsatz standardisierter Protokolle neue Anwendungsfelder<br />
eröffnet und die Kosten gesenkt werden sollen. Die Hersteller setzen verstärkt<br />
auf diesen Trend und bieten unter dem Stichwort „Unified Communications“ Systeme<br />
an, die vielfältige Möglichkeiten zur Kommunikation – aber auch zum potenziellen Missbrauch<br />
– bieten.<br />
Abbildung 17: Applikationen und Mehrwertdienste mit Bezug zur Telekommunikation<br />
Interactive Voice<br />
Response<br />
Präsenzsystem<br />
Computer<br />
Telephony<br />
Integration<br />
Konferenzsystem<br />
(Audio/Video/Web)<br />
<strong>TK</strong>-Anlage<br />
Gebäudetechnik<br />
(Türöffnung,<br />
Gegensprechen,<br />
etc.)<br />
Alarmserver<br />
Automatic Call<br />
Distribution<br />
Unified Messaging<br />
Im Folgenden werden die in Abbildung 17 dargestellten und in der Praxis häufig vorzufindenden<br />
<strong>TK</strong>-Applikationen und Mehrwertdienste sowie die von Ihnen verwendeten<br />
Protokolle und Schnittstellen beschrieben.<br />
40 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2.5.1 Unified Messaging<br />
2 Telekommunikationssysteme im Überblick<br />
Unified Messaging (UM) integriert verschiedene Nachrichtenformate in einem einheitlichen<br />
System. Die Anwender entnehmen ihre Nachrichten (z. B. E-Mail, Fax, SMS und Sprachnachrichten)<br />
einer einzigen Datenbank bzw. können über eine einzige Nutzerschnittstelle<br />
Nachrichten unterschiedlichen Formats versenden. Viele UM-Systeme bieten zudem die<br />
Möglichkeit auf diesen konsolidierten Nachrichteneingang über verschiedene Kanäle, wie<br />
z. B. über eine Web-Oberfläche oder per Telefon, zugreifen zu können.<br />
Es muss betont werden, dass keine allgemein akzeptierte Definition des funktionalen Umfangs<br />
von Unified Messaging existiert. So vertreiben einige Hersteller reine Sprachnachrichtensysteme<br />
unter dem Begriff Unified Messaging, während Produkte anderer Hersteller<br />
nur den Empfang von Fax-Nachrichten im E-Mail-Postfach der Benutzer unterstützen. Im<br />
Folgenden wird der Begriff Unified Messaging entsprechend der einleitenden Beschreibung<br />
sehr weit gefasst, um alle sicherheitsrelevanten Aspekte dieser Klasse von <strong>TK</strong>-Applikationen<br />
zu erfassen.<br />
UM-Produkte mit einem umfassenden Funktionsspektrum benötigen naturgemäß eine Vielzahl<br />
von Schnittstellen <strong>für</strong> Benutzer sowie unterschiedliche Dienste und Anwendungen. Im<br />
Mittelpunkt stehen dabei die Schnittstellen zu <strong>TK</strong>-<strong>Anlagen</strong> und zu E-Mail-Systemen. Hinzu<br />
kommen noch Schnittstellen zur Kopplung mit anderen Kommunikationssystemen, Administrationsschnittstellen,<br />
Benutzerschnittstellen, Anbindungen an Verzeichnisdienste sowie<br />
Schnittstellen zu Geschäftsapplikationen.<br />
Für die Integration von UM-System und <strong>TK</strong>-Anlage werden (zumindest aus logischer Sicht)<br />
zwei Schnittstellen benötigt. Über eine Sprachschnittstelle werden von der <strong>TK</strong>-Anlage kommende<br />
Anrufe an das Sprachspeichersystem übergeben. Umgekehrt werden bei telefonischen<br />
Abfragen die Nachrichten über die Sprachschnittstelle ausgegeben. Die zweite Schnittstelle<br />
wird <strong>für</strong> Signalisierungsdaten benötigt, z. B. um Endgeräten zu signalisieren, dass neue Nachrichten<br />
auf den Benutzer warten, oder um die Ansage des Sprachspeichersystems an den<br />
jeweiligen Anrufer bzw. den Grund der Weiterleitung (besetzt, nicht verfügbar usw.) anzupassen.<br />
Die Integration mit klassischen <strong>TK</strong>-<strong>Anlagen</strong> und Hybrid-Systemen (siehe Kapitel 2.1 und 2.3)<br />
erfolgt in der Regel über eine in den UM-Server eingebaute Telefonie-Karte. Über diese Karte<br />
werden die Sprachdaten verarbeitet und bei einigen Produkten durch speziell kodierte Tonfolgen<br />
auch die Signalisierungsdaten. Alternativ wird die Signalisierungsschnittstelle durch<br />
ein serielles Verbindungskabel zwischen UM-Server und <strong>TK</strong>-Anlage bereitgestellt oder durch<br />
andere dedizierte und proprietäre Verbindungen. Bei modernen <strong>Anlagen</strong> erfolgt die Anbindung<br />
typischerweise durch ein VoIP-Protokoll (z. B. SIP oder H.323, siehe Kapitel 2.2),<br />
wobei diese Protokolle sowohl <strong>für</strong> den Sprach- als auch den Signalisierungskanal verwendet<br />
werden und somit keine dedizierten Verbindungen erforderlich machen.<br />
Im Prinzip verhält sich der UM-Server aus Sicht der <strong>TK</strong>-Anlage zunächst wie ein Endgerät.<br />
Die Gefährdungssituation bezüglich der Sprachschnittstelle entspricht damit jener der Endgeräte<br />
einer entsprechenden <strong>TK</strong>-Anlage. Ein weiteres Gefährdungspotenzial ergibt sich aus<br />
der Signalisierungsschnittstelle, insbesondere dann, wenn diese mittels einer weiteren dedizierten<br />
Verbindung implementiert ist.<br />
Bei der Integration mit E-Mail-Systemen muss zwischen zwei Szenarien unterschieden werden.<br />
Beim sogenannten True Unified Messaging werden alle eingegangenen Nachrichten<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 41
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
durch den UM-Server im E-Mail-Postfach eines Benutzers, d. h. auf dem E-Mail-Server,<br />
abgelegt. Für die Auslieferung der Nachrichten kann z. B. SMTP 13 eingesetzt werden; weit<br />
verbreitet ist jedoch auch der Einsatz des proprietären MAPI-RPC 14 Protokolls. Bei UM-<br />
Systemen, die kein True Unified Messaging unterstützen, werden die eingegangenen Nachrichten<br />
von einem, auf dem UM-Server laufenden, eigenen E-Mail-Server bereitgestellt. Die<br />
Nutzer müssen daher ihre E-Mail-Clients so einrichten, dass ihre Nachrichten, z. B. per<br />
POP3 15 oder IMAP4 16 , von diesem Server abgeholt werden.<br />
Zusätzlich oder als Alternative zur Integration mit dem E-Mail-System bieten viele UM-<br />
Dienste eine Web-Schnittstelle, damit Benutzer auf ihre Nachrichten zugreifen können bzw.<br />
um Nachrichten zu versenden.<br />
Zur Verbindung von UM- bzw. Sprachspeichersystemen untereinander, z. B. während Migrationsphasen,<br />
existieren zwei Protokolle. AMIS 17 ist ein Protokoll zur Kopplung älterer<br />
Sprachspeichersysteme über eine analoge Telefonleitung. VPIM 18 wird von neueren digitalen<br />
Systemen eingesetzt und verwendet SMTP zur Auslieferung von Sprach- und Faxnachrichten.<br />
Es sollte beachtet werden, dass ein spezifisches UM-System noch eine Reihe weiterer Schnittstellen<br />
bieten kann, die hier nicht aufgeführt wurden. Beispiele hier<strong>für</strong> sind Anbindungen an<br />
sogenannten SMS Large Accounts zur massenhaften Versendung von Kurznachrichten und<br />
die Anbindung an Verzeichnisdienste und Fax-Server. Es ist daher im Einzelfall mit dem<br />
Hersteller eines Systems zu klären, welche Schnittstellen vorhanden sind, welche <strong>für</strong> den<br />
Betrieb unter den gegebenen Anforderungen benötigt werden und welche gegebenenfalls<br />
deaktiviert werden können.<br />
2.5.2 Computer Telephony Integration<br />
Computer Telephony Integration (CTI) ermöglicht die Steuerung eines Telefons von einem<br />
PC aus. Dies umfasst insbesondere den automatischen Aufbau, die Annahme und Beendigung<br />
von Telefongesprächen, den Aufbau von Telefonkonferenzen, Anrufjournale, Telefonbuchdienste,<br />
sowie die Weitervermittlung von Gesprächen.<br />
Es wird zwischen Einzelplatzlösungen (First Party Call Control) und Mehrplatzlösungen<br />
(Third Party Call Control) unterschieden. Bei Einzelplatzlösungen ist das Telefon entweder<br />
im Computer integriert oder direkt mit diesem verbunden. In diesem Fall kann eine CTI-<br />
Applikation lediglich das mit dem Computer verbundene Telefon steuern. Bei Mehrplatzlösungen<br />
ist in der Regel ein sogenannter CTI-Server zwischen dem Computernetzwerk und<br />
13 Simple Mail Transfer Protocol: Protokoll zum Versand von E-Mail<br />
14 Messaging Application Programming Interface Remote Procedure Call<br />
15 Post Office Protocol: Protokoll zum Abrufen von E-Mails von einem E-Mail-Server<br />
16 Internet Message Access Protocol: Protokoll zum Verwalten und Abrufen von E-Mails auf einem E-Mail-<br />
Server.<br />
17 Audio Messaging Interchange Specification<br />
18 Voice Profile for Internet Mail<br />
42 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
dem Telefonnetz beziehungsweise der Telefonanlage geschaltet. Dies erlaubt zusätzlich zur<br />
Kontrolle des eigenen Telefons grundsätzlich auch die Steuerung anderer Apparate.<br />
Zur Kopplung von Computer und Telefon bzw. von CTI-Server und <strong>TK</strong>-Anlage wurden eine<br />
Reihe von Protokollen und APIs 19 entwickelt, deren bekannteste Vertreter in Tabelle 1 zusammengefasst<br />
sind.<br />
TAPI bietet Entwicklern von Windows-basierten CTI-Anwendungen eine generische Schnittstelle<br />
zur Nutzung von Telefoniediensten in Einzel- und Mehrplatzszenarien. Die Spezifikation<br />
umfasst Funktionen zur Abfrage und Steuerung von Telefonen, Verbindungen und<br />
Konferenzschaltungen sowie zur Behandlung von Call-Center-spezifischen Aufgaben, wie<br />
zum Beispiel der Abfrage des Agentenstatus. Mithilfe dieses Funktionssatzes können von der<br />
einfachen Modemsteuerung bis hin zu komplexen Call-Center-Anwendungen eine Vielzahl<br />
von CTI-Applikationen implementiert werden.<br />
Tabelle 1: Wichtige CTI-Programmierschnittstellen und -Protokolle<br />
Abkürzung Name Einsatzgebiet<br />
TAPI Telephony Application<br />
Programming Interface<br />
Programmierschnittstelle <strong>für</strong> Windows-basierte<br />
Rechner; ermöglicht Einzel- und Mehrplatzlösungen<br />
TSAPI Telephony Server API Programmierschnittstelle <strong>für</strong> Novell Netware;<br />
ermöglicht Mehrplatzlösungen<br />
JTAPI Java Telephony API Java-basierte Programmierschnittstelle <strong>für</strong><br />
Einzel- und Mehrplatzlösungen<br />
CSTA Computer Supported Telecommunications<br />
Applications<br />
ISO-standardisiertes Anwendungsprotokoll <strong>für</strong><br />
Einzel- und Mehrplatzlösungen<br />
Da TAPI nur eine Programmierschnittstelle darstellt, benötigt ein lauffähiges Programm einen<br />
sogenannten Telephony Service Provider (TSP). Dies ist eine Art Treiberprogramm, das die<br />
Funktionsaufrufe der CTI-Anwendung in Kommandos <strong>für</strong> das zu steuernde Gerät umsetzt.<br />
Dieses Treiberprogramm wird in der Regel vom Hersteller der <strong>TK</strong>-Anlage bzw. des zu steuernden<br />
Geräts bereitgestellt, da praktisch jeder Hersteller sein eigenes Protokoll zur Verbindungskontrolle<br />
implementiert und diese proprietären Schnittstellen in der Regel auch nicht<br />
veröffentlicht werden. Ohne zusätzliche Maßnahmen ist die Vertraulichkeit und Integrität der<br />
Daten, die über eine solche CTI-Verbindung transportiert werden, damit abhängig vom Hersteller<br />
bzw. vom Produkt. Eine ungesicherte CTI-Verbindung erlaubt u. a. das Mitlesen von<br />
Anrufdaten und sogar die Steuerung eines fremden Telefons, z. B. zur Initiierung eines Anrufs.<br />
Vergleichbar mit TAPI stellen TSAPI und JTAPI ebenfalls Programmierschnittstellen bereit,<br />
die über spezielle Treiberkomponenten Funktionsaufrufe auf herstellerspezifische Protokolle<br />
umsetzen. Unterschiede zu TAPI bestehen hauptsächlich im angebotenen Funktionsumfang<br />
sowie im Einsatzgebiet. So wurde TSAPI <strong>für</strong> den Einsatz in Novell Netware Umgebungen<br />
entwickelt. Zudem bietet es keine Unterstützung <strong>für</strong> First Party Call Control, da es primär <strong>für</strong><br />
den Einsatz in Call Center Umgebungen entwickelt wurde. JTAPI hingegen unterstützt sowohl<br />
Einzel- als auch Mehrplatzlösungen, wobei die CTI-Applikationen die Programmier-<br />
19 Application Programming Interface: Programmierschnittstelle<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 43
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
sprache Java verwenden müssen. Da diese Schnittstellen wie TAPI einen Treiber benötigen,<br />
der die Kommunikation mit der <strong>TK</strong>-Anlage übernimmt, ist die <strong>Sicherheit</strong> der CTI-<br />
Verbindung auch hier herstellerabhängig.<br />
Im Gegensatz zu TAPI, TSAPI und JTAPI ist CSTA keine API sondern ein Protokoll der<br />
Anwendungsschicht. Der ISO-Standard CSTA spezifiziert die unterstützte Funktionalität<br />
sowie die zugehörigen Daten. Die Funktionalität umfasst dabei u. a. die Verbindungskontrolle,<br />
die Endgerätekontrolle, die Überwachung von Endgeräten und Verbindungen sowie<br />
die Abrechnung von Verbindungsdaten. CSTA unterstützt sowohl Einzel- als auch Mehrplatzlösungen.<br />
Die Spezifikation gibt keine Mechanismen <strong>für</strong> den Transport von CSTA-<br />
Nachrichten vor, d. h. insbesondere, dass die Vertraulichkeit und Integrität der Daten, ähnlich<br />
wie bei den beschriebenen APIs, von den jeweiligen Herstellern der CTI-Server und <strong>TK</strong>-<br />
<strong>Anlagen</strong> abhängt.<br />
Abbildung 18 zeigt am typischen Aufbau einer Mehrplatzlösung wo die genannten Protokolle<br />
eingesetzt werden. Die in der Abbildung gezeigte Anbindung über eine CTI-Middleware ist<br />
nur dann erforderlich, wenn die <strong>TK</strong>-Anlage nicht über die verbreiteten CTI-Schnittstellen<br />
verfügt. Neben den genannten CTI-Protokollen werden in diesem Szenario zwei weitere<br />
Schnittstellen <strong>für</strong> die Anbindung an ein IT-System verwendet: LDAP 20 und ODBC 21 . Diese<br />
Art der Kopplung ist gerade bei CTI-Systemen sehr häufig vorzufinden, da z. B. Agentenarbeitsplätze<br />
in Call Centern mit Kundendatenbanken und anderen IT-Systemen verbunden<br />
werden. Beispielsweise kann über eine automatische Anruferidentifikation der passende<br />
Datensatz mit Kundendaten, Anrufhistorie, Vertragsdaten usw. aus einer Datenbank auf den<br />
Bildschirm gebracht werden. Die Anbindungen an solche Datenbanken erfolgt in der Regel<br />
über standardisierte Protokolle wie das bereits genannte LDAP bzw. über APIs wie ODBC.<br />
LDAP erlaubt die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes.<br />
ODBC ist eine standardisierte Datenbankschnittstelle, die SQL als Datenbanksprache<br />
verwendet. ODBC bietet also – vergleichbar mit TAPI – eine Programmierschnittstelle<br />
(API), die es einem Programmierer erlaubt, seine Anwendung relativ unabhängig vom<br />
verwendeten Datenbankmanagementsystem (DBMS) zu entwickeln, wenn da<strong>für</strong> ein ODBC-<br />
Treiber existiert.<br />
20 Lightweight Directory Access Protocol<br />
21 Open Database Connectivity<br />
44 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Abbildung 18: Typischer Aufbau einer Mehrplatzlösung mit Integration in ein IT-System.<br />
Ohne zusätzliche Maßnahmen ist die Vertraulichkeit und Integrität der Daten, die über eine<br />
ODBC-Verbindung transportiert werden, abhängig vom Hersteller des DBMS bzw. vom<br />
konkreten Produkt. LDAP hingegen sieht den Einsatz von TLS und SSL zur Authentisierung<br />
und Verschlüsselung vor.<br />
Es sollte beachtet werden, dass ein spezifisches CTI-System noch eine Reihe weiterer Schnittstellen<br />
bieten kann, die hier nicht aufgeführt wurden. Beispiele hier<strong>für</strong> sind die Verwendung<br />
des Protokolls SOAP 22 mit dessen Hilfe Daten zwischen Systemen ausgetauscht und entfernte<br />
Prozeduraufrufe (Remote Procedure Calls, RPCs) durchgeführt werden können sowie<br />
Administrations-Schnittstellen. Es ist daher im Einzelfall mit dem Hersteller eines Systems zu<br />
klären, welche Schnittstellen vorhanden sind, welche <strong>für</strong> den Betrieb unter den gegebenen<br />
Anforderungen benötigt werden und welche gegebenenfalls deaktiviert werden können.<br />
2.5.3 Interactive Voice Response<br />
Interactive Voice Response (IVR) bietet die Möglichkeit, teil- oder vollautomatisierte<br />
Sprachdialoge zu führen. Dies umfasst sowohl einfache Sprachmenüs, durch die per Tastendruck<br />
navigiert wird („Für den Vertrieb drücken Sie bitte die '1', <strong>für</strong> Service die '2', ...“), als<br />
22 SOAP stand ursprünglich <strong>für</strong> Simple Object Access Protocol. Inzwischen wird der Begriff SOAP aber als<br />
Eigenname verwendet und steht nicht mehr <strong>für</strong> eine Abkürzung. SOAP ist ein Protokoll zum Austausch<br />
XML-basierter Nachrichten über das insbesondere auch die Funktion eines Remote Procedure Call (RPC)<br />
realisiert werden kann. Die Extensible Markup Language (XML) ist eine vom World Wide Web Consortium<br />
(W3C) spezifizierte Auszeichnungssprache, die zur formalen textuellen Beschreibung und Darstellung<br />
hierarchisch strukturierter Daten dient.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 45
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
auch Systeme, die einen natürlichsprachlichen Dialog zur Abfrage von Informationen (z. B.<br />
Fahrplanauskünften) erlauben.<br />
Bei frühen IVR-Systemen wurde nicht klar zwischen Applikationen (d. h. den konkreten<br />
Dialogabläufen) und der ausführenden Plattform getrennt. Die möglichen Dialoge waren bei<br />
solchen Systemen praktisch vorgegeben und nur schwer zu ändern bzw. anzupassen. Im Laufe<br />
der Zeit entwickelten die Hersteller von IVR-Systemen verschiedene proprietäre Dialogbeschreibungssprachen,<br />
die es den Administratoren und Anwendern erlauben, eigene Sprachapplikationen<br />
zu entwickeln und anzupassen. Inzwischen existiert eine Reihe von Standards<br />
<strong>für</strong> Sprachen zur Beschreibung von Dialogabläufen. Einer der bekanntesten Standards ist die<br />
XML-basierte Empfehlung des World Wide Web Consortium (W3C) namens VoiceXML.<br />
Mithilfe von VoiceXML können Sprachapplikationen in ähnlicher Weise entwickelt und<br />
bereitgestellt werden wie visuelle Applikationen mittels HTML.<br />
Aus dieser Ähnlichkeit ergeben sich Gefährdungen analog zu Web-Applikationen. Zum einen<br />
kann ein Sprachdialogsystem Zugriff auf schützenswerte Daten geben. Zu solchen Applikationen<br />
zählen beispielsweise das Telefon-Banking, der Anrufbeantworter im Netz oder die<br />
Abfrage des E-Mail-Postfachs per Telefon. Somit muss der Zugriff auf die gesamte Applikation<br />
bzw. auf schützenswerte Punkte gesichert sein. Bei Web-Applikationen erfolgt die Authentisierung<br />
in der Regel durch Benutzername und Passwort, während bei IVR-Systemen<br />
meist eine Personal Identification Number (PIN) verwendet wird. Vereinzelt werden auch<br />
Verfahren zur Sprechererkennung eingesetzt, jedoch sind diese z. Zt. selbst unter optimalen<br />
Bedingungen, d. h. ohne Hintergrundgeräusche und mit hochwertigem Sprach-Codec, nicht<br />
zuverlässig.<br />
Neben der Kopplung mit der <strong>TK</strong>-Anlage über einen Sprachkanal, ist ein IVR-System häufig<br />
auch mit anderen IT-Komponenten, z. B. mit Datenbanken, verbunden. Die spezifische IT-<br />
Komponente (und damit letztlich auch die spezifische Schnittstelle) hängt dabei von der<br />
implementierten IVR-Applikation ab. In der Regel werden <strong>für</strong> die Anbindung solcher externer<br />
Systeme jedoch die im vorangegangenen Kapitel vorgestellten Schnittstellen, wie LDAP,<br />
ODBC und SOAP sowie weitere RPC-Mechanismen, verwendet. Es gelten die dort beschriebenen<br />
Gefährdungen.<br />
Schließlich verfügen IVR-Systeme auch über Administrations- und Konfigurationsschnittstellen.<br />
Das Spektrum reicht von dedizierten Applikationen zur Erzeugung neuer Applikationen,<br />
die über proprietäre Protokolle oder Dateiformate mit dem IVR-System kommunizieren<br />
bis hin zu gewöhnlichen Web-basierten Management-Schnittstellen. Es gilt auch hier, dass<br />
mit dem Hersteller eines Produkts die konkrete Zahl und Ausprägungen von Schnittstellen<br />
eines IVR-Systems geklärt werden sollte, um diese entsprechend abzusichern bzw. deaktivieren<br />
zu können.<br />
2.5.4 Automatic Call Distribution<br />
Automatic Call Distribution (ACD) ist eine Funktion, die aus dem Bereich der Call bzw.<br />
Contact Center stammt und eingehende Anrufe automatisch an eine definierte Menge von<br />
Mitarbeitern (sogenannte Agenten) vermittelt. Ist kein freier Agent verfügbar, leitet das ACD-<br />
System den Anrufer automatisch an eine Warteschlange (Queue) weiter. In der Regel können<br />
auch die Fähigkeiten von Agenten (die sogenannten Skills) beim ACD-System hinterlegt<br />
werden. Anhand der spezifischen Eignungen der Agenten ist es möglich, bei eingehenden<br />
Anrufen den Anruf je nach benötigtem Skill zu den qualifiziertesten Agenten weiterzuleiten.<br />
46 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Zudem können bestimmte Kunden anhand ihrer Telefonnummer erkannt und z. B. bevorzugt<br />
behandelt oder direkt an die ihnen zugeordneten Agenten durchgestellt werden.<br />
Aus dieser Funktionalität ergibt sich, dass ACD-Systeme nicht nur mit der <strong>TK</strong>-Anlage gekoppelt<br />
sind, sondern u. a. auch mit Kunden- und Mitarbeiter-Datenbanken. Die zur Anbindung<br />
solcher externer Systeme verwendeten Schnittstellen und Protokolle (u.a. LDAP,<br />
ODBC und SOAP) wurden in den vorangegangenen Abschnitten vorgestellt.<br />
Wird ein ACD-System kompromittiert, so können Informationen über Mitarbeiter und Kunden<br />
eines Unternehmens oder einer Behörde gesammelt und der Betrieb eines Call Centers<br />
empfindlich gestört werden. Daher ist auch hier sicherzustellen, dass bei Bedarf die entsprechenden<br />
Schnittstellen und Protokolle abgesichert werden, um Vertraulichkeit, Integrität<br />
und Verfügbarkeit zu gewährleisten.<br />
2.5.5 Präsenzdienste<br />
Präsenzinformationen signalisieren die Möglichkeit und Bereitschaft der Nutzer eines Präsenzsystems<br />
zur Kommunikation. Ist das Präsenzsystem mit der Telefonanlage verbunden, so<br />
kann z. B. auch der Status „Im Gespräch“ angezeigt werden, wenn ein Benutzer gerade telefoniert.<br />
Entsprechende Clients bieten in der Regel auch CTI-Funktionalität, sodass sich z. B.<br />
durch einen Klick ein Anruf zu einem gesprächsbereiten Nutzer aufbauen lässt. Präsenzinformationen<br />
wurden ursprünglich im Kontext von Instant Messaging, d. h. Systemen zum<br />
Austausch von kurzen Textnachrichten in Echtzeit, eingesetzt, gewinnen nun aber auch <strong>für</strong><br />
(IP-basierte) <strong>TK</strong>-<strong>Anlagen</strong> an Bedeutung.<br />
Die Präsenzinformation wird bei den meisten Systemen zentral durch einen Präsenzdienst<br />
bereitgestellt und verwaltet. Der Client eines Nutzers sendet die manuell oder automatisch<br />
ermittelte Verfügbarkeit des Nutzers an den Präsenzdienst, wo sie anderen Nutzern bzw.<br />
Clients zur Verfügung gestellt wird. Informationen zum Nutzerstatus können jedoch auch aus<br />
anderen Quellen stammen. In der Praxis verwenden Präsenzdienste üblicherweise noch den<br />
Kalender eines Nutzers sowie die Telefonanlage. In beiden Fällen ist die Umsetzung entsprechender<br />
Abfragen produktabhängig; mögliche Varianten reichen von einfachen Datenbankabfragen<br />
über proprietäre Protokolle bis hin zu standardisierten Mechanismen. Im Fall<br />
der Einbindung einer Telefonanlage können neben herstellerspezifischen Ansätzen u. a. die<br />
Protokolle CSTA (siehe Kapitel 2.5.2) oder auch SIP/SIMPLE 23 bzw. XMPP 24 eingesetzt<br />
werden.<br />
SIP/SIMPLE dient, wie das ebenfalls von der IETF spezifizierte Protokoll XMPP, der Kommunikation<br />
zwischen Präsenzdienst und Clients. Die ersten Präsenzdienste und Instant-<br />
Messaging-Dienste waren auf Privatkonsumenten ausgerichtet und verwendeten proprietäre<br />
Protokolle. In der jüngsten Vergangenheit setzen sich insbesondere im Unternehmensbereich<br />
jedoch zunehmend Systeme auf Basis der beiden genannten Standards durch. SIP/SIMPLE ist<br />
eine Erweiterung des weit verbreiteten VoIP-Signalisierungsprotokolls SIP und bietet unter<br />
anderem folgende Funktionen:<br />
23 Session Initiation Protocol for Instant Messaging and Presence Leveraging Extensions<br />
24 eXtensible Messaging and Presence Protocol, auch unter dem Namen „Jabber“ bekannt<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 47
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Registrierung <strong>für</strong> Präsenzinformationen und Benachrichtigung, wenn sich der Status<br />
eines Nutzers ändert<br />
• Senden und Empfangen von kurzen Textnachrichten<br />
• Management von Sitzungen in denen Nachrichten in Echtzeit ausgetauscht werden (sogenannte<br />
„Chats“)<br />
XMPP bietet im Kern dieselbe Funktionalität, ist jedoch nicht an SIP gebunden. Beide Protokolle<br />
bieten durch Registrierungen und Benachrichtigungen einen Ereignismechanismus, der<br />
<strong>für</strong> die Signalisierung des Telefoniestatus eines Nutzers an den Präsenzdienst geeignet ist.<br />
Damit können diese Protokolle nicht nur <strong>für</strong> die Kommunikation zwischen Präsenzdienst und<br />
Client sondern auch <strong>für</strong> die Kommunikation zwischen Telefonanlage und Präsenzdienst eingesetzt<br />
werden.<br />
Werden diese Schnittstellen nicht abgesichert, dann kann die Information, dass ein Nutzer<br />
telefoniert (und weiterer Nutzerkontext) abgehört werden. Da dieselben Protokolle auch dem<br />
Instant Messaging dienen, sind konsequenterweise auch Kurznachrichten gefährdet. Diese<br />
Gefährdung ist nicht zu unterschätzen, da die Inhalte eines Chats durchaus vergleichbar mit<br />
denen eines Telefonats sein können. Sowohl SIP/SIMPLE als auch XMPP bieten jedoch die<br />
Möglichkeit per TLS eine Authentisierung durchzuführen und den Nachrichtentransport zu<br />
verschlüsseln. Zudem erlauben einige Präsenzdienste die Sichtbarkeit von Informationen <strong>für</strong><br />
jeden einzelnen Teilnehmer detailliert festzulegen.<br />
In Bezug auf die Schnittstellen und Gefährdungen, die aus der CTI-Funktionalität von Clients<br />
eines Präsenzsystems resultieren, wird auf Kapitel 2.5.2 verwiesen. Des Weiteren sollte beachtet<br />
werden, dass ein spezifischer Präsenzdienst noch zusätzliche Schnittstellen bieten kann,<br />
die hier nicht aufgeführt wurden. Beispiele hier<strong>für</strong> sind die als Alternative zum dedizierten<br />
Client häufig vorzufindenden Web-Schnittstellen <strong>für</strong> die Client-Kommunikation sowie Management-Schnittstellen.<br />
Es ist daher im Einzelfall mit dem Hersteller eines Systems zu klären,<br />
welche Schnittstellen vorhanden sind, welche <strong>für</strong> den Betrieb unter den gegebenen Anforderungen<br />
benötigt werden und welche gegebenenfalls deaktiviert werden können.<br />
2.5.6 Konferenzsysteme<br />
Konferenzsysteme sind häufig mit <strong>TK</strong>-<strong>Anlagen</strong> verbunden, um die Sprachkommunikation<br />
zwischen den Teilnehmern einer Konferenz zu ermöglichen. Aus funktionaler Sicht muss<br />
dabei zwischen Audio-, Video- und Web-Konferenzen unterschieden werden:<br />
• Bei Audio-Konferenzen wählen sich die Teilnehmer per Telefon in eine sogenannte<br />
Konferenzbrücke ein, die alle Sprachkanäle zusammenführt. Solche Konferenzbrücken<br />
bieten meist eine große Zahl virtueller Räume, um zeitgleich mehrere Konferenzen zu<br />
ermöglichen.<br />
• Video-Konferenzsysteme erlauben die Übertragung von Ton und Bild zwischen unterschiedlichen<br />
Standorten. Auch hier werden Konferenzbrücken eingesetzt, falls mehr als<br />
zwei Endsysteme an einer Konferenz beteiligt sind. In diesem Zusammenhang werden<br />
die Brücken häufig auch MCU (Multipoint Control Unit) genannt.<br />
• Bei Web-Konferenzen können alle Teilnehmer in einem Fenster auf ihrem Bildschirm<br />
das Geschehen auf dem PC-Desktop eines dedizierten Teilnehmers verfolgen („Desktop<br />
48 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Sharing“) – beispielsweise das Halten einer Präsentation, die Vorstellung einer Software<br />
oder das Editieren eines Textdokuments. Im Laufe einer Web-Konferenz kann diese Moderatorrolle<br />
zwischen den Teilnehmern (und ihren Desktops) gewechselt werden. Die<br />
notwendige Sprachübertragung erfolgt meist über eine separate Audiobrücke oder bei<br />
rein IP-basierten Konferenzen alternativ auch über eine eingebaute Brücke des Web-<br />
Konferenzsystems. Gleiches gilt <strong>für</strong> einen eventuell genutzten Bildkanal.<br />
Unabhängig vom Typ des Konferenzsystems dient die Kopplung an eine Telefonanlage der<br />
Anbindung von Telefonteilnehmern. Dies kann auch bei Videokonferenzen sinnvoll sein, um<br />
z. B. mobile Teilnehmer ohne Kamera über ihr Mobilfunktelefon einzubinden. Bei einigen IPbasierten<br />
Video-Konferenzsystemen dient die <strong>TK</strong>-Anlage zudem auch dem Verbindungsaufbau<br />
zwischen zwei Video-Endsystemen. Aus technischer Perspektive ist das Konferenzsystem<br />
damit ein Endgerät der <strong>TK</strong>-Anlage und unterliegt der gleichen Gefährdungssituation bezüglich<br />
der Sprachschnittstelle. Für eine detailliertere Betrachtung dieser Schnittstelle wird auf<br />
Kapitel 2.5.1 verwiesen. Als Ergänzung oder auch alternativ zur Anbindung an eine <strong>TK</strong>-<br />
Anlage können Audio-, Video- und Web-Konferenzsysteme auch über eine direkte Verbindung<br />
zum PSTN verfügen.<br />
Generell sollten Konferenzräume jedweder Art vor unbefugter Nutzung geschützt werden.<br />
Die Prüfung der Zugangsberechtigung ist jedoch bei der Absicherung von Audiokonferenzräumen,<br />
z. B. durch PINs, von besonderer Bedeutung, da die sich im Raum befindlichen<br />
Teilnehmer nicht immer ermittelt werden können. Es müssen daher Maßnahmen zum Umgang<br />
mit PINs implementiert werden, u. a. im Sinne der Festlegung einer minimalen PIN-<br />
Komplexität. Zu beachten ist jedoch, dass die PIN in der Regel <strong>für</strong> einen bestimmten Raum<br />
gilt und damit allen Teilnehmern bekannt sein muss. Eine Authentisierung der einzelnen<br />
Teilnehmer findet in diesem Fall nicht statt – jeder der die PIN kennt, kann sich in den Konferenzraum<br />
einwählen. In diesem Zusammenhang ist die Meldefunktion vieler Audio-<br />
Konferenzsysteme sehr hilfreich, da sie den Eintritt bzw. das Austreten einzelner Teilnehmer<br />
akustisch meldet. Zudem besteht bei einigen Systemen die Möglichkeit, dass dem Moderator<br />
auf einer Webseite alle Teilnehmer angezeigt werden und einzelne Teilnehmer entfernt werden<br />
können.<br />
Ein weiteres Problem besteht in der Verschlüsselung der Medienströme. Bei rein IP-basierten<br />
Konferenzen kann eine Ende-zu-Ende-Verschlüsselung durchgeführt werden, sofern die<br />
verwendete Konferenzbrücke dies unterstützt. Problematisch ist die Einbindung von Teilnehmern<br />
mit konventionellen Endgeräten, wie z. B. ISDN-Telefonen. Bei erhöhtem Schutzbedarf<br />
ist hier der Einsatz von Kryptoboxen vorzusehen. Zudem sollten sich in diesem Fall<br />
alle Teilnehmer in abhörgesicherten Räumen aufhalten.<br />
Neben der Schnittstelle zur <strong>TK</strong>-Anlage verfügen insbesondere Video- und Web-<br />
Konferenzsysteme meist über eine Anbindung an einen Verzeichnisdienst, z. B. um Teilnehmer<br />
anhand ihres Namens anzuwählen. Weiterhin bieten Konferenzsysteme in der Regel<br />
zumindest Web-basierte Management-Schnittstellen sowie andere Möglichkeiten wie Secure<br />
Shell (SSH) oder das Simple Network Management Protokoll (SNMP) 25 , um eine abgesetzte<br />
Wartung und Überwachung durchzuführen. Wie bei anderen <strong>TK</strong>-Applikationen gilt auch hier,<br />
25 SNMP ist <strong>für</strong> das Auslesen und Setzen von Konfigurationsdaten konzipiert. Zwar bietet die aktuelle Spezifikation<br />
SNMPv3 ausreichende Sicherungsmechanismen zur Authentisierung und Verschlüsselung. In der<br />
Praxis ist diese Version jedoch noch nicht sehr weit verbreitet.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 49
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
dass mit dem Hersteller eines Produkts die konkrete Zahl und Ausprägung von Schnittstellen<br />
eines Konferenzsystems geklärt werden sollte.<br />
2.5.7 Alarmserver<br />
Alarmserver benachrichtigen beim Auftreten von Störungen oder anderen Ereignissen definierte<br />
Personen oder Personengruppen. An der Schnittstelle zwischen Gebäudeleittechnik und<br />
Kommunikationstechnik sammeln sie Informationen aus den Kommunikationsnetzwerken<br />
sowie der im Gebäude eingesetzten Sensorik und werten diese aus. Bei definierten Ereignissen<br />
löst der Server dann Alarm aus und veranlasst, dass alle zuständigen Personen über den<br />
Alarm informiert werden. Darüber hinaus sind weitere Gegenmaßnahmen (z. B. die Aktivierung<br />
der Sprinkleranlage bei Feueralarm) mithilfe eines Alarmservers realisierbar.<br />
Der Einsatzbereich von Alarmservern ist breit gefächert. Zum einen kommen diese bei klassischen<br />
Aufgaben der <strong>Sicherheit</strong>stechnik wie Einbruch- und Brandschutz zum Einsatz. Zum<br />
anderen übernehmen sie Aufgaben, wie z. B. die Überwachung von Produktionsprozessen<br />
oder der Netzwerkinfrastruktur. So vielfältig wie die Einsatzzwecke sind auch die einzuleitenden<br />
Gegenmaßnahmen. Die wichtigste und wohl allgemeingültigste ist die zeitnahe<br />
Informierung der <strong>für</strong> die Koordination der Gegenmaßnahmen zuständigen Personen. Damit<br />
diese Aufgabe bestmöglich erfüllt wird, muss der Alarmserver in der Lage sein, jedes zur<br />
Verfügung stehende Kommunikationsmittel zu nutzen. Dementsprechend verfügen Alarmserver<br />
über eine Vielzahl von Schnittstellen, welche einer Reihe von Gefährdungen ausgesetzt<br />
sind.<br />
Ein Alarmserver ist in der Regel in die Kommunikationsinfrastruktur des Unternehmens<br />
eingebettet. Eine gängige Schnittstelle ist ISDN (S0/S2M) zur Anbindung an Telefonanlagen.<br />
Diese kann einerseits zur Benachrichtigung von Verantwortlichen per Anruf, Fax oder Textnachricht,<br />
andererseits aber auch zum Betrieb einer Notrufnummer zur Auslösung eines Alarms<br />
genutzt werden. Weiterhin kann eine Anbindung eines Alarmservers an IP-basierte<br />
Dienste wie VoIP, E-Mail oder Web erfolgen.<br />
Bei der Überwachung der Netzwerkinfrastruktur bzw. zur Alarmauslösung kommt oft SNMP<br />
zum Einsatz.<br />
2.5.8 Gegensprechanlagen und Türöffnungssysteme<br />
Gegensprechanlagen und Türöffnungssysteme können als Endgeräte einer <strong>TK</strong>-Anlage ausgelegt<br />
sein. Bei Betätigen des Klingelknopfes wird eine Verbindung zu einem Telefon hergestellt;<br />
sowohl die Gegensprechfunktion als auch die Türöffnung können dann über das<br />
Telefon erfolgen.<br />
Rein funktional unterscheiden sich solche Gegensprechsysteme nicht von konventionellen<br />
Telefonen. Da es sich jedoch um öffentlich zugängliche Apparate handelt, müssen entsprechende<br />
Maßnahmen zur Absicherung dieses Zugangs getroffen werden. Dies reicht von<br />
der Einschränkung der wählbaren Rufnummern, um einen Gebührenmissbrauch zu vermeiden,<br />
bis hin zur Absicherung des Ethernet-Zugangs, um einen direkten Zugriff auf das<br />
Netz zu verhindern.<br />
50 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2.5.9 Anwendungsintegration<br />
2 Telekommunikationssysteme im Überblick<br />
Allen <strong>TK</strong>-Applikationen ist gemein, dass sie Schnittstellen der <strong>TK</strong>-Anlage nutzen. Viele<br />
Systeme bilden zudem eine Brücke zwischen der <strong>TK</strong>- und der IT-Landschaft eines Unternehmens.<br />
Ein solches Brückenszenario zeigt Abbildung 18 am Beispiel CTI. Unterschiede<br />
bestehen hauptsächlich in der Anzahl und Art der Schnittstellen zu verschiedenen <strong>TK</strong>- und<br />
IT-Systemen sowie in der Natur der zwischen den Systemen ausgetauschten Informationen.<br />
<strong>TK</strong>-Applikationen basieren in der Regel auf Systemen mit handelsüblichen Betriebssystemen,<br />
wie beispielsweise Linux oder Mircosoft Windows und unterliegen somit auch den <strong>Sicherheit</strong>sbetrachtungen<br />
<strong>für</strong> diese Systeme.<br />
Die möglichen Wechselwirkungen zwischen den integrierten Systemen sind vielfältig. Eine<br />
Gefährdungsanalyse <strong>für</strong> <strong>TK</strong>-Applikationen muss insbesondere das Zusammenspiel mit unterschiedlich<br />
gearteten <strong>TK</strong>-<strong>Anlagen</strong>, ISDN und VoIP berücksichtigen, Zudem sind die Zugriffsmöglichkeiten<br />
auf Nachrichtenspeicher im Telefon, im Mail-Client und über eine Web-<br />
Schnittstelle sowie auf das Nachrichten-Archiv zu beachten.<br />
2.6 Mobile und drahtlose Systeme<br />
Für die private Telekommunikation sind schnurlose Anbindungen<br />
von Endgeräten nicht neu. DECT ist ein seit<br />
Jahren bewährtes System. Auf der Seite der IT-<br />
Infrastrukturen hat sich aber mit Wireless LAN (WLAN)<br />
eine Technik entwickelt, die mit der Konvergenz von<br />
Sprache und Daten auch immer attraktiver <strong>für</strong> die<br />
Sprachübertragung wird. Die grundlegenden Konzepte und <strong>Sicherheit</strong>smechanismen <strong>für</strong> den<br />
WLAN-Einsatz werden in Kapitel 2.6.1 vorgestellt. Verbunden mit der Übertragung von<br />
Sprache über WLAN ist die Integration von drahtloser und mobiler Telekommunikation<br />
(Kapitel 2.6.2). Abschließend werden die Systeme DECT (Kapitel 2.6.3) und Bluetooth<br />
(Kapitel 2.6.4) betrachtet.<br />
2.6.1 Wireless LAN zur Anbindung drahtloser Endgeräte<br />
Wireless LANs (WLANs) haben sich als drahtlose Erweiterung traditioneller kabelbasierter<br />
LAN etabliert. WLANs operieren in den unlizenzierten Frequenzbereichen bei 2,4 GHz und<br />
bei 5 GHz, die in Deutschland von der Bundesnetzagentur unter anderem <strong>für</strong> die WLAN-<br />
Nutzung zur Verfügung gestellt wurden. Im 2,4-GHz-Bereich, einem sogenannten ISM-Band<br />
(Industrial, Scientific and Medical Band), operieren neben WLAN eine Vielzahl unterschiedlicher<br />
Systeme. Beispiele sind Mikrowellenherde, Bewegungsmelder und Bluetooth.<br />
Als Standard <strong>für</strong> WLAN hat sich IEEE 802.11 durchgesetzt. Der Standard ist inzwischen<br />
durch diverse Ergänzungen erweitert worden, die beispielsweise verschiedene physikalische<br />
Übertragungsverfahren (IEEE 802.11a <strong>für</strong> den 5-GHz-Bereich und IEEE 802.11b sowie IEEE<br />
802.11g <strong>für</strong> den 2,4-GHz-Bereich), Anpassungen des Kanalzugriffs zur Unterstützung von<br />
Quality-of-Service-Konzepten (IEEE 802.11e) oder verbesserte <strong>Sicherheit</strong>smechanismen<br />
(IEEE 802.11i) beschreiben. WLANs nach IEEE 802.11a und IEEE 802.11g operieren mit<br />
einer Bruttodatenrate von maximal 54 MBit/s auf der physikalischen Schicht. Der kommende<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 51
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Standard IEEE 802.11n wird durch spezielle Funkübertragungstechniken diese Datenrate auf<br />
brutto bis zu 600 MBit/s erweitern.<br />
2.6.1.1 Architektur<br />
Neben der Verwendung autonomer Access Points, die als Layer 2 Bridges an ein kabelbasiertes<br />
LAN (Ethernet) angeschlossen werden, wird in WLAN-Installationen vermehrt das<br />
sogenannte Controller-basierte WLAN-Design eingesetzt. In einem Controller-basierten<br />
WLAN-Design werden WLAN-Funktionen durch zentral positionierte WLAN Controller<br />
realisiert und die Aufgaben der Access Points auf die reine Funkübertragung reduziert. Daher<br />
werden Access Points in einem Controller-basierten Design oft auch als Thin Access Points<br />
bezeichnet. In der IETF erarbeitet die Gruppe CAPWAP (Control and Provisioning of<br />
Wireless Access Points) einen Standard <strong>für</strong> einen Controller-basierten WLAN-Aufbau.<br />
Abbildung 19: Controller-basiertes WLAN-Design<br />
Die Kommunikation zwischen WLAN Controller und Thin Access Point erfolgt typischerweise<br />
über einen IP-Tunnel (siehe Abbildung 19). Über diesen Tunnel wird die gesamte<br />
Kommunikation von und zu den WLAN-Clients sowie alle Daten <strong>für</strong> das Management der<br />
Thin Access Points transportiert. Hiermit ist der Aufbau des WLANs als Overlay-Netz und<br />
der damit verbundenen Abstraktion von der Struktur des zu Grunde liegenden Transportnetzes<br />
möglich. Das Controller-basierte Design bietet weiterhin den Vorteil einer zentralen Kontrolle<br />
und Überwachung der Thin Access Points. Für den Aufbau eines WLANs kann bei einer<br />
Controller-basierten Lösung die vorhandene LAN-Infrastruktur genutzt werden. Durch die<br />
Verwendung von IP-Tunneln besteht analog zu einem VPN eine logische Trennung des<br />
WLAN-Verkehrs von der sonstigen Kommunikation im LAN. Da der Datenverkehr der<br />
52 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
WLAN-Clients zwischen Thin Access Points und WLAN Controller getunnelt wird, ist das<br />
LAN dabei <strong>für</strong> die WLAN-Endgeräte vollständig transparent. Bei entsprechenden <strong>Sicherheit</strong>sanforderungen<br />
kann eine weitergehende Trennung durch VLANs oder sogar eine separa<br />
te physikalische Infrastruktur <strong>für</strong> das WLAN, d. h. eigene aktive Komponenten, erfolgen.<br />
Das Tunnel-Konzept einer WLAN-Controller-Lösung hat in manchen Situationen auch Nach-<br />
teile. Stellt man sich ein Filial-Szenario vor, bei dem WLAN-Controller in der Zentrale auf<br />
gestellt sind und Thin Access Points in den Filialen über eine WAN-Strecke angebunden<br />
werden, kann sich folgende Situation ergeben: Wenn in einer Filiale über VoIP kommuniziert<br />
wird und ein lokales Telefonat geführt wird oder wenn von einem WLAN-Client eine Datei<br />
zu einem lokalen Drucker geschickt wird, müsste der gesamte Verkehr erst in die Zentrale<br />
zum WLAN Controller und dann wieder zurück zur Filiale. Die kostbare WAN-Strecke würde<br />
also nicht nur unnötig, sondern sogar gleich doppelt passiert. Zur Lösung dieses Problems<br />
bieten die meisten Hersteller die Möglichkeit den Verkehr lokal am Thin Access Point auszukoppeln.<br />
Damit gehen natürlich die Eigenschaften des Overlay-Netzes verloren.<br />
Für den Tunnelmechanismus und die über den Tunnel ausgetauschten Daten liegt zwar seit<br />
geraumer Zeit die CAPWAP Protocol Specification<br />
als IETF Draft vor, aktuell sind aber<br />
meist herstellerspezifische Lösungen verfügbar.<br />
2.6.1.2 <strong>Sicherheit</strong>smechanismen<br />
ng. Hierzu dient der Standard<br />
IEEE 802.11i26 Kernelement ist die Absicherung der Funkübertragu<br />
, der folgende Elemente beschreibt:<br />
• Authentisierung von WLAN Clients und WLAN-Infrastruktur<br />
• Verschlüsselung und Integritätsprüfung der Daten auf der Luftschnittstelle<br />
• Schlüsselmanagement zur Aushandlung und Auffrischung des Schlüsselmaterials<br />
Für die Verschlüsselung und Integritätsprüfung sind zwei Verfahren festgelegt worden: Das<br />
Temporal Key Integrity Protocol (<strong>TK</strong>IP) basiert auf dem Stromchiffrierer RC4 und wird von<br />
vielen, auch älteren WLAN-Geräten, unterstützt. <strong>TK</strong>IP ist als Zwischenlösung aufzufassen.<br />
Der zweite Mechanismus, Counter Mode with Cipher Block Chaining Message Authentication<br />
Code Protocol (CCMP), basiert<br />
auf AES mit einer Schlüssellänge von 128 Bit. CCMP ist<br />
die zu empfehlende Variante.<br />
Die Authentisierung erfolgt entweder über IEEE 802.1X (in diesem Fall erfolgt das Schlüs<br />
selmanagement auch über IEEE 802.1X) oder implizit über Pre-Shared Keys (PSKs).<br />
Für eine Authentisierung nach IEEE 802.1X kommuniziert ein WLAN Client (in der Terminologie<br />
von IEEE 802.1X als Supplicant bezeichnet) auf Layer 2 mit einer Funktion im Access<br />
Point bzw. WLAN Controller, dem Authenticator. IEEE 802.1X verwendet hierzu eine<br />
<strong>für</strong> die LAN-Übertragung angepasste Version des Extensible Authentication Protocol (EAP).<br />
26 IEEE 802.11i wurde erarbeitet, weil sich der in IEEE 802.11 ursprünglich spezifizierte <strong>Sicherheit</strong>smechanismus<br />
Wired Equivalent Privacy (WEP) als ungenügend erwiesen hat. WEP ist vollständig<br />
kompromittiert und mit modernen Werkzeugen kann inzwischen der geheime WEP-Schlüssel über die<br />
Luftschnittstelle mit recht hoher Wahrscheinlichkeit in weniger als einer Minute ermittelt werden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 53
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Der Authenticator gestattet bei erfolgreicher Authentisierung die Kommunikation des WLAN<br />
Client mit der Infrastruktur bzw. blockiert andernfalls die Kommunikation. Der Authenticator<br />
enthält keine eigene Intelligenz hinsichtlich des verwendeten Authentisierungsverfahrens,<br />
sondern leitet EAP-Pakete des Supplicant an einen sogenannten Authentication Server und<br />
dessen EAP-Antworten wieder an den Supplicant weiter. Als Protokoll zwischen Authentica<br />
tor und Authentication Server dient üblicherweise RADIUS27<br />
, wobei EAP-Nachrichten in<br />
einem RADIUS-Attribut gekapselt werden. Eine detailliertere Beschreibung<br />
von IEEE<br />
802.1X und EAP kann dem Anhang in Kapitel 7.1 entnommen werden.<br />
Für WLAN-Installationen in Unternehmen oder Behörden ist die Verwendung von IEEE<br />
802.1X in den meisten Fällen zu empfehlen. PSKs können nur in sehr kleinen WLANs sinn<br />
voll (und sicher) verwaltet werden. Als Authentisierungsmethode<br />
kann <strong>für</strong> viele Einsatzbereiche<br />
EAP-TLS empfohlen werden.<br />
Das Herstellerkonsortium Wi-Fi Alliance zertifiziert Produkte hinsichtlich Interoperabilität<br />
und Konformität zu Standards der Reihe IEEE 802.11. Für die Absicherung von WLANs<br />
wurde im ersten Quartal 2003 zunächst Wi-Fi Protected Access (WPA) veröffentlicht. WPA<br />
basiert auf einem Draft zu IEEE 802.11i und unterstützt<br />
eine Teilmenge der in diesem Draft<br />
spezifizierten Funktionen (insbesondere <strong>TK</strong>IP).<br />
Im Jahr 2004 wurde WPA2 verabschiedet und seit 2006 ist WPA2 ein zwingender Bestandteil<br />
einer Wi-Fi-Zertifizierung (und hat damit WPA abgelöst<br />
ungen von IEEE 802.11i ab und unterstützt neben <strong>TK</strong>IP auch den AES-Modus<br />
CCMP.<br />
28 ). WPA2 deckt alle zwingenden<br />
Anforder<br />
Es gibt zwei Profile <strong>für</strong> WPA und WPA2:<br />
• Das Profil WPA-Enterprise bzw. WPA2-Enterprise ist <strong>für</strong> größere WLAN-Installationen<br />
gedacht und verwendet<br />
<strong>für</strong> die Authentisierung und Schlüsselverwaltung IEEE 802.1X<br />
mit RADIUS.<br />
• WPA-Personal bzw. WPA2-Personal n und den<br />
SOHO-Bereich spezifiziert und operiert mit Pre-Shared Keys (PSKs) operiert.<br />
29 wurde <strong>für</strong> kleinere WLAN-Installatione<br />
Weitere Informationen zur Absicherung von WLANs, insbesondere unter Berücksichtigung<br />
eines erhöhten Schutzbedarfs, liefert die „<strong>Technische</strong> Richtlinie <strong>Sichere</strong>s WLAN“ (siehe<br />
[BSI05b]). Die Informationsschrift „Drahtlose Kommunikationssysteme und ihre <strong>Sicherheit</strong>s<br />
aspekte“ des BSI (siehe [BSI06b]) beschreibt auch <strong>Sicherheit</strong>saspekte <strong>für</strong> das Controllerbasierte<br />
WLAN-Design und betrachtet neben<br />
WLANs auch andere drahtlose Kommunikationssysteme,<br />
wie DECT und Bluetooth.<br />
Für den erhöhten Schutzbedarf hinsichtlich Vertraulichkeit und Integrität sieht die <strong>Technische</strong><br />
Richtlinie <strong>Sichere</strong>s WLAN bereits <strong>für</strong> kleinere WLAN-Installationen neben dem Einsatz von<br />
IEEE 802.11i und IEEE 802.1X die Verwendung eines VPN vor. Auf diese Weise besteht<br />
auch bei Kompromittierung eines einzelnen Mechanismus (etwa durch einen Konfigurations-<br />
27 An dieser Stelle wird künftig auch Diameter, der Nachfolger von RADIUS, häufiger verwendet werden.<br />
28 In der Praxis sind allerdings noch viele Geräte im Einsatz, die lediglich eine WPA-Zertifizierung haben.<br />
29 WPA-Personal bzw. WPA2-Personal werden auch als WPA-PSK bzw. WP2-PSK bezeichnet.<br />
54 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
fehler) ein Schutz durch Authentisierung und Verschlüsselung. Bei erhöhten Anforderungen<br />
an die Verfügbarkeit werden eine Überwachung der Luftschnittstelle<br />
und der Einsatz von<br />
Systemen zur Angriffserkennung und -verhinderung empfohlen.<br />
2.6.1.3 VoIP over WLAN<br />
Für die Übertragung von VoIP über WLANs ist der ursprünglich, in der Version des Standards<br />
von 1999 spezifizierte Kanalzugriff nicht zufriedenstellend geeignet. Der Grund ist<br />
zunächst, dass der Kanalzugriff in einem WLAN nach IEEE 802.11 ein zufallsgesteuerter<br />
Mechanismus ist, der zunächst weder eine Priorisierung unterschiedlicher Verkehrsklassen<br />
noch eine explizite Bandbreitenreservierung vorsieht. Als Konsequenz ist die Antwortzeit in<br />
einem WLAN nach IEEE 802.11 stets starken Schwankungen unterworfen. Diese Schwankungen<br />
sind neben der Qualität des Funkkanals abhängig von der Anzahl der Clients, die an<br />
einem Access Point<br />
assoziiert sind, und vom Verkehrsverhalten (also von den Anwendungen)<br />
dieser Clients.<br />
Für die Übertragung von Sprache und anderen Daten, die höhere Anforderungen an das Antwortzeitverhalten<br />
haben, ist der Kanalzugriff daher mit IEEE 802.11e um Mechanismen zur<br />
Zusicherung von Dienstgüte (Quality of Service, QoS) erweitert worden. Auf einem Draft<br />
zu<br />
IEEE 802.11e basiert der Industriestandard Wi-Fi Multimedia (WMM) des Herstellerkonsortiums<br />
Wi-Fi Alliance, nach dem diverse WLAN-Produkte zertifiziert sind. Das Kern<br />
element von IEEE 802.11e und WMM ist die abwärtskompatible Erweiterung des Kanalzugriffs<br />
um einen Priorisierungsmechanismus. Der grundsätzliche Zufallsmechanismus des<br />
Kanalzugriffs in WLANs bleibt aber erhalten. Es werden vier Prioritätsklassen unterschieden:<br />
Voice Priority als höchste Priorität,<br />
gefolgt von Video Priority, dann Best Effort Priority und<br />
schließlich Background Priority.<br />
Wird VoIP in einem flächendeckenden WLAN, bestehend aus mehreren überlappenden<br />
Funkzellen (Access Points) genutzt, bestehen hohe Anforderungen an den Zellwechsel (Handover).<br />
Gewisse Ausfallzeiten der Verbindung sind bei einem Handover unvermeidbar. Für<br />
VoIP müssen sich diese Ausfallzeiten in tolerablen, d. h. kaum wahrnehmbaren, Grenzen<br />
bewegen. Der Standard IEEE 802.11 und seine aktuellen Erweiterungen spezifizieren aber<br />
weder Verfahren noch Parameter <strong>für</strong> ein Handover. Die Implementierung eines Handover ist<br />
also derzeit noch vollständig herstellerspezifisch. In der „Task Group r“ wird allerdings bereits<br />
an schnellen Handover-Verfahren gearbeitet, die mit IEEE 802.11r standardisiert werden<br />
sollen.<br />
2.6.2<br />
gence<br />
Private Telekommunikation und Mobilfunk: Fixed Mobile Conver-<br />
Unter Fixed Mobile Convergence (FMC) wird eine Verbindung zwischen einem Festnetz und<br />
einem Mobilfunknetz verstanden, die netzübergreifend Leistungsmerkmale zu einem einheit<br />
lichen Dienst integriert. Ein typisches Beispiel ist die Erreichbarkeit unter einer einzigen<br />
Rufnummer im Festnetz und im Mobilfunknetz. Dabei erfolgt eine Anbindung von GSMbzw.<br />
UMTS-Mobiltelefonen an eine lokale <strong>TK</strong>-Anlage derart, dass der Teilnehmer einerseits<br />
am Mobiltelefon unter seiner Festnetznummer erreichbar ist und andererseits<br />
auf die vom<br />
Festnetzanschluss gewohnten Leistungsmerkmale zurückgreifen kann.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 55
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
2.6.2.1 Architektur<br />
Unter dem Begriff FMC werden unterschiedliche technische Lösungen zusammengefasst, die<br />
sich in der Art und Weise der Verbindung der Netze unterscheiden. Im Wesentlichen können<br />
zwei Alternativen unterschieden werden:<br />
• Aufbau einer FMC-Lösung als Ergänzung einer <strong>TK</strong>-Anlage<br />
• Aufbau einer FMC-Lösung als Bestandteil eines GSM/UMTS-Mobilfunknetzes<br />
Für die Betrachtungen in dieser <strong>Technische</strong>n <strong>Leitlinie</strong> ist primär die erste Alternative wichtig,<br />
da hier die private Telekommunikation im Vordergrund steht. Die zweite Alternative wird im<br />
Folgenden trotzdem kurz beschrieben, da sie von strategischer Bedeutung <strong>für</strong> das Zusammenwachsen<br />
von Festnetz und Mobilfunknetz ist.<br />
2.6.2.1.1 Aufbau einer FMC-Lösung als Ergänzung einer <strong>TK</strong>-Anlage<br />
Manche FMC-Systeme basieren auf den in <strong>TK</strong>-<strong>Anlagen</strong> bereitgestellten Rufumleitungsfunktionen<br />
und erfordern <strong>für</strong> die Bereitstellung von Leistungsmerkmalen eine spezielle Software<br />
auf dem Mobiltelefon. Aus dem Blickwinkel der <strong>TK</strong>-Anlage und des Nutzers ist das<br />
Mobiltelefon praktisch eine weitere Nebenstelle geworden und das Mobilfunknetz wird als<br />
transparentes Kommunikationsmedium verwendet. Solche FMC-Lösungen nutzen neben den<br />
Diensten zur Sprachübertragung auch GPRS zur spezifischen Signalisierung zwischen der<br />
Komponente auf dem Mobiltelefon und der <strong>TK</strong>-Anlage (z. B. Synchronisation von Kontakten)<br />
und Messaging-Dienste. Ein eingehender Ruf kann parallel sowohl auf dem Festnetztelefon<br />
als auch auf dem Mobiltelefon angezeigt werden. Nimmt der Teilnehmer das Gespräch<br />
beispielsweise auf dem Festnetzapparat an, kann das Gespräch bei vielen Lösungen anschließend<br />
„auf Knopfdruck“ an das Mobiltelefon übergeben und dort nahtlos fortgesetzt<br />
werden.<br />
Unterstützt das Mobiltelefon zusätzlich eine WLAN-Schnittstelle mit einem VoIP-Client, so<br />
gestatten es manche FMC-Lösungen, dass sich das Endgerät bei Empfang des heimatlichen<br />
WLANs automatisch in dieses Netz einbucht und die Sprachkommunikation automatisch über<br />
WLAN geführt wird. Bewegt sich das Mobiltelefon aus dem Abdeckungsbereich des WLANs<br />
hinaus, wird wieder über GSM/UMTS kommuniziert (siehe Abbildung 20). Dabei kann auch<br />
eine nahtlose Gesprächsübergabe (Handover) zwischen WLAN und GSM/UMTS realisiert<br />
werden.<br />
56 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Abbildung 20: Rufvermittlung bei einer FMC-Lösung am Beispiel einer IP-PBX<br />
GSM PSTN<br />
2) Falls sich Apparat B nicht im lokalen<br />
Netz befindet, erfolgt Weiterleitung des<br />
Rufs über den PSTN-Anschluss.<br />
1) A ruft B.<br />
PSTN<br />
Gateway<br />
LAN<br />
Firewall<br />
LAN<br />
Access<br />
Point<br />
IP-PBX<br />
2.6.2.1.2 FMC-Lösung als Erweiterung eines Mobilfunknetzes<br />
2) Falls sich Apparat B im<br />
lokalen Netz befindet, erfolgt<br />
lokale VoIP-Signalisierung.<br />
In der eben beschriebenen Lösung liegt die Intelligenz <strong>für</strong> die Vermittlung (und <strong>für</strong> die zugehörige<br />
Teilnehmerverwaltung) zwischen der mobilen und der lokalen Kommunikation in<br />
der <strong>TK</strong>-Anlage bzw. einem der <strong>TK</strong>-Anlage zugeordneten Netzelement. Dieser Ansatz ist<br />
damit im Prinzip unabhängig vom Aufbau des Mobilfunknetzes.<br />
Eine FMC-Lösung kann auch als Erweiterung eines Mobilfunknetzes realisiert werden, indem<br />
über ein spezielles Gateway ein Zugang von einem WLAN zum Mobilfunknetz geschaffen<br />
wird. Die Intelligenz hinsichtlich der Bereitstellung, Bearbeitung und Verwaltung von Diensten<br />
liegt dann im Mobilfunknetz. Die lokale Komponente (d. h. das WLAN) ist einfach ein<br />
weiteres transparentes Trägermedium zur Kommunikation mit einem mobilen Endgerät. In<br />
diese Richtung geht ein <strong>für</strong> GSM/UMTS spezifiziertes, als Generic Access Network (GAN)<br />
bezeichnetes, Konzept (siehe [3GPP07]). GAN ist ursprünglich unter der Bezeichnung Unlicensed<br />
Mobile Access (UMA) entwickelt worden, ist aber mit der ersten Veröffentlichung der<br />
Spezifikation durch das 3rd Generation Partnership Project (3GPP), das die Spezifikationen<br />
<strong>für</strong> GSM und UMTS erarbeitet, in GAN umbenannt worden.<br />
Kernelement von GANs ist der GAN Controller (GANC), der die Verbindung zum<br />
GSM/UMTS-Netz herstellt. Ein GAN-fähiges Dual-Mode-Endgerät kann gleichzeitig sowohl<br />
GSM-Verbindungen als auch WLAN-Technologie nutzen. Bewegt sich ein solches Mobiltelefon<br />
in den Bereich eines WLAN, versucht es zunächst eine Verbindung zum WLAN herzu-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 57
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
stellen, d. h. nach einer Assoziation erfolgt ggf. eine Authentisierung und der Aufbau eines<br />
gesicherten Kommunikationskanals mit IEEE 802.11i gemäß der <strong>für</strong> das WLAN festgelegten<br />
Einstellungen. Anschließend sucht das Endgerät über das WLAN einen GANC und verbindet<br />
sich mit diesem. Der GANC ist mit einem GSM/UMTS-Netz verbunden, wie in Abbildung 21<br />
gezeigt. Dem GSM/UMTS-Netz gegenüber verhält sich der GANC wie eine GSM/UMTS-<br />
Basisstation (genauer gesagt wie ein GSM Base Station Controller bzw. ein UMTS Radio<br />
Network Controller). Über den GANC bucht sich das Endgerät dann im GSM/UMTS-Netz<br />
ein, als ob es sich über eine normale GSM/UMTS-Funkzelle angemeldet hätte, und kann wie<br />
gewohnt die Mobilfunkdienste nutzen. Aus dem Blickwinkel der GSM/UMTS-Infrastruktur<br />
befindet sich das Endgerät in einer virtuellen GSM/UMTS-Funkzelle. Bewegt sich das Endgerät<br />
während eines Gesprächs aus dem Versorgungsbereich des WLAN heraus, wird ein<br />
Handover vom GANC zu einer GSM/UMTS-Basisstation durchgeführt.<br />
Abbildung 21: Vereinfachte GAN-Architektur<br />
Die Architektur von GANs ist nicht speziell auf WLANs ausgerichtet. Grundsätzlich kann ein<br />
praktisch beliebiges IP-basiertes Netz als GAN an eine GSM/UMTS-Infrastruktur angedockt<br />
werden. Abbildung 22 zeigt <strong>für</strong> leitungsvermittelte UMTS-Dienste (Circuit-switched Services,<br />
CS), insbesondere <strong>für</strong> Sprachdienste, den Protokoll-Stack <strong>für</strong> die Signalisierung und<br />
Abbildung 23 den zugehörigen Protokoll-Stack <strong>für</strong> die eigentliche Sprachübertragung.<br />
58 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
Abbildung 22: Vereinfachter Protokoll-Stack <strong>für</strong> die Signalisierung <strong>für</strong> leitungsvermittelte Dienste<br />
Mobilstation<br />
CS<br />
Nutzerdaten<br />
(Sprache)<br />
RTP<br />
UDP<br />
IP<br />
IPsec ESP<br />
IP<br />
Access<br />
Abbildung 23: Vereinfachter Protokoll-Stack <strong>für</strong> die Sprachübertragung<br />
Access<br />
IP-Netz<br />
2.6.2.2 <strong>Sicherheit</strong>smechanismen<br />
IP<br />
GANC<br />
RTP<br />
UDP<br />
IP<br />
IPsec ESP<br />
IP<br />
Access Access<br />
Transport der<br />
UMTS-<br />
Nutzdaten<br />
(TS 25.414)<br />
UMTS<br />
Core-Netz<br />
MSC<br />
Transport der<br />
UMTS-<br />
Nutzdaten<br />
(TS 25.414)<br />
Für beide beschriebenen Varianten bestehen zunächst die <strong>für</strong> GSM/UMTS eingesetzten <strong>Sicherheit</strong>smechanismen,<br />
d. h. die Mobilstation muss sich bei der Anmeldung an ein<br />
GSM/UMTS-Netz gegen das Heimat-GSM/UMTS-Netz authentisieren und Sprachinformationen<br />
werden auf der Luftschnittstelle zwischen Mobilstation und Basisstation verschlüsselt<br />
übertragen. Für GPRS wird zwischen Mobilstation und Serving GPRS Support<br />
Node (SGSN), einer Komponente des Core-Netzes, verschlüsselt. Trotzdem werden in<br />
wesentlichen Teilen der GSM-Infrastruktur sowohl Nutz- als auch Signalisierungsdaten unverschlüsselt<br />
und nicht authentisiert übertragen. Weiterhin haben zumindest die Verfahren,<br />
die in GSM/GRPS auf der Luftschnittstelle eingesetzt werden, gewisse Schwächen, welche<br />
<strong>für</strong> die Übertragung von Daten mit erhöhtem Schutzbedarf bedenklich sind (siehe [BSI03]).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 59
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Für die Übertragung im (W)LAN wirken zunächst die dort eingesetzten <strong>Sicherheit</strong>smechanismen.<br />
Damit sich nur gewünschte Endgeräte mit dem (W)LAN verbinden können,<br />
kann am (W)LAN-Zugang eine Authentisierung mit IEEE 802.1X verwendet werden. Für<br />
WLANs bietet IEEE 802.11i die weitergehende Möglichkeit zur Verschlüsselung der<br />
Kommunikation auf der Luftschnittstelle.<br />
Generell gilt auch, dass <strong>Sicherheit</strong>smechanismen auf den mobilen Endgeräten erforderlich<br />
sind. Zu nennen sind die Zugangskontrolle zu Diensten sowie der Zugriffsschutz <strong>für</strong> Daten<br />
auf dem Endgerät inklusive Berechtigungskonzept. Hier haben viele mobile Endgeräte erhebliche<br />
Schwächen (siehe [BSI06a]).<br />
2.6.2.2.1 Aufbau einer FMC-Lösung als Ergänzung einer <strong>TK</strong>-Anlage<br />
Für diese Lösungsvariante können produktabhängig <strong>Sicherheit</strong>smechanismen zwischen Mobiltelefon<br />
und <strong>TK</strong>-Anlage wirken. Grundsätzlich kann beispielsweise zwischen der FMC-<br />
Komponente auf dem Mobiltelefon und der <strong>TK</strong>-Anlage eine Authentisierung zumindest des<br />
Mobiltelefons erfolgen. Eine Verschlüsselung der Kommunikation zwischen der FMC-<br />
Komponente auf dem Mobiltelefon und der <strong>TK</strong>-Anlage ist ebenfalls denkbar.<br />
2.6.2.2.2 FMC-Lösung als Erweiterung eines Mobilfunknetzes<br />
Wie bereits in Abbildung 22 und in Abbildung 23 angedeutet, wird die Übertragung zwischen<br />
Mobilstation und GANC durch eine Verschlüsselung und Integritätsprüfung mit IPsec abgesichert.<br />
IPsec wird dabei im Tunnelmodus verwendet, d. h. über ein IP-Transportnetz,<br />
welches die Verbindung zwischen Mobilstation und GANC herstellt, werden die IP-Pakete<br />
der Anwendung (z. B. RTP-Pakete) gesichert übertragen. Tunnelendpunkte sind die Mobilstation<br />
und der GANC, d. h. der GANC ist das VPN-Gateway <strong>für</strong> den VPN-Client in der<br />
Mobilstation. Im GANC erfolgt die Umsetzung in GSM/UMTS-spezifische Signale.<br />
Für den Aufbau der IPsec Security Association (SA) zwischen Mobilstation und GANC wird<br />
im Rahmen des Schlüsselaustauschs über Internet Key Exchange Version 2 (IKEv2) eine<br />
gegenseitige Authentisierung von Mobilstation und GANC durchgeführt. Diese Authentisierung<br />
erfolgt über das Extensible Authentication Protocol entweder mit der Methode EAP-SIM<br />
<strong>für</strong> GSM oder EAP-AKA <strong>für</strong> UMTS.<br />
2.6.3 DECT<br />
Der Standard Digital Enhanced Cordless Telecommunications (DECT) des European Telecommunications<br />
Standards Institute (ETSI, siehe [EN300175]) spezifiziert ein digitales System<br />
zur drahtlosen Übertragung von Sprache und Daten, das sich im Vergleich zu analogen<br />
Schnurlostelefon-Standards durch eine hohe Sprachqualität und Optionen <strong>für</strong> eine höhere<br />
Abhörsicherheit auszeichnet. DECT arbeitet in Europa im explizit reservierten Frequenzband<br />
zwischen 1880 MHz und 1900 MHz.<br />
Typische Einsatzorte von DECT sind in erster Linie Bürogebäude und Firmengelände sowie<br />
Heimbereiche.<br />
60 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2.6.3.1 Architektur<br />
2 Telekommunikationssysteme im Überblick<br />
Mit DECT-Systemen können komplette schnurlose Nebenstellenanlagen aufgebaut werden.<br />
Neben den normalen Telekommunikationsverbindungen über einen Amtsanschluss können<br />
dann zwischen mehreren mobilen Endgeräten (Portable Parts, PPs) gebührenfrei interne<br />
Kommunikationsverbindungen über die DECT-Basisstation (sogenannte Fixed Parts, FPs)<br />
aufgebaut werden.<br />
DECT ist multizellenfähig und unterstützt Verfahren wie Roaming 30 und Handover 31 . Bei<br />
Mehr-Zellen-Systemen besteht ein DECT-Netz aus mehreren FPs, die an eine zentrale Vermittlungskomponente<br />
(DECT Fixed System, DFS) angeschlossen sind. Das DFS verfügt<br />
hierzu über eine Datenbank zur Nutzer- bzw. Endgeräte-Verwaltung und ist an eine Nebenstellenanlage<br />
angeschlossen oder als Modul einer Nebenstellenanlage realisiert. Zur Versorgung<br />
eines größeren Gebiets können mehrere DFSs und ggf. auch Nebenstellenanlagen<br />
eingesetzt und zu einem größeren Netz verbunden werden. Die Anpassung der DECTspezifischen<br />
Protokolle an die Protokolle des analogen Telefonnetzes bzw. des ISDN erfolgt<br />
durch die sogenannte Interworking Unit (IWU).<br />
In einem kleinen DECT-System bestehend aus einem einzelnen FP (wie im Heimbereich<br />
üblich) werden die Funktionen des DFS im FP realisiert.<br />
Abbildung 24: Vereinfachter Aufbau eines DECT-Systems (Quelle: [BSI06b])<br />
Damit ein problemloses Zusammenspiel von PPs verschiedener Hersteller gewährleistet ist,<br />
gibt es das Generic Access Profile (GAP), das in [EN300444] spezifiziert ist und Minimalanforderungen<br />
<strong>für</strong> Fernsprechdienste festlegt. Sogenannte Interworking Profiles definieren die<br />
Schnittstellen zu anderen Netzen (z. B. ISDN). Weiterhin können auch schnurlose Datennetze<br />
30 Wechsel eines PP zwischen verschiedenen DECT-Netzen<br />
31 Wechsel eines PP zwischen zwei benachbarten Funkzellen (d. h. den durch FPs versorgten Bereichen) unter<br />
Aufrechterhaltung der Ende-zu-Ende-Verbindung.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 61
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
mit entsprechenden Geräten auf DECT-Basis aufgebaut werden. In sogenannten Application<br />
Profiles sind Kommunikationsdienste <strong>für</strong> spezielle Anwendungen spezifiziert.<br />
DECT unterstützt auch Datendienste. Der DECT Packet Radio Service (DPRS, [EN300449])<br />
und das DECT Multimedia Access Profile (DMAP, [EN301650]) ermöglichen beispielsweise<br />
Datenkommunikation mit höheren Datenraten (vergleichbar z. B. mit denen von Bluetooth).<br />
2.6.3.2 <strong>Sicherheit</strong>smechanismen<br />
Da DECT ein funkbasiertes Verfahren ist, besteht grundsätzlich die Gefahr, dass „unberechtigte“<br />
DECT-fähige Geräte die DECT-Kommunikation mithören bzw. sich aktiv in die<br />
Kommunikationsverbindung einschalten. Neben nicht-kryptografischen Verfahren zum<br />
Schutz gegen Übertragungsfehler sieht die Spezifikation kryptografische Authentisierungs-<br />
und Verschlüsselungsalgorithmen vor.<br />
Um unberechtigte Netzzugriffe zu verhindern, muss sich jeder PP vor einem Verbindungsaufbau<br />
authentisieren. Die Authentisierung basiert auf einem sogenannten Challenge-Response-<br />
Verfahren. Eine Authentisierung des FPs gegenüber dem PP ist dagegen optional.<br />
Zum Schutz der Vertraulichkeit können auf der Funkschnittstelle die Daten optional verschlüsselt<br />
übertragen werden. Die Verschlüsselung erfolgt mit einem nicht veröffentlichten<br />
Verfahren, dem DECT Standard Cipher (DSC). Dabei wird ein 64 Bit langer Chiffrier-<br />
Schlüssel verwendet. Selbst <strong>für</strong> einen normalen Schutzbedarf ist diese geringe Schlüssellänge<br />
als bedenklich einzustufen. Es gibt keine frei verfügbaren Forschungsergebnisse über die<br />
<strong>Sicherheit</strong> des DSC. Weiterhin gibt es in DECT keine kryptografische Absicherung der Integrität<br />
der übertragenen Daten. Ein Angreifer kann also gezielt Nachrichten manipulieren.<br />
Einstellungen an DECT-Geräten können üblicherweise erst nach Eingabe einer meist 4- bis 8stelligen<br />
Geheimnummer, der persönlichen Identifikationsnummer (PIN), vorgenommen<br />
werden. Für die Anmeldung eines PPs bei einem FP (als Subscription bezeichnet) ist in der<br />
Regel ebenfalls die Eingabe einer PIN erforderlich.<br />
Eine detailliertere Beschreibung von DECT und den zugehörigen <strong>Sicherheit</strong>smechanismen<br />
kann der Broschüre „Drahtlose Kommunikationssysteme und ihre <strong>Sicherheit</strong>saspekte“ des<br />
BSI entnommen werden (siehe [BSI06b]).<br />
2.6.4 Bluetooth<br />
Bluetooth ist ein offener Industriestandard <strong>für</strong> die kabellose Sprach- und Datenkommunikation<br />
zwischen IT-Geräten im Nahbereich (Kabelersatz und Ad-hoc-Networking).<br />
Die derzeit aktuelle Version der Spezifikation ist V2.1, die zusammen mit der Spezifikation<br />
<strong>für</strong> Enhanced Data Rate (EDR) als „V2.1 + EDR“ bezeichnet wird (siehe [BSIG07]). Mit<br />
EDR können Bruttodatenraten bis zu 3 MBit/s erreicht werden. Bluetooth arbeitet wie WLAN<br />
nach IEEE 802.11b bzw. IEEE 802.11g im 2,4-GHz-ISM-Frequenzband. Generell können<br />
sich WLAN- und Bluetooth-Geräte gegenseitig stören. Bedingt durch die Bluetooth-Technik<br />
62 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
2 Telekommunikationssysteme im Überblick<br />
wird dabei meist das WLAN stärker gestört 32 . Je nach Bluetooth-Gerät kann die Störung<br />
auch im Abstand von einigen Metern noch zu einem signifikanten Leistungseinbruch im<br />
WLAN führen. Der im Bluetooth-Standard spezifizierte Mechanismus Adaptive Frequency<br />
Hopping (AFH) mildert lediglich diese Störungen.<br />
2.6.4.1 Architektur<br />
Um die Interoperabilität unterschiedlicher Geräte sicherzustellen, hat die Bluetooth Special<br />
Interest Group (SIG) Anwendungs-Profile definiert. Beispiele sind:<br />
• Generic Access Profile (GAP): GAP ist ein grundlegendes Profil zur herstellerübergreifenden<br />
Kommunikation von Bluetooth-Geräten. Auf GAP basieren viele Anwendungsprofile.<br />
• Headset Profile und Handsfree Profile: Diese beiden Profile beschreiben Funktionen, die<br />
ein Mobiltelefon im Zusammenspiel mit einer Freisprecheinrichtung benötigt. Neben der<br />
reinen Übertragung von Sprache in beiden Richtungen spielt beim Handsfree Profil auch<br />
die Fernbedienung des Mobiltelefons eine Rolle.<br />
• Dialup Network Profile (DUN Profile) und Fax Profile: Diese Profile beschreiben Protokolle<br />
und Funktionen zur drahtlosen Anbindung von Modems oder Mobiltelefonen an<br />
Rechnern mit dem Ziel, darüber Wählverbindungen zur Daten- oder Telefaxübertragung<br />
aufzubauen.<br />
• File Transfer, Object Push und Synchronization Profile: Diese Profile werden zum Austausch<br />
von Dateien über Bluetooth genutzt. Wichtigste Anwendung ist die Synchronisierung<br />
von Kontakten, Terminen, Aufgaben und Mails zwischen tragbaren Geräten (Personal<br />
Information Manager, PIM) und Servern.<br />
Damit jedes Bluetooth-Gerät als Kommunikationspartner eindeutig zu identifizieren ist, verfügt<br />
es über eine 48 Bit lange, öffentlich bekannte und weltweit eindeutige Geräteadresse, die<br />
sogenannte Bluetooth Device Address.<br />
Der Verbindungsaufbau erfolgt über die Prozeduren Inquiry und Paging.<br />
• Per Inquiry kann ein Bluetooth-Gerät feststellen, ob sich andere Geräte im Sendebereich<br />
befinden. Nach einem Inquiry liegen alle Geräteadressen der gefundenen kommunikationsbereiten<br />
Geräte vor. Voraussetzung <strong>für</strong> das Auffinden eines Gerätes mittels Inquiry<br />
ist, dass dieses Gerät als erkennbar konfiguriert ist („discoverable“).<br />
• Durch eine Paging-Anforderung kann eine Kommunikationsverbindung zu einem per<br />
Inquiry gefundenen Gerät aufgebaut werden. Das Gerät, das die Verbindung aufbaut,<br />
wird Master genannt, das andere Slave. Während des Pagings sendet der Master seine<br />
Geräteadresse und seinen Zeittakt an den Slave.<br />
32 Bluetooth verwendet zur Übertragung ein Frequenzsprungverfahren (Frequency Hopping), bei dem üblicherweise<br />
nach einem Paket auf einen anderen Kanal gesprungen wird. Die Sprungsequenz belegt letztendlich<br />
das gesamte zur Verfügung stehende Spektrum. Dieses Verfahren ist robust gegenüber Interferenzen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 63
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Neben einer Punkt-zu-Punkt-Verbindung zwischen zwei Bluetooth-Geräten unterstützt Bluetooth<br />
auch Punkt-zu-Mehrpunkt-Verbindungen. Bis zu 255 Bluetooth-Geräte (im Sonderfall<br />
auch mehr) können in einem sogenannten Piconet als Slaves im Park-Mode mit einem Master<br />
vernetzt sein. Innerhalb eines Piconets können bis zu 7 Slaves gleichzeitig aktiv mit dem<br />
Master kommunizieren.<br />
2.6.4.2 <strong>Sicherheit</strong>smechanismen<br />
Basis der in Bluetooth vorgesehenen kryptografischen Verfahren sind Verbindungsschlüssel<br />
(Link Keys), die während der sogenannten Paarung (Pairing) zwischen jeweils zwei Bluetooth-Geräten<br />
vereinbart werden. Für ein erfolgreiches Pairing muss in beide Geräte die gleiche<br />
PIN eingetragen werden. Die PIN kann 1 bis 16 Byte lang sein und ist entweder durch<br />
den Nutzer konfigurierbar oder fest voreingestellt.<br />
Zur Authentisierung wird ein Challenge-Response-Verfahren auf Basis eines symmetrischen<br />
Chiffrier-Verfahrens verwendet. Es wird grundsätzlich eine einseitige Authentisierung genutzt,<br />
d. h. ein Gerät (Claimant) authentisiert sich gegenüber einem anderen Gerät (Verifier).<br />
Wollen sich beide Geräte gegenseitig authentisieren, wird die Authentisierung mit vertauschten<br />
Rollen wiederholt.<br />
Die Verschlüsselung kann optional verwendet werden, wenn sich mindestens eines der beiden<br />
kommunizierenden Geräte gegenüber dem anderen authentisiert hat. Dabei kann die Verschlüsselung<br />
sowohl vom Master, als auch vom Slave beantragt werden. Die Verschlüsselung<br />
selbst wird jedoch immer vom Master gestartet, nachdem er die notwendigen Parameter mit<br />
dem Slave ausgehandelt hat.<br />
Weitere Informationen zu Bluetooth finden sich in der Broschüre „Drahtlose Kommunikationssysteme<br />
und ihre <strong>Sicherheit</strong>saspekte“ des BSI (siehe [BSI06b]).<br />
64 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
3 Gefährdungslage<br />
Die Komplexität der Gefährdungslage von privaten Telekommunikationssystemen ist durch<br />
die Nutzung von IP als Trägerprotokoll <strong>für</strong> Sprach-, Signalisierungs- und Managementdaten<br />
sowie durch die Nutzung von mobilen und drahtlosen Kommunikationssystemen signifikant<br />
gestiegen. Insbesondere ergeben sich aus der Kombination der verschiedenen Techniken neue<br />
bzw. übergreifende Gefährdungen.<br />
Als Grundlage einer Risikobetrachtung und der Entwicklung eines angemessenen Maßnahmenkatalogs<br />
dient eine umfassende Bedrohungsanalyse <strong>für</strong> die folgenden Systeme bzw.<br />
Bereiche der privaten Telekommunikation:<br />
• ISDN <strong>TK</strong>-<strong>Anlagen</strong>, siehe Kapitel 3.1<br />
• VoIP-Systeme, siehe Kapitel 3.2<br />
• Hybrid-Systeme, siehe Kapitel 3.3<br />
• IP-<strong>Anlagen</strong>anschluss, siehe Kapitel 3.4<br />
• <strong>TK</strong>-Applikationen und Mehrwertdienste, siehe Kapitel 3.5<br />
• Mobile und drahtlose Systeme, siehe Kapitel 3.6<br />
Die Struktur der dargestellten Gefährdungen orientiert sich an der Strukturierung der Gefährdungskataloge<br />
der IT-Grundschutz-Kataloge und beinhaltet:<br />
• Höhere Gewalt<br />
• Organisatorische Mängel<br />
• Menschliche Fehlhandlungen<br />
• <strong>Technische</strong>s Versagen<br />
• Vorsätzliche Handlungen<br />
3.1 ISDN <strong>TK</strong>-<strong>Anlagen</strong><br />
Historisch betrachtet ist mit der Digitalisierung die Informationstechnik<br />
(IT) in den <strong>TK</strong>-<strong>Anlagen</strong>bereich eingezogen.<br />
Diese Technik brachte als Begleiterscheinung<br />
bei der Einführung ein - im Vergleich zu der derzeit kaum<br />
noch genutzten analogen Technik - neues Bedrohungspotenzial<br />
mit. Während die analoge Welt primär Gefährdungen<br />
auf physikalischer Kommunikationsebene ausgesetzt war, kamen nun Bedrohungen<br />
auf logischer Ebene hinzu, deren Komplexität und Gefährdungsgrad mindestens<br />
proportional mit dem Einsatz der Informationstechnik gewachsen ist.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 65
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Heute ist man übrigens in einer ähnlichen Situation. Die leitungsvermittelnde Telekommunikation<br />
wird im privaten und im öffentlichen Sektor durch paketvermittelnde<br />
Techniken mit IP als Träger abgelöst. Die traditionelle digitale <strong>TK</strong>-Anlage gilt dabei inzwischen<br />
allgemein als eine vergleichsweise sichere Technologie.<br />
Trotzdem sollte man sich gerade <strong>für</strong> den erhöhten Schutzbedarf die Gefährdungslage traditioneller<br />
<strong>TK</strong>-<strong>Anlagen</strong> vergegenwärtigen. Dieses Kapitel analysiert die Gefährdungslage <strong>für</strong><br />
traditionelle digitale <strong>TK</strong>-<strong>Anlagen</strong>, die mit leitungsvermittelnder, digitaler Technik auf Basis<br />
von ISDN arbeiten.<br />
Für die im Folgenden beschriebene Gefährdungsanalyse ist generell auch der Gefährdungskatalog<br />
des Bausteins B 3.401 „<strong>TK</strong>-Anlage“ der IT-Grundschutz-Kataloge anwendbar.<br />
3.1.1 Höhere Gewalt<br />
Auf digitale <strong>TK</strong>-<strong>Anlagen</strong> treffen allgemein die Gefährdungen durch höhere Gewalt, die in den<br />
IT-Grundschutz-Katalogen genannt sind, zu. Dies beinhaltet beispielsweise Gefährdungen<br />
durch Feuer, Wasser, Blitzeinschlag, Staub und Verschmutzung.<br />
3.1.2 Organisatorische Mängel<br />
Die Bedrohung der Vertraulichkeit, Verfügbarkeit und Integrität einer digitalen <strong>TK</strong>-Anlage<br />
durch organisatorische und konzeptionelle Mängel ist vergleichbar mit anderen der Kommunikation<br />
dienenden IT-Systemen. Dies betrifft beispielsweise die Gefährdung durch einen<br />
unbefugten Zutritt zu dem Technikraum, in dem die <strong>TK</strong>-Anlage installiert ist 33 . Einige Gefährdungen<br />
besitzen allerdings spezifische Ausprägungen im Kontext von <strong>TK</strong>-<strong>Anlagen</strong>. Insbesondere<br />
können bei neueren <strong>Anlagen</strong> spezifische Gefährdungen über die Wartungsschnittstelle<br />
auftreten. Weiterhin ist bei <strong>TK</strong>-<strong>Anlagen</strong> generell der Aspekt des Datenschutzes bei der<br />
Aufzeichnung von personenbezogenen Daten zu berücksichtigen.<br />
3.1.2.1 Wartung einer <strong>TK</strong>-Anlage<br />
G-<strong>TK</strong>-1 Unzureichende oder fehlende Konzepte <strong>für</strong> die Wartung einer <strong>TK</strong>-Anlage<br />
Durch unzureichend abgesicherte Wartungszugänge bestehen vielfältige Gefährdungen.<br />
Hier müssen geeignete Konzepte den technischen Aufbau und den<br />
Betrieb von Wartungszugängen regeln und sichern.<br />
Besondere Sorgfalt ist <strong>für</strong> die Einrichtung von Fernwartungszugängen erforderlich,<br />
da hier ein Zugang von außen auf die <strong>TK</strong>-Anlage ermöglicht werden muss.<br />
Bei der Wartung einer <strong>TK</strong>-Anlage durch Externe kann eine besondere Gefährdungslage<br />
durch Mängel in sicherheitsrelevanten Teilen von Verträgen oder<br />
Service Level Agreements (SLAs) und deren Kontrolle entstehen.<br />
33 Siehe Gefährdung G 2.6 „Unbefugter Zutritt zu schutzbedürftigen Räumen“ aus den IT-Grundschutz-<br />
Katalogen.<br />
66 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
Für IP-basierte Wartungszugänge überträgt sich generell die Gefährdungslage von<br />
Systemen, die per IP im LAN oder WAN kommunizieren, automatisch auf die<br />
<strong>TK</strong>-Anlage.<br />
G-<strong>TK</strong>-2 Ungeeignete Aufstellung eines Wartungsapparats<br />
Bei den meisten digitalen <strong>TK</strong>-<strong>Anlagen</strong> kann eine Konfiguration der Anlage über<br />
ein Systemtelefon oder einen Wartungsapparat erfolgen. Ist dieser Apparat durch<br />
eine ungeeignete Aufstellung einem nicht zur Wartung befugten Personenkreis<br />
zugänglich, so kann es zu absichtlichen oder unabsichtlichen Konfigurationsänderungen<br />
kommen.<br />
G-<strong>TK</strong>-3 Anschluss des Wartungszugangs einer <strong>TK</strong>-Anlage an das LAN<br />
Einige <strong>TK</strong>-<strong>Anlagen</strong> bieten eine Ethernet-basierte Management-Schnittstelle. Wird<br />
der Wartungszugang der <strong>TK</strong>-Anlage an das LAN des Standorts („Hausnetz“) angeschlossen,<br />
besteht die unmittelbare Gefahr eines unberechtigten Zugangs zur<br />
<strong>TK</strong>-Anlage (ggf. sogar über den Standort hinaus).<br />
G-<strong>TK</strong>-4 Mängel in der Nutzung eines PCs zur Wartung einer <strong>TK</strong>-Anlage<br />
Häufig werden Desktop-PCs und tragbare PCs zur Wartung und Konfiguration<br />
von <strong>TK</strong>-<strong>Anlagen</strong> eingesetzt. Der ungeordnete Benutzerwechsel von PCs, die zu<br />
solchen Zwecken genutzt werden, kann dazu führen, dass sicherheitsrelevante Daten<br />
in unbefugte Hände gelangen. Hierzu zählen insbesondere Passwörter <strong>für</strong> das<br />
<strong>Anlagen</strong>management sowie spezielle Konfigurationsprogramme.<br />
G-<strong>TK</strong>-5 Unzureichende Passwort Policy <strong>für</strong> einen administrativen Zugang<br />
Durch unzureichende Regelungen <strong>für</strong> den regelmäßigen Wechsel und eine angemessene<br />
Komplexität von Passwörtern entstehen unmittelbare Gefährdungen:<br />
Leicht zu erratende Default-Passwörter und PINs bilden eine Gefährdung <strong>für</strong> <strong>TK</strong>-<br />
<strong>Anlagen</strong>, da sie einen unbefugten Zugriff erleichtern. Dies gilt insbesondere <strong>für</strong><br />
Wartungs- bzw. Systemtelefone, die in öffentlich zugänglichen Bereichen aufgestellt<br />
sind. Dies gilt sinngemäß auch <strong>für</strong> den Zugang zu PCs, die <strong>für</strong> die<br />
Wartung einer <strong>TK</strong>-Anlage verwendet werden.<br />
3.1.2.2 Datenschutz und rechtliche Rahmenbedingungen<br />
G-<strong>TK</strong>-6 Unzureichender Schutz personenbezogener Daten<br />
Für die Rechnungserstellung zeichnen <strong>TK</strong>-<strong>Anlagen</strong> in der Regel Verbindungsdatensätze<br />
auf, die mindestens Informationen über die gerufene Teilnehmernummer,<br />
den Anrufzeitpunkt und die Dauer des Gesprächs enthalten. Hieraus<br />
lassen sich Kommunikationsprofile <strong>für</strong> einzelne Endgeräte bzw. Nutzer ableiten.<br />
Verbindungsdaten sind potenziell zumindest <strong>für</strong> die Zeit ihrer Existenz zugreifbar<br />
und müssen vor einem unautorisierten Zugriff geschützt werden.<br />
Als Grundlage wird organisationsübergreifend und im Einvernehmen mit dem<br />
Datenschutzbeauftragten meist festgelegt, welche Benutzeraktivitäten aus <strong>Sicherheit</strong>sgründen<br />
überwacht und aufgezeichnet werden sollen und wie Nutzer hierüber<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 67
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
zu informieren sind. Durch Mängel in einer solchen Festlegung besteht die Gefahr,<br />
über den notwendigen Umfang hinaus personenbezogene Daten aufzuzeichnen<br />
und auszuwerten, was neben datenschutzrechtlichen Bedenken zunächst<br />
zu einer unnötigen Vergrößerung der Angriffsfläche führt.<br />
Es ist zudem möglich, dass über einen ungeeignet abgesicherten Wartungszugang<br />
temporäre Protokolldateien erstellt werden, die z. B. im wenig geschützten Bereich<br />
<strong>für</strong> temporäre Dateien abgelegt werden.<br />
G-<strong>TK</strong>-7 Verstöße gegen das Urheberrecht<br />
Verstöße gegen das Urheberrecht können im Kontext von <strong>TK</strong>-<strong>Anlagen</strong> nicht nur<br />
durch den Einsatz von nicht-lizenzierter Software (z. B. <strong>für</strong> die Wartung) entstehen.<br />
Eine zusätzliche Gefährdung entsteht durch den Einsatz urheberrechtlich<br />
geschützter musikalischer Werke <strong>für</strong> Wartemusik (Music on Hold) ohne eine entsprechende<br />
Lizenzvergütung an die GEMA (Gesellschaft <strong>für</strong> musikalische<br />
Aufführungs- und mechanische Vervielfältigungsrechte).<br />
3.1.3 Menschliche Fehlhandlungen<br />
Die im Folgenden genannten Gefährdungen sind nicht spezifisch <strong>für</strong> <strong>TK</strong>-<strong>Anlagen</strong>, sie haben<br />
jedoch bedingt durch die hohen Schutz- und Verfügbarkeitsanforderungen an Telekommunikationsdienste<br />
einen besonderen Stellenwert.<br />
G-<strong>TK</strong>-8 Unzureichende Prüfung der Identität von Kommunikationspartnern<br />
Die Identität des Kommunikationspartners wird aus Höflichkeitsgründen oft nicht<br />
hinterfragt. Dies wird auch beim Social Engineering ausgenutzt (siehe hierzu<br />
G 5.42 „Social Engineering“ der BSI IT-Grundschutz-Kataloge).<br />
Diese Bedrohung wird durch das Leistungsmerkmal Rufnummernanzeige begünstigt,<br />
da die Anzeige der vermeintlichen richtigen Telefonnummer den Benutzer<br />
in <strong>Sicherheit</strong> wiegt. Dabei kann der Anrufer lediglich ein kurzzeitig unbeaufsichtigtes<br />
Endgerät unbefugt verwenden.<br />
G-<strong>TK</strong>-9 Funktionsstörung oder Ausfall der <strong>TK</strong>-Anlage durch Fehlbedienung<br />
Durch die absichtliche oder unabsichtliche Fehlkonfiguration einer <strong>TK</strong>-Anlage<br />
kann es zu einem Ausfall des Telefoniedienstes kommen. Zum Beispiel können<br />
einzelne Anschlüsse durch eine Veränderung der Durchwahl so konfiguriert werden,<br />
dass sie von außen nicht mehr erreichbar sind. Wenn nach außen bei einer<br />
solchen Störung ein Freizeichen signalisiert wird, kann es einige Zeit dauern, bis<br />
eine solche Funktionsstörung bemerkt wird.<br />
G-<strong>TK</strong>-10 Nachlässigkeiten bei der Verwendung eines PCs <strong>für</strong> die Administration einer<br />
<strong>TK</strong>-Anlage<br />
Durch Nachlässigkeit bei der Nutzung von PCs, die <strong>für</strong> die Administration einer<br />
<strong>TK</strong>-Anlage verwendet werden, können Gefährdungen entstehen. Dies gilt insbesondere<br />
dann, wenn der PC nicht nur <strong>für</strong> die <strong>Anlagen</strong>konfiguration, sondern<br />
auch <strong>für</strong> andere Zwecke verwendet wird. Beispielsweise können Benutzerwechsel<br />
bei solchen PCs eine Gefährdung darstellen. Erfolgen dabei An- und Abmelde-<br />
68 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
vorgänge nicht ordnungsgemäß, können unberechtigte Benutzer Zugang zur Anlage<br />
erhalten und die Konfiguration ändern oder personenbezogene Daten einsehen.<br />
3.1.4 <strong>Technische</strong>s Versagen<br />
Die primäre Funktion von <strong>TK</strong>-<strong>Anlagen</strong> wird im Prinzip nur durch technisches Versagen in<br />
direktem Zusammenhang mit der Anlage bedroht. Zu diesen Gefährdungen zählen etwa der<br />
Ausfall der Stromversorgung, einer Netzkomponente oder ein Defekt der Verkabelung.<br />
Durch die geringe Integration mit anderen IT-Systemen sind <strong>TK</strong>-<strong>Anlagen</strong> in der Regel nicht<br />
von Ausfällen anderer Infrastrukturkomponenten (wie z. B. Verzeichnisdiensten) betroffen.<br />
G-<strong>TK</strong>-11 Software-Fehler<br />
Software-Fehler können auch in <strong>TK</strong>-<strong>Anlagen</strong> vorkommen und mit steigendem<br />
Funktionsumfang erhöht sich entsprechend die Wahrscheinlichkeit, von einem<br />
Software-Fehler betroffen zu werden. Für digitale <strong>TK</strong>-<strong>Anlagen</strong> wird zwar allgemein<br />
eine höhere Stabilität und geringere Fehlerhäufigkeit als <strong>für</strong> andere IT-<br />
Systeme angenommen, jedoch ist die Abdeckung durch Tests seitens der Hersteller<br />
nie 100%. Insbesondere in den Implementierungen von kaum genutzten Leistungsmerkmalen<br />
können sich Fehler befinden.<br />
G-<strong>TK</strong>-12 Undokumentierte Funktionen<br />
<strong>TK</strong>-<strong>Anlagen</strong> können undokumentierte Funktionen enthalten. Solange diese Funktionen<br />
nicht offen gelegt sind, kann nicht ausgeschlossen werden, dass mit ihnen<br />
auch Schaden angerichtet werden kann.<br />
Dies ist insbesondere dann problematisch, wenn die undokumentierten Funktionen<br />
<strong>Sicherheit</strong>smechanismen des Produktes betreffen, beispielsweise den Zugriffsschutz<br />
oder die Aufzeichnung von Daten.<br />
Solche Funktionen dienen oft als Hilfsmittel <strong>für</strong> die System-Entwicklung oder als<br />
Hintertür <strong>für</strong> die Wartung des Systems durch den Hersteller.<br />
3.1.5 Vorsätzliche Handlungen<br />
Die größten Gefährdungen <strong>für</strong> <strong>TK</strong>-<strong>Anlagen</strong> und ihre Nutzung gehen von vorsätzlichen Handlungen<br />
aus; dabei hängen Gefährdungen oft zusammen. Beispielsweise können organisatorische<br />
Mängel eine vorsätzliche Handlung erleichtern oder sogar erst ermöglichen.<br />
G-<strong>TK</strong>-13 Abhören von Verbindungen<br />
Für unverschlüsselte Telefongespräche besteht grundsätzlich die Gefahr, dass Angreifer<br />
alle Informationen mithören, indem ein Telefonkabel angezapft oder an einer<br />
zwischen den Teilnehmern vermittelnden <strong>TK</strong>-Anlage mitgehört wird.<br />
Weiterhin können unter Umständen auch durch die missbräuchliche Verwendung<br />
von Leistungsmerkmalen Gespräche im Kollegenkreis mitgehört werden. Ein Beispiel<br />
hier<strong>für</strong> ist die Dreierkonferenz: Erhält der Teilnehmer A einen Anruf <strong>für</strong> den<br />
Teilnehmer B, so könnte er, anstatt den Anruf zu übergeben, versuchen, heimlich<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 69
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
eine Dreierkonferenz herzustellen. Besitzt Teilnehmer B ein Telefon ohne Display,<br />
würde er diese Tatsache nicht bemerken.<br />
Denkbar ist ebenfalls das Mithören von Gesprächen durch das Aktivieren von gesperrten,<br />
in Deutschland zum Teil unzulässigen Leistungsmerkmalen. Als ein Beispiel<br />
sei hier die Zeugenschaltung erwähnt. Eine derartige Aktivierung erfordert<br />
jedoch genauere Systemkenntnisse.<br />
G-<strong>TK</strong>-14 Manipulation der Signalisierung<br />
Eine Manipulation einer digitalen <strong>TK</strong>-Anlage kann grundsätzlich auch über das<br />
Einspielen von eventuell modifizierten Signalisierungssequenzen auf einem Signalisierungskanal<br />
(Signalisierung über den D-Kanal bzw. über das Signalisierungssystem<br />
Nr. 7, SS7) erfolgen. Die Auswirkungen solcher Aktionen können<br />
vielfältig sein. Voraussagen über das Verhalten der Software auf bestimmte, z. B.<br />
bewusst fehlerhafte Befehlssequenzen sind meist nicht möglich. Es ist auch denkbar,<br />
dass undokumentierte Funktionen über diesen Weg aktiviert werden können.<br />
Daher ist dies gerade <strong>für</strong> den erhöhten Schutzbedarf als erhebliches <strong>Sicherheit</strong>sdefizit<br />
anzusehen.<br />
G-<strong>TK</strong>-15 Abhören von Räumen<br />
Über Mikrofone in Endgeräten können grundsätzlich auch Räume abgehört werden.<br />
Dabei können zwei Varianten unterschieden werden.<br />
Bei der ersten Variante wird bei intelligenten Endgeräten per Fernsteuerung (z. B.<br />
über das öffentliche Netz) das Mikrofon aktiviert.<br />
In der zweiten Variante wird durch die missbräuchliche Verwendung des Leistungsmerkmals<br />
„direktes Ansprechen“ in Kombination mit der Option „Freisprechen“<br />
die Funktion einer Wechselsprechanlage realisiert, über die unter gewissen<br />
Umständen der entsprechende Raum abgehört werden kann. Im Normalfall<br />
wird ein kurzer, einmaliger Warnton bei Aktivierung des Mikrofons abgegeben.<br />
Warntöne können aber durch eine entsprechende Konfiguration unterbunden<br />
werden. Die Konsequenz ist, dass im Prinzip jeder, der in der Lage ist eine <strong>TK</strong>-<br />
Anlage zu administrieren, jeden Raum, in dem ein entsprechend ausgerüstetes<br />
Telefon steht, von jedem Ort innerhalb der Anlage (oder des <strong>Anlagen</strong>verbundes)<br />
abhören kann.<br />
G-<strong>TK</strong>-16 Missbrauch von Wartungszugängen<br />
Die Möglichkeit eines Missbrauchs von lokalen Wartungszugängen und von<br />
Fernwartungszugängen ist mit massivsten Gefährdungen von Vertraulichkeit, Integrität<br />
und Verfügbarkeit verbunden. Der entstehende Schaden kann sich vom<br />
vollständigen <strong>Anlagen</strong>ausfall über schwerste Betriebsstörungen, den Verlust der<br />
Vertraulichkeit aller auf der Anlage vorhandenen Daten bis hin zum großen direkten<br />
finanziellen Schaden, z. B. durch Gebührenbetrug, erstrecken.<br />
Durch die mangelhafte Durchsetzung einer Passwort-Richtlinie oder durch eine zu<br />
schwache Passwort-Richtlinie kann die PIN <strong>für</strong> einen Wartungsapparat oder das<br />
Passwort <strong>für</strong> einen Wartungs-PC durch systematisches Raten (d. h. eine Wörterbuchattacke)<br />
ermittelt werden. Nach Überwindung des <strong>Anlagen</strong>passwortes kann<br />
ein Hacker dann Zugang zu den Managementprogrammen des <strong>TK</strong>-Systems erlangen.<br />
70 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
G-<strong>TK</strong>-17 Gebührenbetrug<br />
Unter Gebührenbetrug versteht man die missbräuchliche Nutzung einer <strong>TK</strong>-<br />
Anlage mit dem Ziel, die Kosten <strong>für</strong> geführte Telefonate auf jemand anderen zu<br />
übertragen. Entsprechende Manipulationen sind auf verschiedene Weisen durchführbar.<br />
Zum einen kann versucht werden, vorhandene Leistungsmerkmale einer <strong>TK</strong>-<br />
Anlage <strong>für</strong> diese Zwecke zu missbrauchen. Geeignet hier<strong>für</strong> sind beispielsweise<br />
aus der Ferne umprogrammierbare Rufumleitungen oder Dial-In-Optionen. Zum<br />
anderen können die Berechtigungen so vergeben werden, dass kommende Amtsleitungen<br />
abgehende Amtsleitungen belegen können. Auf diese Weise kann bei<br />
Anwahl einer bestimmten Rufnummer von außen der Anrufer automatisch wieder<br />
mit dem Amt verbunden werden, wobei dies allerdings auf Kosten des <strong>TK</strong>-<br />
<strong>Anlagen</strong>betreibers geschieht.<br />
Weiterhin kann auf unterschiedliche Arten, wie z. B. durch das Telefonieren von<br />
fremden Apparaten, Auslesen fremder Berechtigungscodes (Passworte) oder Verändern<br />
der persönlichen Berechtigungen versucht werden, auf Kosten des Arbeitgebers<br />
oder der anderen Beschäftigten zu telefonieren.<br />
G-<strong>TK</strong>-18 Schadenstiftende Software auf Wartungs-PCs<br />
Durch ein Trojanisches Pferd auf einem <strong>für</strong> die Wartung und Konfiguration einer<br />
<strong>TK</strong>-Anlage eingesetzten PC oder Notebook kann ein Angreifer an Zugangs-, Konfigurations-<br />
oder Verbindungsdaten einer Telefonanlage kommen.<br />
Spyware in Form vom Keyloggern kann eine Gefährdung der <strong>TK</strong>-Anlage darstellen,<br />
wenn sie auf den eingesetzten Wartungsrechnern installiert ist. Keylogger<br />
zeichnen Tastatureingaben auf und übermitteln diese möglichst unbemerkt an den<br />
Angreifer. Auf diese Weise kann das Passwort der Management-Schnittstelle einer<br />
Anlage in unbefugte Hände geraten und z. B. einen Angriff über die Fernwartungsschnittstelle<br />
ermöglichen.<br />
G-<strong>TK</strong>-19 Verschleierte Identifizierung zwischen Gesprächsteilnehmern<br />
Die verschiedenen Leistungsmerkmale zur Übertragung und Unterdrückung von<br />
Rufnummern haben ein grundsätzliches Gefährdungspotenzial, das auch zur Verschleierung<br />
der Identität verwendet werden kann.<br />
Beispielsweise kann über das Leistungsmerkmal CLIP 34 no screening neben der<br />
netzseitigen Rufnummer des Anrufers noch eine vom Anrufer selbst festgelegte<br />
kundenspezifische Rufnummer (z. B. eine Service-Nummer) an den Angerufenen<br />
übertragen werden. Diese selbst festgelegte Rufnummer wird von den vermittelnden<br />
<strong>Anlagen</strong> nicht überprüft (no screening). Welche Rufnummer dann am<br />
Gerät auf der Empfängerseite angezeigt wird (ggf. sogar beide Rufnummern), ist<br />
von den jeweils aktivierten Leistungsmerkmalen, der Art des Anschlusses und der<br />
Gerätekonfiguration abhängig.<br />
34 Unter Calling Line Identification Presentation (CLIP) versteht man die Anzeige der Rufnummer des Anrufers<br />
auf dem Gerät des Angerufenen, sofern die rufende Seite dies nicht selbst durch das Leistungsmerkmal<br />
Calling Line Identification Restriction (CLIR) explizit unterdrückt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 71
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
In diesem Zusammenhang muss darauf hingewiesen werden, dass Telefonnummern<br />
nicht als Identifikationsmerkmal <strong>für</strong> einen Teilnehmer geeignet sind.<br />
3.2 VoIP-Systeme<br />
Im Folgenden werden die VoIP-spezifischen Gefährdungen<br />
auf Basis der in Kapitel 2.2 beschriebenen<br />
technischen Grundlagen analysiert.<br />
3.2.1 Höhere Gewalt<br />
Auf VoIP-Installationen treffen wie <strong>für</strong> alle digitalen <strong>Anlagen</strong>-Lösungen allgemein die Gefährdungen<br />
durch höhere Gewalt zu, die in den IT-Grundschutz-Katalogen genannt sind.<br />
Spezifische Ausprägungen bei einem VoIP-Einsatz innerhalb eines Unternehmens oder einer<br />
Behörde ergeben sich im Sinne folgender Besonderheiten:<br />
• Abhängigkeiten von der durch VoIP mitgenutzten IP-Infrastruktur<br />
VoIP stützt sich auf Basisdienste wie DNS und DHCP sowie auf Netzwerkinfrastrukturen<br />
in LAN und WAN. Hieraus ergeben sich Gefährdungsketten, die sich auf VoIP-<br />
Installationen mittelbar auswirken.<br />
• Nutzung drahtloser Kommunikationsformen<br />
Die in diesem Zusammenhang <strong>für</strong> VoIP auf drahtloser Kommunikationsbasis zu berücksichtigenden<br />
Gefährdungen sind identisch mit den entsprechenden allgemeinen Betrachtungen<br />
in Kapitel 3.6.<br />
G-<strong>TK</strong>-20 Ausfall der mitgenutzten IP-Infrastruktur<br />
Eine spezielle Gefährdung ergibt sich bei VoIP durch die Abhängigkeit von IT-<br />
Lösungen, die nicht vom <strong>TK</strong>-Betreiber selbst verantwortet werden:<br />
• Abhängigkeit von vorgelagerten Diensten (DNS, DHCP, ...), die teilweise<br />
nicht in Hand des <strong>TK</strong>-Systembetreibers liegen<br />
• Abhängigkeit von einer Netzwerk-Infrastruktur, die nicht in Hand des <strong>TK</strong>-<br />
Systembetreibers liegt<br />
Je nach Betriebskonstellation kommt verschärfend hinzu, dass die Störungsbehandlung<br />
über die Grenzen einer einzelnen inhaltlichen Zuständigkeit hinweg<br />
(VoIP-Installationen, von VoIP mitgenutzte IT) erfolgen muss, zum Teil sogar<br />
über die Grenzen von Abteilungen hinweg.<br />
G-<strong>TK</strong>-21 Ausfall eines <strong>für</strong> VoIP mitgenutzten Weitverkehrsnetzes<br />
Wird ein Standort über ein Weiterverkehrsnetz (WAN) mit den übrigen Standorten<br />
einer Unternehmung oder einer Behörde verbunden und über diesen Weg<br />
auch die interne Telefonie mittels VoIP realisiert, so kommt der Verfügbarkeit des<br />
WAN eine erhöhte Bedeutung zu.<br />
72 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
Häufig ist die VoIP-Lösung so ausgelegt, dass der Boot-Vorgang von Telefonen<br />
oder die Ruf-Signalisierung nur mit Hilfe von Servern in einem zentralen Standort<br />
erfolgen kann. Hier bedeutet der Ausfall der Weitverkehrsanbindung aus Sicht eines<br />
Standortes ohne eigene derartige Server auch den Verlust der Telefoniermöglichkeit.<br />
Dies ist umso bedeutsamer, als dass damit auch wichtige telefonische Notrufmöglichkeiten<br />
betroffen sind. Außerdem ist eine Kommunikation des vom WAN<br />
abgeschnittenen Standorts mit den IT-Betreibern über die Störung und das weitere<br />
Vorgehen per VoIP nicht mehr möglich.<br />
3.2.2 Organisatorische Mängel<br />
Organisatorische Mängel treffen VoIP-Lösungen grundsätzlich genauso wie beliebige andere<br />
IT. Allerdings muss berücksichtigt werden, dass beim Einsatz von VoIP die Kommunikationsinfrastruktur<br />
und teilweise auch die Endgeräte gemeinsam mit IT-spezifischen Anwendungen<br />
genutzt werden. Im organisatorischen Bereich müssen daher VoIP-Systeme als<br />
Anwendungen mit besonderen Anforderungen aufgefasst werden.<br />
Mit der VoIP-Einführung müssen bestehende Entscheidungen und Konzepte <strong>für</strong> eine solche<br />
durch VoIP mitgenutzte IT gezielt überprüft werden:<br />
• Schutzbedarfsfeststellung<br />
• zentrale Elemente von <strong>Sicherheit</strong>skonzepten<br />
• organisatorische Regelungen im Bereich Technik-Betrieb:<br />
Ein ordnungsgemäßer Betrieb der Telefonie ist zu gewährleisten und dabei ist die von<br />
VoIP mitgenutzte Infrastruktur entsprechend zu verwalten. Hierzu gehören Regelungen<br />
in den Bereichen:<br />
• Wartungsfenster<br />
• Verhalten bei <strong>Sicherheit</strong>svorfällen (z. B. Sperrung aller nicht-VoIP-spezifischen<br />
Ports auf Firewalls statt vollständiger Stilllegung der Außenanbindung)<br />
• Change Management: Berücksichtigung des Telefonie-Betreibers bei Change Meetings<br />
bezüglich des IP-Netzes, grundlegenden Infrastrukturdiensten wie DNS und<br />
DHCP sowie Endgeräte-Installationen<br />
Ausgehend von diesen Überlegungen lassen sich folgende VoIP-spezifischen Gefährdungen<br />
ermitteln.<br />
G-<strong>TK</strong>-22 Unzureichende Regelungen <strong>für</strong> den Einsatz von VoIP<br />
Für den Einsatz von VoIP sind Regelungen zu treffen und einzuhalten, die der<br />
Bedeutung der Telefonie <strong>für</strong> ein Unternehmen bzw. Behörde gerecht werden.<br />
Wird dieser Bedeutung nicht oder nur unzureichend entsprochen oder werden die<br />
entsprechenden Regelungen nicht konsequent umgesetzt, so besteht die Gefahr,<br />
dass die Ziele Verfügbarkeit, Vertraulichkeit und Integrität nicht oder nur unzureichend<br />
erreicht werden. Dies hat neben möglicher Ablehnung durch die<br />
Nutzer auch akute <strong>Sicherheit</strong>slücken zur Folge.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 73
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Beispiele zu Regelungsaspekten und Gefährdungen bei VoIP-Lösungen sind:<br />
• Regelungen zur Wahrung der Vertraulichkeit von Sprachmailbox-<br />
Nachrichten in Dateiform<br />
Sprachmailbox-Nachrichten können im Rahmen von VoIP-Lösungen als<br />
Multimedia-Dateien vorliegen. Gefahren drohen bei unüberlegtem Anlegen<br />
von Kopien solcher Dateien, z. B. bei lokaler Speicherung auf einem Notebook,<br />
der Speicherung in Nutzer- und/oder Projektablagen auf einem File-<br />
Server oder der Aufbewahrung als Anlage einer E-Mail im Postfach des Anwenders.<br />
Hiermit kann ein Vertraulichkeitsverlust verbunden sein. Weiterhin<br />
kann in Summe der Ressourcenverbrauch enorm sein.<br />
• Einsatz von Messtechnik im Umfeld von Netzwerk-Bereichen, die durch<br />
VoIP mitgenutzt werden<br />
Mit Hilfe von Analysator-Software, wie sie zur Diagnose in Netzwerken<br />
(LAN und WAN) eingesetzt wird, ist es möglich, den Inhalt des Telefonats<br />
nachträglich anzuhören. Der Einsatz solcher Diagnosetechnik muss so geregelt<br />
sein, dass keine Verletzung von Datenschutz- und Persönlichkeitsrechten<br />
des Telefonie-Anwenders droht.<br />
G-<strong>TK</strong>-23 Unzureichende Harmonisierung zwischen IT- und VoIP-Betrieb<br />
Falls vor der VoIP-Einführung IT- und <strong>TK</strong>-Betrieb getrennt waren und der bisherige<br />
<strong>TK</strong>-Betreiber den Betrieb der VoIP-Lösung wahrnimmt, muss die Kooperation<br />
dieser beiden Verantwortungsbereiche erst etabliert werden. Dies betrifft<br />
den kompletten Lebenszyklus der Installationen von der Planung bis zur<br />
Außerbetriebnahme.<br />
Wichtige Aspekte in diesem Zusammenhang sind:<br />
• abgestimmte Konzepte, insbesondere frühzeitige Einbindung der Telefonie-<br />
Planer in Projekten mit Auswirkung auf Infrastruktur und Basisdienste (Berücksichtigung<br />
der Telefonie bei der Anforderungsdefinition)<br />
• notwendige Abstimmung bzgl. Change-Planung und Wartungsarbeiten<br />
• notwendige abgestimmte Zeitpunkte zur operativen Durchführung von Wartungsarbeiten<br />
und Changes (koordinierte Change-Implementierung)<br />
• notwendige Kommunikationsflüsse zwischen Betreibern von VoIP und sonstiger<br />
IT im Incident Management, insbesondere<br />
• abgestimmtes Verhalten bei <strong>Sicherheit</strong>svorfällen<br />
Wird bei solchen Punkten nicht in abgestimmter Weise verfahren, so ist mindestens<br />
die Verfügbarkeit der IP-Telefonie stark gefährdet.<br />
G-<strong>TK</strong>-24 Fehlende, ungeeignete und inkompatible Betriebsmittel <strong>für</strong> VoIP<br />
VoIP-Lösungen bringen einerseits neue Geräte in das IP-Netz ein, andererseits<br />
besteht durch diese Vernetzung die Möglichkeit, sie in vorhandene IT-<br />
Betriebslösungen wie Backup/Restore einzubinden. Dies setzt allerdings voraus,<br />
dass die VoIP-Geräte (Telefone und Server/Gateways) in den IT-Planungen zu<br />
Betriebsmitteln ausreichend berücksichtigt werden. Typische Gefahrenmomente<br />
sind hier:<br />
74 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
• unzureichende Auslegung des Access-Bereichs mit <strong>für</strong> Telefonie geeigneten<br />
Anschlüssen (insbesondere mit PoE-Fähigkeit)<br />
• nicht ausreichende Adresskonzeption zur Versorgung der VoIP-Endgeräte<br />
• bei Einsatz von VoIP-Endgeräten mit eigenem Netzteil <strong>für</strong> Spannungsversorgung:<br />
Fehlen der notwendigen Steckdosen am Arbeitsplatz<br />
• nicht ausreichende Kapazitäten im Bereich Speicherplatzbedarf und Ressourcen<br />
sowie unzureichende Zeitplanung <strong>für</strong> die Backup-Restore-Lösung zur Sicherung<br />
von Sprachmailbox-Dateien<br />
G-<strong>TK</strong>-25 Unzureichende Verwaltung und Kontrolle von Zugangs- und Zugriffsmöglichkeiten<br />
auf VoIP-Endgeräte<br />
Durch die Möglichkeit zum Abrufen von Kontaktinformationen auf VoIP-<br />
Endgeräten, bei Softphones sogar zum Abspeichern solcher Informationen, werden<br />
diese Geräte relevant <strong>für</strong> den Datenschutz.<br />
Während bei mobilen Datenendgeräten (z. B. Notebooks) eher von geeigneten,<br />
vom Nutzer nicht umgehbaren <strong>Sicherheit</strong>svorkehrungen Gebrauch gemacht werden<br />
kann, sind die Möglichkeiten im Bereich IP-fähiger mobiler Telefonie-<br />
Endgeräte noch begrenzt.<br />
Bei solchen Telefonie-Endgeräten kommt der Sorgfalt des Anwenders im Umgang<br />
mit (Schutzmechanismen <strong>für</strong>) Kontaktdaten und ähnlichen Daten verstärkte<br />
Bedeutung zu.<br />
Bei frei zugänglichen Telefonen besteht die Gefahr, dass über das gewünschte<br />
Dienstspektrum hinaus (z. B. Notruf) Funktionen am Gerät genutzt werden können.<br />
Außerdem besteht auf VoIP-Endgeräten typischerweise die Möglichkeit, lokal am<br />
Gerät Konfigurationsänderungen vorzunehmen. Diese sind ab Werk durch Default-Kennwörter<br />
bzw. -PINs geschützt. Werden diese nicht vor Freigabe <strong>für</strong> den<br />
Anwender abgeändert, drohen Manipulationen am VoIP-Endgerät.<br />
G-<strong>TK</strong>-26 Kein ordnungsgemäßer Benutzerwechsel <strong>für</strong> VoIP-Endgeräte<br />
Für IP-Telefone kann bei Verzicht auf personenbezogene Nutzerprofile ein Nutzer<br />
die Möglichkeit zur Nutzung von Leistungsmerkmalen erlangen, die nicht <strong>für</strong> diesen<br />
Nutzer bestimmt sind, sondern <strong>für</strong> den vorherigen Nutzer freigeschaltet waren.<br />
Weiterhin ermöglichen ungelöschte Anruflisten einem nachfolgenden Nutzer,<br />
Informationen über zuletzt vom Vorgänger geführte Telefonate zu erlangen. Dies<br />
kann z. B. zur Verletzung des Datenschutzes führen.<br />
Auch bei Verwendung von Nutzerprofilen auf IP-Telefonen kann ein nicht ordnungsgemäßer<br />
Benutzerwechsel dazu führen, dass dem Nachfolgenutzer nicht alle<br />
Leistungsmerkmale zur Verfügung stehen, die <strong>für</strong> ihn vorgesehen sind.<br />
Die <strong>für</strong> ein IP-Telefon beschriebene Gefährdung ist bei einem ungeordneten Benutzerwechsel<br />
an einem PC in folgenden Punkten relevant:<br />
• Einsatz einer Softphone-Lösung<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 75
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Browser-basiert nutzbare VoIP-Funktionen, die wegen ungelöschten Informationen<br />
(z. B. URL-Historie, Bookmarks, Cookies) eine Gefährdung darstellen<br />
können<br />
• lokal gespeicherte personenbezogene Daten (z. B. Kontaktinformationen von<br />
Gesprächspartnern des bisherigen PC-Nutzers)<br />
G-<strong>TK</strong>-27 Mangelhafte Behandlung der Archivierung von Sprachnachrichten und<br />
elektronischen Fax-Nachrichten<br />
Datenarchivierung kann bei VoIP-Lösungen primär in folgenden Bereichen anfallen:<br />
• Archivierung von Verbindungsdaten und Abrechnungen<br />
• Archivierung von Protokollen der Telefonate in Form von Multimedia-<br />
Dateien<br />
• Archivierung von Sprachmailbox-Dateien<br />
• Archivierung von Fax-Ein- und -Ausgängen, sowie von Faxausdrucken<br />
Werden diese Archivierungsformen nicht ausreichend geregelt und berücksichtigt,<br />
so drohen einerseits Verletzungen der Vertraulichkeit oder des Datenschutzes.<br />
Weiterhin sind Verletzungen von Aufbewahrungspflichten möglich, etwa durch<br />
ungeeignete Lösungen, die nicht <strong>für</strong> die Archivierung von VoIP-Multimedia, insbesondere<br />
Sprachmailbox-Dateien und Fax-Nachrichten ausgelegt sind.<br />
G-<strong>TK</strong>-28 Unzulängliche vertragliche Regelungen <strong>für</strong> externe Leistungen zur VoIP-<br />
Lösung<br />
Eine Gefahr besteht hier vor allem bei allzu unreflektierter Anlehnung an Dienstleistungs-<br />
bzw. Wartungsverträge <strong>für</strong> bestehende ältere <strong>TK</strong>-<strong>Anlagen</strong>:<br />
• Durch die veränderte technische Basis und den im Vergleich zu einer älteren<br />
<strong>TK</strong>-Anlage erhöhten Software-Anteil können bei unreflektierter Übernahme<br />
von Inhalten aus Verträgen zur alten <strong>TK</strong>-Lösung wichtige Aspekte ungeregelt<br />
bleiben.<br />
• Ältere Verträge zu <strong>TK</strong>-Dienstleistungen berücksichtigen häufig nicht die heute<br />
im IT-Bereich üblichen Service Level.<br />
• Durch die Einbindung der VoIP-Komponenten in das IP-Netzwerk müssen<br />
typische <strong>für</strong> LAN-basierte Systeme geltende <strong>Sicherheit</strong>sauflagen erfüllt werden<br />
(z. B. sicherer Remote-Administrations-Zugriff). Hierzu sind entsprechende<br />
vertragliche Regelungen erforderlich.<br />
Werden die Wartungsverträge nicht entsprechend dieser Aspekte gezielt gestaltet,<br />
so drohen beispielsweise Verfügbarkeitsprobleme mangels ausreichender Supportqualität<br />
bzw. <strong>Sicherheit</strong>slücken mangels Zugriff auf <strong>Sicherheit</strong>s-Patches.<br />
G-<strong>TK</strong>-29 Unzureichende Regelungen <strong>für</strong> das Ende der externen Dienstleistungen <strong>für</strong><br />
eine VoIP-Lösung<br />
Wartungsverträge <strong>für</strong> <strong>TK</strong>-<strong>Anlagen</strong>technik wurden in der Vergangenheit häufig an<br />
den Abschreibungszeitraum gebunden. Regelungen <strong>für</strong> einen vorzeitigen Ausstieg<br />
76 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
waren in derartigen Verträgen gar nicht vorhanden oder auf eine vollständige<br />
Stilllegung der fraglichen Anlage als Berechtigungsgrund beschränkt.<br />
Dies ist <strong>für</strong> VoIP so pauschal ungeeignet, da ein VoIP-Wartungsvertrag sich wegen<br />
des deutlich erhöhten Software-Anteils nicht mehr auf reine Hardware-<br />
Instandhaltung konzentriert. Änderungen in diesem Software-Anteil sind im Vergleich<br />
zu traditionellen <strong>TK</strong>-Systemen deutlich häufiger und gravierender. Über<br />
die gesamte Standzeit der VoIP-Installation muss ein Dienstleister die <strong>für</strong> die<br />
Software-Pflege notwendige Kompetenz und den entsprechenden Service Level<br />
zusichern.<br />
Bei unzureichenden Regelungen <strong>für</strong> die Kündigung von Dienstleistungen besteht<br />
hier die Gefahr, dass ein Vertrag nicht bedarfsgerecht gelöst werden kann.<br />
3.2.3 Menschliche Fehlhandlungen<br />
Menschliche Fehlhandlungen kommen bei jeglicher Form von IT-Lösungen vor, so auch <strong>für</strong><br />
VoIP-Lösungen. Dabei sind Fehlhandlungen der Telefonie-Nutzer ebenso zu berücksichtigen<br />
wie solche des IT-Personals, z. B. der VoIP-Administratoren.<br />
G-<strong>TK</strong>-30 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten der<br />
VoIP-Benutzer<br />
Vertraulichkeitsverluste mit solcher Ursache können vor allem bei Mehrwert-<br />
Funktionalitäten von VoIP-Lösungen auftreten, z. B.:<br />
• Zugänglichkeit von Kontaktinformationen <strong>für</strong> Dritte durch schlecht oder gar<br />
nicht geschützte Speicherung auf mobilen Medien<br />
• fahrlässiger Umgang mit Möglichkeiten zur Absicherung von Kontaktinformationen<br />
auf Endgeräten mit Bluetooth-Schnittstelle<br />
• Zugänglichkeit von Kontaktinformationen durch Ausdrucken und Nicht-<br />
Abholen dieser Ausdrucke<br />
G-<strong>TK</strong>-31 Unstrukturierte Datenhaltung durch VoIP-Nutzer<br />
Bei VoIP-Lösungen kommt diese Gefährdung insbesondere im Zusammenhang<br />
mit Mehrwertfunktionalitäten zur reinen Telefonie zum Tragen.<br />
Beispiele sind:<br />
• In Form von Multimediadateien festgehaltene Sprachmailbox-Inhalte werden<br />
gleichzeitig an mehreren Stellen vorgehalten:<br />
• im Rahmen des entsprechenden VoIP-Systems<br />
• als Dateianlage von E-Mails, die bei Eingang der Sprachnachricht automatisch<br />
generiert und an den Posteingang des Telefonnutzers gesendet<br />
wurden<br />
• als Kopie in einer Dateiablage zum Gesamtvorgang, in den die jeweilige<br />
Sprachnachricht einzuordnen ist<br />
• Kontaktdaten werden sowohl zentral im VoIP-Gesamtsystem als auch lokal<br />
von den Benutzern gepflegt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 77
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Durch derartige Formen unstrukturierter Datenhaltung wird einerseits unnötig der<br />
Speicherplatzbedarf vervielfacht. Andererseits können unterschiedlich aktuelle<br />
Datenbestände mit vergleichbaren Inhalten zu Konsistenzproblemen führen. Zudem<br />
ist fraglich, ob alle Ablageorte das gleiche <strong>Sicherheit</strong>sniveau aufweisen, d. h.<br />
es können Vertraulichkeit und Integrität gefährdet werden.<br />
G-<strong>TK</strong>-32 Konfigurationsfehler und Bedienungsfehler bei VoIP-Lösungen<br />
Konfigurationsfehler an VoIP-Servern und ähnlichen zentralen Komponenten<br />
können zu Fehlfunktionen, Nicht-Verfügbarkeit von Leistungsmerkmalen oder<br />
Absturz der Server und damit Nicht-Verfügbarkeit der Telefonie als Ganzes führen.<br />
Dies lässt sich ausweiten auf Komponenten der IP-Infrastruktur, soweit sie auch<br />
<strong>für</strong> die VoIP-Telefonie genutzt werden, aber in ihrer Konfiguration nicht bzw.<br />
nicht vollständig auf die Anforderungen der Sprachkommunikation umgestellt<br />
wurden. Man vergleiche in diesem Zusammenhang auch die Gefährdung G-<strong>TK</strong>-<br />
23 „Unzureichende Harmonisierung zwischen IT- und VoIP-Betrieb“ der BSI IT-<br />
Grundschutz-Kataloge (siehe [BSIGSK]).<br />
Eine Gefährdung durch Konfigurations- und Bedienfehler besteht auch im Endgerätebereich.<br />
G-<strong>TK</strong>-33 Fehlerhafte Administration von Zugangs- und Zugriffsrechten zu VoIP-<br />
Installationen<br />
Diese Gefährdung ist <strong>für</strong> VoIP relevant im Zusammenhang mit folgenden Punkten:<br />
• Zugang zu VoIP-Mehrwertfunktionen und zugehörigen Datenbeständen<br />
• Nutzungsberechtigungen <strong>für</strong> Telefone (Benutzerprofile)<br />
• Konfigurationsmöglichkeiten des Nutzers <strong>für</strong> seine VoIP-Nutzungsumgebung<br />
(z. B. Tastenbelegung, PIN-Code): Bei Änderung durch unbefugte Dritte<br />
kann ein berechtigter Anwender mangels Wissens um die Änderung „ausgesperrt“<br />
werden.<br />
Im Zusammenhang mit fehlerhafter Freischaltung von Amtsberechtigungen können<br />
ungewollte Kosten entstehen, je nach Ziel (Handy-Nummer, Auslandsziele)<br />
auch in kurzer Zeit in beträchtlicher Höhe.<br />
3.2.4 <strong>Technische</strong>s Versagen<br />
Die Gefährdungen der Katalogisierung „<strong>Technische</strong>s Versagen“ treffen <strong>für</strong> VoIP grundlegend<br />
zu, soweit die durch eine Gefährdung bedrohte Technik eingesetzt wird:<br />
• Netzwerk-Technik (LAN, WAN, ggf. auch WLAN)<br />
• Server-Betriebssystem(e) der im Rahmen einer konkreten VoIP-Lösung eingesetzten Art<br />
• Endgeräte-Betriebssysteme, soweit im Telefonie-Endgerätebereich eingesetzt (Softphone-Lösungen<br />
eingeschlossen)<br />
78 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
Eine Einordnung als VoIP-spezifische Gefährdung ist nur dann angemessen, wenn VoIP ein<br />
besonderes Angriffsziel im Rahmen einer Gefährdung darstellt bzw. auf Grund seiner technischen<br />
Besonderheiten (z. B. Anforderungen an die Netzwerk-Infrastruktur und Kommunikationseigenschaften<br />
von Netzwerk-Strecken) besonders gefährdet ist oder vorzugsweise im<br />
Sinne dieser Gefährdung angegriffen wird. Weiterhin kann eine besondere Ausprägung der<br />
Gefährdung im Falle von VoIP besondere Maßnahmen notwendig machen.<br />
Die hier speziell <strong>für</strong> VoIP relevanten Gefährdungen sind bereits in den IT-Grundschutz-<br />
Katalogen enthalten und beschrieben. Sie werden gezielt vom Baustein B 4.7 „VoIP“ der BSI<br />
IT-Grundschutz-Kataloge referenziert:<br />
• G 4.56 Ausfall der VoIP-Architektur<br />
• G 4.57 Störungen beim Einsatz von VoIP über VPNs<br />
• G 4.58 Schwachstellen beim Einsatz von VoIP-Endgeräten<br />
• G 4.59 Nicht-Erreichbarkeit von VoIP durch NAT<br />
Angesichts der hohen Bedeutung der Telefonie-Verfügbarkeit (mindestens an bestimmten<br />
Arbeitsplätzen z. B. <strong>für</strong> Notruffunktionen) darf man sich im Zusammenhang mit VoIP nicht<br />
nur auf diese spezifischen Gefährdungen konzentrieren. Vielmehr müssen konsequent alle<br />
VoIP-relevanten Gefährdungen im Bereich „<strong>Technische</strong>s Versagen“ behandelt werden.<br />
3.2.5 Vorsätzliche Handlungen<br />
Gerade in der Gefährdungskategorie „Vorsätzliche Handlungen“ ist es wichtig zu beachten,<br />
dass VoIP mit dem IP-Netzwerk eine Infrastruktur mitnutzt, die nicht integraler Teil der<br />
VoIP-Lösung ist und von anderen Kommunikationsformen mitgenutzt wird:<br />
• Gefährdungen, die auf andere Nutzungsformen eines IP-Netzes zutreffen, müssen auch<br />
<strong>für</strong> VoIP berücksichtigt werden.<br />
Solche Gefährdungen kommen also zu den direkt auf die VoIP-Installationen wirkenden<br />
Gefährdungen hinzu.<br />
• Lösungen zur Entkräftung von Gefährdungen, die anderen Nutzungsformen genügen,<br />
sind <strong>für</strong> VoIP nicht per se ausreichend.<br />
VoIP hat besondere Ansprüche an die Kommunikationsparameter, die insbesondere eine<br />
Denial-of-Service-Attacke erleichtern, denn es genügt eine mutwillige Verschlechterung der<br />
Übertragungsqualität im Bereich der <strong>für</strong> VoIP relevanten Größen (insbesondere Jitter und<br />
Delay).<br />
Die Anforderungen des Datenschutzes <strong>für</strong> die Sprachdaten müssen berücksichtigt werden und<br />
zudem muss davon ausgegangen werden, dass von jedem VoIP-Endgerät aus anteilig vertrauliche<br />
Gespräche geführt werden. Der Schutzbedarf bezüglich der Vertraulichkeit muss höher<br />
als normal eingestuft werden, auch wenn <strong>für</strong> alle anderen Datenübertragungen vom selben<br />
Anwenderarbeitsplatz eine Einstufung als normal erfolgt ist.<br />
Weiterhin ist mindestens <strong>für</strong> einen Teil der Telefone zur Sicherstellung von Notrufmöglichkeiten<br />
der Schutzbedarf hinsichtlich der Verfügbarkeit als erhöht einzustufen, d. h. vorsätz-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 79
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
liche Handlungen, die solche Telefone unbrauchbar machen sollen, sind als besonders brisant<br />
anzusehen. Dies betrifft sowohl die Verfügbarkeit des Telefons selbst als auch der Pfade im<br />
IP-Netzwerk, über das ein solches Telefon Sprachdaten versendet.<br />
G-<strong>TK</strong>-34 Denial-of-Service-Angriffe auf VoIP<br />
Hierunter fallen sowohl vorsätzliche Handlungen, die VoIP-Equipment und VoIP-<br />
Teilkomponenten vorübergehend oder dauerhaft der vorgesehenen Nutzung durch<br />
den Anwender entziehen als auch Angriffe auf die von VoIP mitgenutzten Elemente<br />
eines IP-Netzwerks.<br />
Zu Diebstahl und Angriffen vom Typ Denial of Service (DoS), die sich zerstörerisch<br />
direkt gegen die VoIP-Komponenten richten, kommen Angriffsformen<br />
hinzu, bei denen über eine LAN- oder WLAN-Verbindung bzw. über das Internet<br />
angegriffen wird. Der physikalische Zugangsschutz zum angegriffenen Objekt ist<br />
daher weniger wichtig, entscheidender ist der Netzzugang des Angreifers.<br />
Typische Angriffsszenarien haben entsprechend eine wie folgt zu beschreibende<br />
Grundcharakteristik:<br />
1. Zunächst findet der Angreifer einen Weg, von außen in den Netzwerkbereich<br />
einzudringen, in dem er ein VoIP-relevantes Objekt angreifen will.<br />
2. Nun wird der eigentliche (Last-)Angriff durchgeführt. Das angegriffene Objekt<br />
wird gezielt <strong>für</strong> VoIP unbrauchbar gemacht, ohne physikalisch in seine<br />
Nähe gekommen zu sein.<br />
Ein typisches Beispiel ist ein auch als DHCP Starvation bezeichneter Angriff bei<br />
dem ein Angreifer systematisch kontinuierlich per DHCP neue IP-Adressen anfordert,<br />
bis der Pool an dynamisch vergebenen IP-Adressen aufgebraucht ist. Damit<br />
stehen am Ende auch keine IP-Adressen mehr <strong>für</strong> IP-Telefone zur Verfügung<br />
und damit <strong>für</strong> die betroffenen Geräte auch keine Telekommunikationsdienste.<br />
Weiterhin müssen Schwächen von DNS beachtet werden, die es beispielsweise<br />
einem Angreifer erlauben, sich als DNS Server auszugeben und DNS-Anfragen<br />
schadenstiftend zu beantworten (als DNS Spoofing bezeichnet).<br />
Bei der Behandlung der Denial of Service-Gefährdung kommt der Prävention gegen<br />
Schritt 1 die höchste Bedeutung zu.<br />
DoS-Angriffe, die über das Netzwerk erfolgen, können nur dann erfolgreich geblockt<br />
werden, ohne dass das Netzwerk insgesamt nutzlos wird, wenn man gezielt<br />
zwischen „berechtigter“ und „unberechtigter“ Netzwerk-Nutzung unterscheiden<br />
kann. Typische Angriffsformen versuchen daher in einem ersten Schritt, eine Identität<br />
anzunehmen bzw. zu simulieren, deren Aktivität nicht sinnvoll geblockt<br />
werden kann. Auf dieser Basis wird dann der eigentliche DoS-Angriff durchgeführt.<br />
G-<strong>TK</strong>-35 Abhören der VoIP-Kommunikation<br />
Ähnlich wie bei gegen die Verfügbarkeit gerichteten DoS-Angriffen auf VoIP ist<br />
auch bei Angriffen auf die Vertraulichkeit der typische Angriff ein Mehrschritt-<br />
Ansatz:<br />
1. Zunächst wird die Umgebung ausspioniert, um Identitäten im Netzwerk zu<br />
identifizieren, auf die bzw. über die der angestrebte Abhörangriff erfolgen<br />
kann.<br />
80 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
2. Nun wird missbräuchlich vom Angreifer eine Identität bzw. Rolle angenommen,<br />
über die er in den Sprachdatentransfer eingebunden wird, ohne<br />
dass dies auffällt.<br />
3. Der Angreifer übt die unberechtigt übernommene Rolle aus und gelangt so in<br />
die Position, die Sprachdaten mitzulesen und zur Abhörung aufzubereiten.<br />
Ein Beispiel <strong>für</strong> einen solchen Angriff ist das sogenannte ARP-Spoofing (auch<br />
ARP-Poisoning genannt, siehe Gefährdung G 5.112 „Manipulation von ARP-<br />
Tabellen“ der IT-Grundschutz-Kataloge). Dieser Angriff gestattet es, durch missbräuchliche,<br />
aber standardkonforme Verwendung des Address Resolution Protocol<br />
(ARP) innerhalb einer Broadcast-Domäne eines LAN jeglichen Kommunikationsverkehr<br />
eines Endgeräts über den Angreifer zu leiten. Der Angreifer muss<br />
sich hierzu lediglich an einen Netzwerkport des LAN anschließen.<br />
Dabei muss sich der Angreifer nicht notwendig im LAN des angegriffenen VoIP-<br />
Systems befinden. Es ist genauso möglich, dass der Lauschangriff ausgehend von<br />
einem Computer im LAN, von dem aus das angegriffene VoIP-System erreichbar<br />
ist, über ein Trojanisches Pferd erfolgt. Die Sprachdaten werden dann von dem infizierten<br />
Computer über eine erlaubte Kommunikationsbeziehung per Internet an<br />
den eigentlichen Angreifer übermittelt (siehe Abbildung 25). Eine Infizierung mit<br />
einem Trojanischen Pferd ist insbesondere bei Softphones möglich.<br />
Eine weitere typische Angriffsvariante ist das Einrichten eines DHCP-Servers<br />
durch den Angreifer, der auf DHCP-Anfragen mit falschen Antworten reagiert<br />
und so beispielsweise dem angegriffenen Gerät mitteilt, dass der Angreifer selber<br />
das Default Gateway sei. Das angegriffene Gerät würde dann den gesamten Subnetz-übergreifenden<br />
Verkehr über den Angreifer leiten.<br />
Außerdem muss auf die Gefährdung durch DNS Spoofing im Zusammenhang mit<br />
der Nutzung von ENUM hingewiesen werden. Die Schwächen von DNS vererben<br />
sich auf ENUM und ein Angreifer ist grundsätzlich in der Lage, über DNS Spoofing<br />
falsche Bindungen zwischen einer Telefonnummer und einem Dienst zu verbreiten.<br />
Das auf diese Weise angegriffene Gerät kann dann beispielsweise ohne es<br />
zu bemerken zu einem Kommunikationsziel geleitet werden, das unter der<br />
Kontrolle des Angreifers steht.<br />
Zum Zwecke des Ausspionierens (Schritt 1) können Auswertungsmöglichkeiten<br />
der VoIP-Lösung (Accounting-, Billing- und Logging-Funktionen) mit den umfangreichen<br />
Möglichkeiten der Auswertung von IP-basierter Kommunikation<br />
kombiniert werden.<br />
Die Durchführung solcher Angriffe wird zudem erleichtert, wenn Wartungs- und<br />
Administrationszugänge zum IP-Netz oder zu einzelnen Netzwerk- bzw. VoIP-<br />
Komponenten Schwachstellen aufweisen, über die Unbefugte solche Zugänge<br />
nutzen können.<br />
Da VoIP-Pakete mit den Mitteln der Protokollanalyse dekodiert und insbesondere<br />
Sprachdaten in Multimedia-Dateien umgewandelt werden können, ist eine VoIP-<br />
Kommunikation ohne einen gezielten Schutz durch Verschlüsselung als „Klartext“-Kommunikation<br />
einzustufen. Die Daten liegen somit offen, sobald ein<br />
Lauschzugriff mit den Mitteln der Protokollanalyse erfolgen kann.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 81
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
A<br />
Abbildung 25: ARP-Spoofing durch einen Trojaner zum Abhören eines Gesprächs<br />
L2 Switch<br />
IP PBX<br />
ARP Spoofing:<br />
Verkehr zum Default-<br />
Gateway geht an MAC-<br />
Adresse des Angreifers T<br />
L3 Switch<br />
Broadcast-<br />
Domäne<br />
IP-Netz<br />
L2 Switch<br />
T<br />
Trojaner, mit dem<br />
der PC T infiziert<br />
ist und der<br />
ARP-Spoofing-<br />
Attacke durchführt<br />
Netz eines Unternehmens<br />
oder einer Behörde<br />
Firewall<br />
Internet<br />
ARP Spoofing:<br />
Verkehr zur IP-Adresse des<br />
VoIP-Clients A geht an MAC-<br />
Adresse des Angreifers T<br />
Der Trojaner zeichnet die gesamten Gespräche<br />
des Clients A auf.<br />
Anschließend (oder sogar parallel) werden die<br />
Daten zum eigentlichen Lauscher über eine<br />
erlaubte Kommunikationsbeziehung übertragen.<br />
G-<strong>TK</strong>-36 Missbräuchlicher Zugriff auf VoIP-Geräte<br />
Die Kombination von reiner Telefoniermöglichkeit mit einer Vielzahl von Mehrwertfunktionen<br />
führt bei VoIP dazu, dass auch die Endgeräte selbst immer mehr<br />
Funktionalitäten mitbringen. IP-Telefone enthalten einen Computer, auf dessen<br />
Betriebssystem neben der VoIP-Software beispielsweise oft auch ein Web-<br />
Browser und zu Konfigurationszwecken ein Web-Server läuft. Damit überträgt<br />
sich eine Vielzahl von Gefährdungen auf IP-Telefone. Entsprechende Angriffe auf<br />
IP-Telefone, die einen Zugriff auf Daten und Konfiguration sowie deren Manipulation<br />
ermöglichen, sind bereits bekannt.<br />
Die Durchführung solcher Angriffe wird zudem erleichtert, wenn Wartungs- und<br />
Administrationszugänge zum IP-Netz oder zu einzelnen Netzwerk- bzw. VoIP-<br />
Komponenten Schwachstellen aufweisen, über die Unbefugte solche Zugänge<br />
nutzen können.<br />
Eine weitere potenzielle Gefährdung ergibt sich bei der Verwendung von Signalisierungsprotokollen,<br />
die – wie es bei SIP der Fall ist – HTTP entlehnt sind und<br />
HTML- und XML-ähnliche Sprachen verwenden. Durch einen provozierten Pufferüberlauf<br />
könnte hier ein missbräuchlicher Zugriff ermöglicht werden.<br />
Bei Softphones bestehen Gefährdungen zudem über Verwundbarkeiten im Betriebssystem<br />
und den installierten Anwendungen. Hierdurch entsteht eine Platt-<br />
82 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
form <strong>für</strong> eine ganze Palette von Angriffen, z. B. zur Aufzeichnung von Sprachinformationen<br />
bis hin zum Abhören von Räumen.<br />
3.3 Hybrid-Systeme<br />
Die bereits festgestellten Gefährdungen <strong>für</strong> ISDN <strong>TK</strong>-<br />
<strong>Anlagen</strong> und <strong>für</strong> VoIP-Systeme gelten auch <strong>für</strong> Hybrid-<br />
<strong>Anlagen</strong>. Es besteht weiterhin die Möglichkeit, dass eine<br />
Gefährdung, die beispielsweise auf VoIP-Komponenten<br />
einwirkt, einen Seiteneffekt auf eine ISDN-Komponente<br />
des Hybrid-Systems hat, wie in Abbildung 26 illustriert.<br />
In diesem Sinne kann sich die Gefährdungslage sogar derart kumulieren, dass in Summe die<br />
Gefährdungen durch die Integration von Systemen größer werden als <strong>für</strong> die Einzelsysteme<br />
allein. Diese Seiteneffekte sind meist implementierungsabhängig und müssen ggf. im Einzelfall<br />
betrachtet werden.<br />
Abbildung 26: Kumulationseffekt durch zusätzliche Komponenten und Schnittstellen (vereinfacht)<br />
3.3.1 Höhere Gewalt<br />
Hier müssen zusätzlich zu den bereits betrachteten Gefährdungen Seiteneffekte beachtet<br />
werden. Beispielsweise kann ein Ausfall der IP-Komponenten der Anlage durch höhere Gewalt<br />
dazu führen, dass auch die ISDN-Komponenten in Mitleidenschaft gezogen werden und<br />
im schlimmsten Fall keine Sprachkommunikation mehr über die Anlage vermittelt werden<br />
kann.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 83
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
3.3.2 Organisatorische Mängel<br />
Folgende bereits <strong>für</strong> ISDN <strong>TK</strong>-<strong>Anlagen</strong> und <strong>für</strong> VoIP-Systeme betrachtete Gefährdungen sind<br />
hervorzuheben, da sie durch das Zusammenwirken beider Systeme eine besondere Ausprägung<br />
erfahren.<br />
G-<strong>TK</strong>-37 Unzureichende oder fehlende Kompetenzen <strong>für</strong> Planung und Betrieb einer<br />
Hybrid-Anlage<br />
Für Planung und Betrieb einer Hybrid-Anlage ist eine Kompetenz sowohl <strong>für</strong> den<br />
Bereich der klassischen ISDN <strong>TK</strong>-Anlage als auch <strong>für</strong> den Bereich VoIP erforderlich.<br />
Kompetenzmängel in einem der beiden Bereiche können <strong>für</strong> das Gesamtsystem<br />
erhebliche Auswirkungen haben.<br />
Es ist wichtig zu verstehen, dass in einer Hybrid-Anlage sehr heterogene Techniken<br />
integriert werden. Beide Bereiche haben beispielsweise eine eigene Terminologie,<br />
die <strong>für</strong> den Betrieb einer Hybrid-Anlage und <strong>für</strong> die Kommunikation zwischen<br />
dem beteiligten Personal beherrscht werden muss. Missverständnisse aus<br />
mangelndem (gegenseitigem) Verständnis sind eine nicht zu unterschätzende Gefahrenquelle.<br />
G-<strong>TK</strong>-38 Unzureichende organisatorische Struktur <strong>für</strong> den Betrieb einer Hybrid-<br />
Anlage<br />
Die Technologiebereiche ISDN und VoIP werden manchmal von unterschiedlichen<br />
Gruppen einer Linienorganisation betreut. Die Folge kann durchaus sein,<br />
dass verschiedene Gruppen eine Hybrid-Anlage gemeinsam administrieren. Dies<br />
erfordert eine organisationsübergreifende reibungslose Abstimmung. Dabei besteht<br />
grundsätzlich die Gefahr, dass diese Abstimmung nur unzureichend in der<br />
Organisation umgesetzt wird. Dies kann beispielsweise zur Folge haben, dass Informationen<br />
verloren gehen und Meldewege nicht oder nur unzureichend funktionieren.<br />
G-<strong>TK</strong>-39 Unzureichende oder fehlende Konzepte, Regelungen und Prozesse <strong>für</strong> das<br />
Management einer Hybrid-Anlage<br />
Konzepte, Regelungen und Prozesse <strong>für</strong> eine ISDN <strong>TK</strong>-Anlage müssen <strong>für</strong> den<br />
Einsatz einer Hybrid-Anlage entsprechend um VoIP-bezogene Elemente erweitert<br />
werden. Eine Gefährdung besteht darin, dass sich diese Erweiterung als unzureichend<br />
erweist. Kritisch sind dabei diejenigen Elemente, die einen übergreifenden<br />
Bezug zu beiden Systemen (ISDN und VoIP) haben, z. B. der Austausch<br />
eines ISDN-Telefons gegen ein IP-Telefon.<br />
G-<strong>TK</strong>-40 Unabgestimmte Konfigurationen und <strong>Sicherheit</strong>seinstellungen <strong>für</strong> ISDN und<br />
VoIP<br />
Für den ISDN- und VoIP-Bereich werden technologie- und produktbedingt unterschiedliche<br />
Konfigurationen und <strong>Sicherheit</strong>seinstellungen vorgenommen, die geeignet<br />
abzustimmen sind, damit ein einheitliches <strong>Sicherheit</strong>sniveau sichergestellt<br />
wird. Dies beinhaltet sowohl die Einstellungen am Endgerät und die zugehörigen<br />
Festlegungen der Nutzerrechte als auch die Parameter <strong>für</strong> den administrativen Zugang.<br />
Werden diese Einstellungen nicht geeignet abgestimmt, kann es vor-<br />
84 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
kommen, dass in einem Bereich (z. B. auf der VoIP-Seite) ein zu geringes <strong>Sicherheit</strong>sniveau<br />
besteht.<br />
3.3.3 Menschliche Fehlhandlungen<br />
Generell gilt, dass mit der Komplexität eines Systems auch das Risiko einer menschlichen<br />
Fehlhandlung steigt. Dies gilt auch <strong>für</strong> die Integration einer ISDN <strong>TK</strong>-Anlage und eines<br />
VoIP-Systems in einer Hybrid-Anlage.<br />
3.3.4 <strong>Technische</strong>s Versagen<br />
Für Hybrid-<strong>Anlagen</strong> gelten die bereits genannten Gefährdungen <strong>für</strong> ISDN <strong>TK</strong>-<strong>Anlagen</strong> und<br />
VoIP-Systeme. Durch die Integration dieser heterogenen Komponenten in das Gesamtsystem<br />
Hybrid-Anlage entsteht allerdings auch <strong>für</strong> den Bereich „<strong>Technische</strong>s Versagen“ eine besondere<br />
Bedrohungslage.<br />
G-<strong>TK</strong>-41 Gesamtverfügbarkeit bei Störung einer Komponente<br />
Eine Störung bzw. ein Ausfall einer VoIP-Komponente kann sich – je nach internem<br />
Aufbau der Hybrid-Anlage – in der Anlage fortpflanzen und ggf. auch ISDN-<br />
Komponenten in ihrer Funktion beeinflussen. Die Ursache kann beispielsweise in<br />
einem Hardware- oder Software-Fehler bei der Integration der VoIP-<br />
Komponenten liegen.<br />
G-<strong>TK</strong>-42 Fehlende oder unzureichende Integration der Management-Komponenten<br />
Hybrid-<strong>Anlagen</strong> sind manchmal nicht aus einem Guss, d. h. es werden Komponenten<br />
unterschiedlicher Hersteller bzw. Produkte in ein Gesamtsystem integriert.<br />
Dabei kann es vorkommen, dass die Komponenten <strong>für</strong> das Management des<br />
ISDN-Teils und des VoIP-Teils der Hybrid-Anlage nicht oder nur unzureichend<br />
zusammenpassen. Im Extremfall gibt es unterschiedliche oder nur unvollständig<br />
integrierte Benutzerschnittstellen, die ein einheitliches Management der Hybrid-<br />
Anlage erschweren oder sogar unmöglich machen. Dies erhöht generell das Risiko<br />
eines Bedienfehlers und erschwert die Abstimmung von Konfigurationen und<br />
<strong>Sicherheit</strong>seinstellungen zwischen den Teilsystemen ISDN und VoIP.<br />
3.3.5 Vorsätzliche Handlungen<br />
Im Bereich der vorsätzlichen Handlungen besteht die wesentliche Gefährdung darin, dass<br />
Angriffe eine technologieübergreifende Wirkung entfalten können. Die Gefährdungslage<br />
konzentriert sich dabei auf die VoIP-Komponente einer Hybrid-Anlage, da hier die größte<br />
Angriffsfläche besteht und auf eine Vielzahl bereits bekannter Angriffsmethoden zurückgegriffen<br />
werden kann.<br />
G-<strong>TK</strong>-43 Übergreifende Wirkung eines Angriffs auf eine VoIP-Komponente<br />
Ein Angriff aus einem IP-Netz (z. B. dem LAN) auf eine VoIP-Komponente einer<br />
Hybrid-Anlage kann sich – je nach internem Aufbau der Hybrid-Anlage – in der<br />
Anlage fortpflanzen und ggf. funktionieren in Folge sogar ISDN-Komponenten<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 85
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
nicht mehr korrekt. Beispielsweise könnte ein Angriff vom Typ Denial of Service<br />
aus dem LAN heraus in einer zentralen Steuerungskomponente der Anlage eine<br />
Überlastsituation erzeugen, die dazu führt, dass auch ein Ruf von einem lokal angeschlossenen<br />
ISDN-Telefon abgewiesen wird. Außerdem kann dabei ein unberechtigter<br />
Zugriff auf Informationen und Sprachdaten der ISDN-Seite von der<br />
IP-Seite aus erfolgen.<br />
3.4 IP-<strong>Anlagen</strong>anschluss<br />
Dieses Kapitel analysiert die Gefährdungslage <strong>für</strong> den<br />
sogenannten IP-<strong>Anlagen</strong>anschluss, d. h. die Verlagerung<br />
der Anbindung an das öffentliche Telefonnetz (d. h. der<br />
PSTN-Gateway-Funktion einer VoIP-Anlage) hin zu<br />
einem Carrier, also einem externen Anbieter. Die eigene<br />
VoIP-Anlage enthält dann nach innen und nach außen nur<br />
noch IP-Komponenten bzw. IP-Anschlüsse.<br />
3.4.1 Höhere Gewalt<br />
Für ein Unternehmen bzw. eine Behörde, die einen IP-<strong>Anlagen</strong>anschluss verwendet, bestehen<br />
Gefährdungen durch höhere Gewalt primär in den Bereichen der Anbindung und der Übertragungswege<br />
zum ITSP sowie in der Infrastruktur des ITSP selbst. Die Gefährdungslage<br />
entspricht hier weitgehend den in den IT-Grundschutz-Katalogen beschriebenen Gefährdungen<br />
eines Internet-Zugangs sowie den bereits betrachteten Gefährdungen <strong>für</strong> ein<br />
VoIP-System mit PSTN-Übergang über ein ISDN-Gateway. Unterschiede bestehen aber<br />
darin, dass die Übertragung IP-basiert erfolgt und die Infrastruktur des ITSP gemeinsam mit<br />
anderen Kunden des ITSP genutzt wird. Auf diese Weise können sich Seiteneffekte ergeben.<br />
3.4.2 Organisatorische Mängel<br />
Im Bereich der Gefährdungen durch organisatorische Mängel muss primär beachtet werden,<br />
dass mit IP die Sprach- bzw. allgemein die Multimedia-Kommunikation zum ITSP über ein<br />
grundsätzlich unsicheres Protokoll abläuft. Hier müssen beide Parteien, d. h. der ITSP und das<br />
Unternehmen bzw. die Behörde die sich daraus ergebende Gefährdungslage beachten.<br />
Die Auslagerung des PSTN-Übergangs hat darüber hinaus auch Konsequenzen <strong>für</strong> die lokale<br />
Infrastruktur.<br />
G-<strong>TK</strong>-44 Unzureichende Regelungen <strong>für</strong> den IP-<strong>Anlagen</strong>anschluss mit dem ITSP<br />
Die <strong>Sicherheit</strong>smaßnahmen, die seitens des ITSP ergriffen werden sollen, müssen<br />
durch geeignete Regelungen vereinbart und überprüft werden. Sind diese Regelungen<br />
beispielsweise nicht eindeutig, besteht die Gefahr, dass ein zu niedriges<br />
<strong>Sicherheit</strong>sniveau hinsichtlich der <strong>Sicherheit</strong>sziele Vertraulichkeit und Integrität<br />
implementiert wird oder die Verfügbarkeit unter den Erwartungen bleibt.<br />
86 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
G-<strong>TK</strong>-45 Unzureichende oder fehlende Planung der Absicherung <strong>für</strong> die Erweiterung<br />
der Außenanbindung um eine VoIP-Komponente<br />
Bei Einsatz eines IP-<strong>Anlagen</strong>anschlusses muss der Schutz der eigenen Infrastruktur<br />
um Maßnahmen gegen Gefährdungen durch die Übertragung von VoIP<br />
von und zum ITSP erweitert werden. Ist die Planung der <strong>Sicherheit</strong>smaßnahmen<br />
hier unzureichend, kann beispielsweise ein unberechtigter Zugriff über VoIP-<br />
Protokolle auf die eigene Infrastruktur und der dort verwalteten Daten erfolgen.<br />
Die Planung der <strong>Sicherheit</strong>smechanismen muss auch berücksichtigen, dass Signalisierungs-<br />
und Nutzdaten über Koppelelemente mit <strong>Sicherheit</strong>sfunktionalität<br />
(z. B. Firewall, SBC) geleitet werden, die daher geeignet dimensioniert sein müssen.<br />
3.4.3 Menschliche Fehlhandlungen<br />
Die Gefährdungen durch menschliche Fehlhandlungen <strong>für</strong> einen Zugang zu einem ITSP sind<br />
identisch zu den in den IT-Grundschutz-Katalogen genannten Gefährdungen <strong>für</strong> einen Internet-Zugang.<br />
3.4.4 <strong>Technische</strong>s Versagen<br />
Bei den Gefährdungen durch technisches Versagen steht neben den VoIP-relevanten Gefährdungen<br />
die zentrale Rolle des Session Border Controller (SBC) im Mittelpunkt. Dabei<br />
übertragen sich im Wesentlichen die in den IT-Grundschutz-Katalogen genannten Gefährdungen,<br />
denen allgemein eine Firewall oder ein Application Layer Gateway (ALG) ausgesetzt<br />
sind, auf den SBC.<br />
3.4.5 Vorsätzliche Handlungen<br />
Die IT-Grundschutz-Kataloge beschreiben eine Reihe von Gefährdungen durch vorsätzliche<br />
Handlungen, die sich auf VoIP-Systeme und Firewalls beziehen. Diese bestehen auch <strong>für</strong> IP-<br />
<strong>Anlagen</strong>anschlüsse, wodurch insbesondere ein weiterer Pfad <strong>für</strong> die Übertragung von schadenstiftender<br />
Software (Infektionspfad) zu berücksichtigen ist.<br />
G-<strong>TK</strong>-46 Übertragung von schadenstiftender Software über die IP-Kommunikation<br />
mit VoIP-Netzelementen des ITSP<br />
Über die VoIP-Kommunikation mit dem ITSP kann grundsätzlich auch schadenstiftende<br />
Software in die eigene Infrastruktur gelangen. Dabei können prinzipiell<br />
das VoIP-Endgerät und sogar die <strong>TK</strong>-Anlage als Wirt oder als Opfer dienen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 87
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
3.5 <strong>TK</strong>-Applikationen und Mehrwertdienste<br />
Dieses Kapitel analysiert die Gefährdungslage <strong>für</strong> <strong>TK</strong>-<br />
Applikationen und Mehrwertdienste. Bei den hier<strong>für</strong> zu<br />
Grunde liegenden Systemen handelt es sich um Systeme,<br />
die ein Bindeglied zwischen Tele- und Datenkommunikation<br />
darstellen.<br />
Diese Systeme sind nicht nur Gefährdungen aus beiden<br />
Kommunikationswelten ausgeliefert, sondern über diese Systeme können auch Gefährdungen<br />
zwischen Tele- und Datenkommunikation überspringen.<br />
3.5.1 Höhere Gewalt<br />
Wie bei anderen technischen Systemen kann es durch Blitzschlag, Feuer, Verschmutzung<br />
usw. zum Totalausfall einer <strong>TK</strong>-Applikation oder eines Mehrwertdienstes kommen. Dieser<br />
Fall kann auftreten, wenn entweder das System selbst oder die verwendeten<br />
Kommunikationsinfrastrukturen betroffen sind.<br />
Höhere Gewalt kann jedoch auch zu Teilausfällen führen. So kann z. B. der Ausfall eines<br />
Weitverkehrsnetzes das Senden und Empfangen von E-Mails über ein Unified Messaging<br />
System beeinträchtigen. Darüber hinaus kann beim Betrieb in Verbindung mit einer VoIP-<br />
Anlage die Möglichkeit zum Senden und Empfangen von Fax- und Sprachnachrichten gefährdet<br />
sein (siehe Kapitel 3.2).<br />
Großveranstaltungen stellen aufgrund der in solchen Fällen häufig auftretenden Überlastungen<br />
der Sende- und Empfangseinrichtungen generell eine Gefährdung der Verfügbarkeit<br />
von Mobilfunkdiensten dar (siehe Kapitel 3.6). In Bezug auf Unified Messaging und Alarmserver<br />
bedrohen Großveranstaltungen somit die Möglichkeit zum Senden und Empfangen von<br />
SMS-Nachrichten.<br />
3.5.2 Organisatorische Mängel<br />
Organisatorische Mängel treffen <strong>TK</strong>-Applikationen und Mehrwertdienste grundsätzlich genauso<br />
wie beliebige andere IT-Systeme. Besonders zu beachten sind allerdings:<br />
• die erhöhte Gesamtwirkung einer Gefährdung durch die serverseitige Integration verschiedener<br />
IT- und <strong>TK</strong>-Systeme<br />
• die erhöhte Gesamtwirkung einer Gefährdung durch Nutzung gemeinsamer Endgeräte<br />
mit anderen Anwendungsformen, vor allem zur Datenverarbeitung<br />
Etliche Gefährdungen, die sich auf bestimmte Betriebssysteme, Verzeichnisdienste, Clients<br />
usw. beziehen, können ebenfalls Auswirkungen auf <strong>TK</strong>-nahe Systeme haben. Für jedes spezifische<br />
System müssen die relevanten Gefährdungen daher in jedem Fall auch berücksichtigt<br />
werden.<br />
88 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
G-<strong>TK</strong>-47 Unzureichende oder fehlende Kompetenzen <strong>für</strong> Planung und Betrieb einer<br />
<strong>TK</strong>-Applikation<br />
Für die Planung und den Betrieb einer <strong>TK</strong>-nahen Applikation ist Kompetenz sowohl<br />
<strong>für</strong> den Bereich der <strong>TK</strong>-Anlage als auch <strong>für</strong> den Bereich der Applikation erforderlich.<br />
Kompetenzmängel in einem der beiden Bereiche können <strong>für</strong> das Gesamtsystem<br />
erhebliche Auswirkungen haben.<br />
Dieser Gefährdung kommt eine besonders große Bedeutung zu, wenn Planung<br />
und Betrieb der Teilsysteme von verschiedenen Personengruppen durchgeführt<br />
werden. Dies ist insbesondere dann der Fall, wenn die <strong>TK</strong>-Applikation und die<br />
<strong>TK</strong>-Anlage unterschiedlichen organisatorischen Einheiten zugeordnet sind. Als<br />
Beispiel sind hier Gegensprechanlagen zu nennen, die in der Regel im Zuständigkeitsbereich<br />
der Gebäudeverwaltung liegen. Missverständnisse aus mangelndem<br />
(gegenseitigem) Verständnis sind eine nicht zu unterschätzende Gefahrenquelle.<br />
G-<strong>TK</strong>-48 Unzureichende Organisation des Betriebs einer <strong>TK</strong>-Applikation<br />
Für den Betrieb einer <strong>TK</strong>-Applikation müssen häufig neben den <strong>TK</strong>-spezifischen<br />
Schnittstellen auch andere Schnittstellen z. B. zu Datenbanksystemen berücksichtigt<br />
werden. Der Betrieb der <strong>TK</strong>-Anlage, der IP-Infrastruktur und der Server<br />
<strong>für</strong> solche Anwendungen kann von unterschiedlichen Gruppen durchgeführt werden.<br />
Eine fehlende oder unzureichende Abstimmung der beteiligten Gruppen kann<br />
beispielsweise dazu führen, dass sich über eine CTI-Anwendung eine Gefährdung<br />
auf die <strong>TK</strong>-Anlage bzw. allgemein auf Telekommunikationsdienste fortpflanzt.<br />
Als besonders kritisch sind in allen Integrationsszenarien Versionswechsel eines<br />
Teilsystems zu bewerten. Hier kann unter ungünstigen Bedingungen die Verfügbarkeit<br />
des Gesamtsystems bedroht sein.<br />
G-<strong>TK</strong>-49 Unzureichende organisatorische Trennung des Betriebs von <strong>TK</strong>-Anlage und<br />
<strong>TK</strong>-Applikation<br />
Der Betrieb von <strong>TK</strong>-<strong>Anlagen</strong> und <strong>TK</strong>-Applikationen muss in geeigneter Weise<br />
getrennt werden, um ein systemübergreifendes Sammeln von personenbezogenen<br />
Daten zu verhindern bzw. den Personenkreis, dem dies möglich ist, einzuschränken.<br />
So bieten z. B. Unified Messaging-Systeme als zentrale Sammel- und Zugriffspunkte<br />
<strong>für</strong> E-Mail, Fax, SMS und Sprachnachrichten ein umfängliches Abbild des<br />
Kommunikationsverhaltens einzelner Nutzer. Im Rahmen der üblichen Managementaktivitäten<br />
besteht die Möglichkeit, personenbezogene Daten einzusehen und<br />
Profile zu erstellen. Durch die Integration weiterer <strong>TK</strong>-Applikationen wie Präsenzsysteme<br />
oder Call/Contact Center kann sich der Umfang der zugänglichen Informationen<br />
noch erweitern.<br />
G-<strong>TK</strong>-50 Ungeordnete Nutzung der Kommunikationsmöglichkeiten<br />
Einige <strong>TK</strong>-Applikationen integrieren die von der <strong>TK</strong>-Anlage gebotenen Möglichkeiten<br />
zur Sprachkommunikation mit anderen Kommunikationswegen. Als wichtigstes<br />
Beispiel sind hier Unified-Messaging-Systeme zu nennen. Hier dient der<br />
E-Mail-Posteingang als zentrale Sammelstelle <strong>für</strong> alle Nachrichtentypen. Die ungeordnete<br />
E-Mail-Nutzung kann dazu führen, dass sensitive Daten Unbefugten<br />
zur Kenntnis gelangen oder das gewünschte Ziel nicht rechtzeitig erreichen. Zum<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 89
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Beispiel ist es durch eine Fehlbedienung möglich, dass ein vertrauliches Fax über<br />
den Messaging-Client per E-Mail an die falsche Person weitergeleitet wird. Diese<br />
Gefährdung ist von E-Mail-Systemen grundsätzlich bekannt, überträgt sich jedoch<br />
beim Einsatz von UM auch auf andere Nachrichtentypen, wie z. B. SMS. Hier besteht<br />
ein erhöhtes Gefährdungspotenzial, da z. B. eine SMS am PC erheblich bequemer<br />
zu verfassen ist als auf einem mobilen Endgerät und damit die Nutzungshäufigkeit<br />
zunimmt.<br />
Diese Gefährdung kann sowohl von den Benutzern selbst ausgehen als auch vom<br />
Gesamtsystem. Durch Fehlkonfiguration oder Schadsoftware ist es z. B. möglich,<br />
dass das UM-System unkontrolliert SMS und Faxe verschickt und damit zumindest<br />
einen finanziellen Schaden verursacht.<br />
G-<strong>TK</strong>-51 Unzureichende oder fehlende Konzepte, Regelungen und Prozesse <strong>für</strong> das<br />
Management einer <strong>TK</strong>-Applikation<br />
Konzepte, Regelungen und Prozesse, die eine <strong>TK</strong>-Anlage betreffen, müssen <strong>für</strong><br />
die Integration mit <strong>TK</strong>-Applikationen entsprechend erweitert werden. Eine Gefährdung<br />
besteht darin, dass sich diese Erweiterung als unzureichend erweist. Kritisch<br />
sind dabei diejenigen Elemente, die einen übergreifenden Bezug zu <strong>TK</strong>-<br />
Anlage und <strong>TK</strong>-Applikation haben, z. B. die Änderung des Rufnummernplans.<br />
G-<strong>TK</strong>-52 Unabgestimmte Konfigurationen und <strong>Sicherheit</strong>seinstellungen<br />
Technologie- und produktbedingt werden <strong>für</strong> den <strong>TK</strong>- und den Applikationsbereich<br />
unterschiedliche Konfigurationen und <strong>Sicherheit</strong>seinstellungen vorgenommen,<br />
die geeignet abzustimmen sind, damit ein einheitliches <strong>Sicherheit</strong>sniveau<br />
gewährleistet ist. Dies beinhaltet sowohl die Einstellungen <strong>für</strong> einfache<br />
Nutzer als auch die Parameter <strong>für</strong> den administrativen Zugang. Werden diese Einstellungen<br />
nicht geeignet abgestimmt, kann es vorkommen, dass in einem Bereich<br />
(z. B. auf Seite der Applikation) ein zu geringes <strong>Sicherheit</strong>sniveau besteht.<br />
G-<strong>TK</strong>-53 Verstöße gegen das Urheberrecht durch Nutzer und Administratoren<br />
Im Zusammenhang mit Sprachmailboxen, ACD- und IVR-Systemen besteht neben<br />
den genannten Gefährdungen zudem die Möglichkeit von Verstößen gegen<br />
das Urheberrecht. Sowohl die Nutzer als auch die Administratoren solcher Systeme<br />
können gegen das Urheberrecht verstoßen, wenn Ansagen, Wartemusik oder<br />
Sprachmenüs nicht frei von Rechten bzw. nicht lizenziert sind.<br />
3.5.3 Menschliche Fehlhandlungen<br />
Durch die Integration einer <strong>TK</strong>-Anlage mit <strong>TK</strong>-Applikationen und Mehrwertdiensten steigt<br />
die Komplexität des Gesamtsystems. Damit wächst zum einen das Risiko einer menschlichen<br />
Fehlhandlung, da z. B. die Konsequenzen einer Handlung auf andere Teilsysteme mangels<br />
geeigneter Schulung nicht bedacht werden. Zum anderen wachsen auch die potenziellen<br />
Auswirkungen auf das Gesamtsystem, da durch die Integration Wechselwirkungen und Abhängigkeiten<br />
zwischen den Teilsystemen entstehen.<br />
Damit gelten – sofern technisch anwendbar – grundsätzlich alle in den IT-Grundschutz-<br />
Katalogen aufgeführten Gefährdungen im Bereich „Menschliche Fehlhandlungen“. Die Aus-<br />
90 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
wirkungen der jeweiligen Gefährdungen können jedoch systemübergreifend sein und auf<br />
diese Weise erheblich größere Schäden verursachen.<br />
Der durch Fehlbedienung bedingte Ausfall der <strong>TK</strong>-Anlage kann z. B. dazu führen, dass die<br />
Türen eines Gebäudes nicht mehr vom Platz aus geöffnet werden können bzw. dass Besucher<br />
gar nicht erst auf sich aufmerksam machen können. Umgekehrt ist es möglich, dass die Fehlkonfiguration<br />
z. B. eines CTI-Servers die angeschlossene <strong>TK</strong>-Anlage (und damit alle abhängigen<br />
Applikationen) außer Betrieb setzt.<br />
3.5.4 <strong>Technische</strong>s Versagen<br />
Für <strong>TK</strong>-Applikationen und Mehrwertdienste gelten prinzipiell alle in den IT-Grundschutz-<br />
Katalogen genannten Gefährdungen, wie Stromausfall, Datenbankausfall, mangelnde Verschlüsselung,<br />
sofern diese <strong>für</strong> ein konkretes System technisch relevant sind. Aufgrund der<br />
Vielfalt <strong>TK</strong>-naher Dienste und Applikationen sowie deren unterschiedlichen technischen<br />
Ausführungen werden an dieser Stelle keine weiteren applikationsspezifischen Gefährdungen<br />
– wie etwa „Ausfall des CTI-Servers“ – genannt.<br />
Durch die Integration mehrerer heterogener Komponenten in das Gesamtsystem entsteht<br />
allerdings auch <strong>für</strong> den Bereich „<strong>Technische</strong>s Versagen“ eine besondere Bedrohungslage.<br />
G-<strong>TK</strong>-54 Verlust der Verfügbarkeit bei Störung anderer Systemkomponenten<br />
Die Störung bzw. der Ausfall einer <strong>TK</strong>-Applikation bzw. der <strong>TK</strong>-Anlage selbst<br />
kann sich – je nach Aufbau des Gesamtsystems und der Ausprägung der Teilsysteme<br />
– im Gesamtsystem fortpflanzen. Naturgemäß hat der Ausfall der <strong>TK</strong>-<br />
Anlage die größten Auswirkungen auf das Gesamtsystem, da die meisten <strong>TK</strong>-<br />
Applikationen auf die Dienste der Anlage zurückgreifen. Der Ausfall einer <strong>TK</strong>-<br />
Anlage führt z. B. nicht nur dazu, dass keine Telefongespräche mehr geführt werden<br />
können, sondern beeinträchtigt möglicherweise auch die Funktion einer Gegensprechanlage<br />
oder die fernmündliche Abfrage des E-Mail-Postfachs. Es ist jedoch<br />
auch denkbar, dass die Störung einer <strong>TK</strong>-Applikation sich auf die <strong>TK</strong>-<br />
Anlage und weitere davon abhängige Systeme überträgt.<br />
Die Ursache kann beispielsweise in einem Hardware- oder Software-Fehler bei<br />
der Integration der VoIP-Komponenten liegen.<br />
3.5.5 Vorsätzliche Handlungen<br />
Im Bereich der vorsätzlichen Handlungen besteht die wesentliche Gefährdung darin, dass<br />
Angriffe eine applikationsübergreifende Wirkung entfalten können. Die Gefährdungslage<br />
konzentriert sich dabei auf die IP-basierten Komponenten eines Gesamtsystems, da sich hier<br />
die größte Angriffsfläche bietet und auf eine Vielzahl bereits bekannter Angriffsmethoden<br />
zurückgegriffen werden kann. Dennoch kann nicht ausgeschlossen werden, dass Angriffe<br />
auch über andere Kommunikationswege, wie z. B. Fax oder SMS, erfolgen, wenn das Gesamtsystem<br />
diese Möglichkeiten bietet.<br />
G-<strong>TK</strong>-55 Übergreifende Wirkung eines Angriffs auf eine <strong>TK</strong>-Applikation<br />
Ein Angriff auf eine <strong>TK</strong>-Applikation kann sich – je nach Art der Anbindung an<br />
andere Systeme, d. h. insbesondere an die <strong>TK</strong>-Anlage – im Gesamtsystem fort-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 91
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
pflanzen. Beispielsweise könnte ein UM-System aufgrund einer Überlastung<br />
durch eingehende Sprachnachrichten nicht mehr in der Lage sein, E-Mails, Fax-<br />
oder SMS-Nachrichten zu versenden und zu empfangen. Dies kann Auswirkungen<br />
auf einen möglicherweise angeschlossenen Alarmserver haben, wenn dieser nicht<br />
mehr in der Lage ist Benachrichtigungen zu versenden.<br />
G-<strong>TK</strong>-56 Unbefugte oder missbräuchliche Nutzung einer <strong>TK</strong>-Applikation<br />
Die unbefugte oder missbräuchliche Nutzung einer <strong>TK</strong>-Applikation kann in Abhängigkeit<br />
von der Art der Applikationen zu unterschiedlichen Gefährdungen führen.<br />
Beispielsweise kann die unbefugte Nutzung eines UM-Systems zum Versenden<br />
von Fax- und SMS-Nachrichten einen finanziellen Schaden verursachen.<br />
Eine weitere Bedrohung, die im Zusammenhang mit UM-Systemen von Bedeutung<br />
ist, ist das Vortäuschen einer scheinbar vertrauenswürdigen Identität. Die<br />
unbefugte Nutzung eines UM-Systems erlaubt es, den Angriff auf vielen Kanälen,<br />
wie beispielsweise E-Mail, Fax oder SMS, durchzuführen.<br />
Diese Gefährdung bezieht sich jedoch nicht allein auf UM-Systeme. So ermöglicht<br />
die unbefugte Nutzung einer <strong>TK</strong>-Applikation mit Türöffnungsfunktion unberechtigten<br />
Personen den Zutritt zum Gebäude. Dabei muss sich der Einlass gewährende<br />
Nutzer unter bestimmten Bedingungen noch nicht einmal im Gebäude<br />
aufhalten.<br />
G-<strong>TK</strong>-57 Vertraulichkeitsverlust von in <strong>TK</strong>-Applikationen gespeicherten Daten<br />
Viele <strong>TK</strong>-Applikationen arbeiten mit personenbezogenen Daten und reichen diese<br />
unter Umständen an andere Anwendungen weiter. Besonders hervorzuheben sind<br />
UM-Systeme, bei denen die Auswirkungen eines Vertraulichkeitsverlustes aufgrund<br />
der zentralen Sammlung unterschiedlicher Nachrichtentypen gravierend<br />
sein können.<br />
3.6 Mobile und drahtlose Systeme<br />
Dieses Kapitel analysiert die Gefährdungslage <strong>für</strong> mobile<br />
und drahtlose Systeme. Hierbei handelt es sich um Systeme,<br />
die als Ergänzung der bisher betrachteten kabelgebundenen<br />
<strong>TK</strong>-Systeme dienen:<br />
• Nutzung von GSM/UMTS im Rahmen einer FMC-<br />
Lösung, d. h. mit Anbindung an die lokale <strong>TK</strong>-Anlage.<br />
• Nutzung von WLAN <strong>für</strong> die Telekommunikation durch dedizierte VoIP-fähige WLAN<br />
Handsets, Smartphones und Laptops mit Softphone und WLAN<br />
• Nutzung von DECT<br />
• Nutzung von Bluetooth, z. B. zwischen einem Headset und einem Tischtelefon oder<br />
einem PC.<br />
92 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
Die Gefährdungen sind grundsätzlich auch auf Mobile WiMAX anwendbar. Eine genaue<br />
Analyse der Gefährdungslage kann aber erst bei Einführung von Mobile-WiMAX-Systemen<br />
erfolgen.<br />
3.6.1 Höhere Gewalt<br />
Auf mobile und drahtlose Systeme treffen wie <strong>für</strong> alle digitalen <strong>TK</strong>-Lösungen allgemein die<br />
Gefährdungen durch höhere Gewalt zu, die in den IT-Grundschutz-Katalogen genannt sind.<br />
Wie bei anderen technischen Systemen kann es bei der Nutzung drahtloser Kommunikationsformen<br />
durch Feuer, Verschmutzung usw. zum Totalausfall der Systeme kommen. Dieser Fall<br />
kann auftreten, wenn entweder das System selbst oder die verwendeten Kommunikationsinfrastrukturen<br />
betroffen sind.<br />
Spezifische Ausprägungen bei einem Einsatz solcher Systeme innerhalb eines Unternehmens<br />
oder einer Behörde ergeben sich durch die Nutzung von Systemkomponenten wie z. B. Antennen,<br />
die nur unzureichend vor höherer Gewalt geschützt werden können.<br />
G-<strong>TK</strong>-58 Störung durch Blitzeinschlag<br />
Eine spezielle Gefährdung entsteht durch die gegebenenfalls erforderliche Montage<br />
von Antennen- und Übertragungskomponenten (Basisstationen, DECT Fixed<br />
Parts, WLAN Access Points) im Außenbereich durch die Gefahr von Blitzschlägen.<br />
Die Ausprägung der Gefährdung ist abhängig vom Grad der Abstützung auf solche<br />
im Außenbereich montierte Systeme:<br />
• Eine nur unterdurchschnittliche Gefährdung ergibt sich, sofern die mobile Telekommunikation<br />
ausschließlich als Ergänzung der drahtgebundenen Telekommunikation<br />
<strong>für</strong> wenige Teilnehmer genutzt wird.<br />
• Wird eine große Gruppe von Teilnehmern oder gar ganze Unternehmens- oder<br />
Behördenbereiche ausschließlich über solche drahtlosen Systeme in das<br />
Gesamtnetz eingebunden, so ist die resultierende Gefährdung als<br />
überdurchschnittlich zu bewerten.<br />
G-<strong>TK</strong>-59 Störung durch unzulässige Temperatur und Luftfeuchtigkeit sowie durch<br />
Staub und Verschmutzung<br />
Mobile und drahtlose Kommunikationssysteme werden auch in Bereichen eingesetzt,<br />
in denen eine drahtgebundene Telekommunikation nur schwer realisierbar<br />
ist. Insbesondere sind hier Außenbereiche, Industriebereiche und Kellerbereiche<br />
zu nennen, aber auch Treppenhäuser, Messehallen usw.<br />
Komponenten in solchen ungeschützten Bereichen sind im Vergleich zu Komponenten,<br />
die in dedizierten Technikräumen stehen, vermehrt widrigen Umwelteinflüssen<br />
wie unzulässigen Temperatur- und Luftfeuchtebereichen ausgesetzt. Auch<br />
die Belastung durch Staub und Verschmutzung ist gegenüber geschützt montierten<br />
Systemen deutlich erhöht.<br />
Die Ausprägung der Gefährdung ist abhängig von der Menge der so angebundenen<br />
Teilnehmer und dem Grad der Abstützung auf solche Systeme.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 93
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
G-<strong>TK</strong>-60 Beeinträchtigung durch Großveranstaltungen<br />
Der öffentliche Mobilfunk sieht im aktuellen Ausbau keine Reserven <strong>für</strong> eine<br />
überdurchschnittliche Belastung des Netzes mit extremen Lastspitzen im Rahmen<br />
einer Großveranstaltung vor. Hierdurch kann es bei derartigen Veranstaltungen<br />
mit vielen Mobilfunk-Teilnehmern vorkommen, dass ein Mitarbeiter des Unternehmens<br />
bzw. der Behörde keine freie Kapazität erhält.<br />
Auch andere drahtlose Kommunikationssysteme (z. B. WLAN), die bei Großveranstaltungen<br />
häufig eingesetzt werden, bedingen ein erhöhtes Störpotenzial <strong>für</strong> die<br />
lokal verwendeten Systeme im Unternehmen oder der Behörde.<br />
Die Ausprägung der Gefährdung wird sowohl vom Grad der Abstützung als auch<br />
von der Menge der so angebundenen Teilnehmer bestimmt.<br />
G-<strong>TK</strong>-61 Ausfall oder Störung eines Funknetzes<br />
Eine spezielle Gefährdung ergibt sich bei mobilen Systemen durch die Abhängigkeit<br />
von öffentlichen Funknetzen, die nicht vom <strong>TK</strong>-Betreiber selbst verantwortet<br />
werden. Verschärfend kommt hinzu, dass eine Störungsbehandlung unter Einbeziehung<br />
von externen Betreibern erfolgen muss.<br />
Der Ausfall oder die Störung eines Funknetzes kann außer den grundsätzlichen<br />
Ursachen beim Ausfall zentraler Einrichtungen insbesondere auch elektromagnetische<br />
Störungen zur Ursache haben. Derartige Störungen werden z. B.<br />
durch andere Funksysteme, aber auch durch höhere Gewalt wie z. B. Sonnenwinde<br />
hervorgerufen.<br />
Die Ausprägung der Gefährdung ist abhängig vom Grad der Abstützung auf ein<br />
solches Funknetz:<br />
• Eine nur geringe, unterdurchschnittliche Gefährdung ergibt sich, sofern die<br />
auf dem Funknetz basierende mobile Telekommunikation ausschließlich als<br />
Ergänzung der drahtgebundenen Telekommunikation genutzt wird.<br />
• Wird das Funknetz als primäres Telekommunikation verwendet, so ist die resultierende<br />
Gefährdung mit einer Großstörung gleichzusetzen, da keine unmittelbare<br />
Abstützung auf drahtgebundene Kommunikationsformen möglich<br />
ist.<br />
3.6.2 Organisatorische Mängel<br />
Organisatorische Mängel treffen mobile und drahtlose Systeme grundsätzlich genauso wie<br />
beliebige andere IT-Systeme. Verstärkt werden diese Mängel jedoch durch die Nutzung von<br />
mobilen Endgeräten wie Mobiltelefone oder Smartphones, <strong>für</strong> die eine angemessene Absicherung<br />
nur unzureichend möglich ist.<br />
G-<strong>TK</strong>-62 Fehlende oder unzureichende Regelungen sowie unzureichende Kenntnis<br />
über Regelungen<br />
Grundsätzlich entstehen auch bei mobilen und drahtlosen Systemen Gefährdungen,<br />
wenn die Regelungen hinsichtlich Konfiguration und Betrieb eines<br />
mobilen Endgeräts bzw. des WLAN-Einsatzes fehlen oder unzureichend sind.<br />
94 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
Insbesondere können sich unzureichende Regelungen bzgl. nutzbarer Applikationen<br />
sowie eine mangelnde Kapazitäts- und Pioritäten-Planung negativ auf den<br />
Einsatz von VoIP over WLAN auswirken.<br />
Verstärkt werden diese allgemeinen Gefährdungen durch die eingeschränkten Betriebssystem-Funktionalitäten<br />
mobiler Endgeräte, insbesondere Mobiltelefone und<br />
Smartphones:<br />
• Auch Systeme der neuesten Ausprägung haben seitens des Betriebssystems<br />
immer noch kein Berechtigungskonzept <strong>für</strong> Benutzer. Der Nutzer hat grundsätzliche<br />
Administrator-Rechte auf seinem mobilen Gerät. Somit kann ein<br />
Benutzer beabsichtigt oder unbeabsichtigt <strong>Sicherheit</strong>smechanismen unterlaufen,<br />
kritische Parametereinstellungen vornehmen und die Installation schadenstiftender<br />
Software ermöglichen oder erlauben.<br />
Hier muss eine entsprechende Regelung greifen, die allen Nutzern zur Kenntnis<br />
gebracht wird.<br />
• Die Speicherung von kritischen Daten auf einem mobilen Endgerät, speziell<br />
einem Smartphone, birgt durch die mangelnde Absicherung solcher Geräte<br />
eine erhöhte Gefährdung.<br />
Es muss geregelt sein, welche Daten auf welchem multifunktionalen Endgerät<br />
gespeichert werden dürfen. Diese Regelung muss allen Nutzern bekannt gemacht<br />
werden.<br />
G-<strong>TK</strong>-63 Fehlende oder unzureichende Wartung sowie unzureichende Kontrolle der<br />
IT-<strong>Sicherheit</strong>smaßnahmen<br />
Mobile Endgeräte sind aufgrund ihrer flexiblen Einsatzmöglichkeiten nur schwer<br />
in ein automatisches Kontrollsystem bzgl. Wartung und <strong>Sicherheit</strong>smaßnahmen<br />
einzubinden. Häufig steht ein Gerät <strong>für</strong> eine Prüfung nicht zur Verfügung oder ein<br />
Wartungszugriff kann nur schwer im Voraus geplant werden. Somit besteht eine<br />
erhöhte Gefährdung, dass mobile Endgeräte keine aktuelle Software bzw. inkorrekte<br />
Einstellungen haben.<br />
Für die Feststellung des Umsetzungsgrads von Maßnahmen muss ein höherer<br />
Aufwand kalkuliert werden. Insbesondere müssen Regelungen getroffen werden,<br />
wie alle Systeme regelmäßig erfasst werden können.<br />
Beim Einsatz von WLANs entsteht eine spezifische Gefährdung durch Mängel in<br />
der Kontrolle und Überwachung VoIP-spezifischer Aspekte der WLAN-Nutzung.<br />
G-<strong>TK</strong>-64 Unzureichender Schutz der Systeme<br />
Im Bereich der mobilen und drahtlosen Systeme werden insbesondere Mobiltelefone<br />
und Smartphones mit weitreichenden, PC-ähnlichen Funktionalitäten eingesetzt.<br />
Eine vergleichbare Absicherung mit einem abgestuften Benutzerkonzept<br />
steht jedoch derzeit nicht zur Verfügung. Somit können die z. T. umfangreichen<br />
Daten, die auf den Systemen gespeichert sind, auch von anderen, nicht autorisierten<br />
Personen gelesen werden.<br />
Beispiel: Smartphones oder PDAs erlauben eine Speicherung von vielen Daten,<br />
insbesondere auch E-Mails, Text- und Tabellen-Dokumenten. Ein Zugangsschutz<br />
eines solchen Systems sieht das Betriebssystem oft jedoch nicht vor.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 95
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
G-<strong>TK</strong>-65 Ungeordneter Benutzerwechsel<br />
Diese Gefährdung tritt insbesondere bei Mobiltelefonen und Smartphones auf, da<br />
hier Daten, häufig auch personenbezogene Daten wie Kontaktdaten, auf dem Gerät<br />
selbst, auf der SIM-Karte oder auf einem mobilen Datenträger gespeichert<br />
werden. Aufgrund des fehlenden Benutzerkonzepts und mangelnder Absicherung<br />
solcher Geräte stehen derartige Daten einem „neuen“ Benutzer ebenfalls zur Verfügung.<br />
G-<strong>TK</strong>-66 Unzureichendes Schlüsselmanagement bei Verschlüsselung<br />
Aufgrund der erhöhten Abhörgefahr auf der Luftschnittstelle, erhält die Verschlüsselung<br />
der Kommunikation mit mobilen und drahtlosen Systemen eine besondere<br />
Bedeutung. Eine erhöhte Gefährdung ergibt sich durch systemspezifische<br />
Mechanismen.<br />
• WLAN: Eine Absicherung der WLAN-Kommunikation mittels WEP (Wired<br />
Equivalent Privacy) ist mittlerweile als unzureichend nachgewiesen worden.<br />
Die Absicherung über WPA-PSK bzw. WPA2-PSK (Wi-Fi Protected Access<br />
– Pre-Shared Key) sind ausschließlich <strong>für</strong> kleine Einsatzbereiche definiert<br />
worden und bieten <strong>für</strong> größere Installationen einen unzureichenden Schutz.<br />
• GSM/UMTS: Bei der Nutzung von GSM/UMTS hat der Endnutzer keinen<br />
Einfluss auf die eingesetzten <strong>Sicherheit</strong>smechanismen. Der Kunde muss eine<br />
entsprechende Vertrauensbasis gegenüber dem Provider haben.<br />
• DECT: Die bei DECT-Systemen implementierten <strong>Sicherheit</strong>smechanismen<br />
werden nicht sehr hoch bewertet und stellen somit eine erhöhte Gefährdung<br />
dar. Verstärkt wird die Gefährdung durch die üblicherweise unsicheren Voreinstellungen<br />
auf den DECT-Systemen sowie durch den Anschluss eines PP,<br />
der keine <strong>Sicherheit</strong>smechanismen unterstützt.<br />
• Bluetooth: Die in Bluetooth implementierten <strong>Sicherheit</strong>smechanismen haben<br />
in der Vergangenheit immer wieder Schwachstellen durch eine unsachgemäße<br />
Benutzung oder durch Implementierungsfehler gezeigt. Als anfällig<br />
hat sich hier insbesondere die Phase der initialen Verbindung (Pairing)<br />
erwiesen. In diesem Zusammenhang ist insbesondere die Verwendung<br />
schwacher PINs als kritisch einzustufen.<br />
G-<strong>TK</strong>-67 Ungeeignete Auswahl von WLAN-Authentisierungsverfahren<br />
Die Authentisierung muss <strong>für</strong> den Schutzbedarf einer Sprachübertragung angemessen<br />
sein. Für größere WLANs ist eine Authentisierung über IEEE 802.1X<br />
unter Verwendung von EAP-TLS zu empfehlen.<br />
Auch heute noch unterstützen viele Endgeräte <strong>für</strong> Voice over WLAN diese Verfahren<br />
nicht, sondern nur einfachere <strong>Sicherheit</strong>smechanismen, die mit Pre-Shared<br />
Keys arbeiten und ein niedrigeres <strong>Sicherheit</strong>sniveau liefern.<br />
Die Gefährdung besteht darin, dass im WLAN in dieser Situation mit einem zu<br />
schwachen Authentisierungsverfahren gearbeitet wird.<br />
96 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
G-<strong>TK</strong>-68 Einschränkung durch unzureichende Leitungskapazitäten im WLAN<br />
Durch zu gering geplante Kapazitäten kann es im Shared Medium Funk zu deutlichen<br />
Leistungsengpässen kommen. Diese können durch eine in der ursprünglichen<br />
Planung nicht berücksichtigte vermehrte Nutzung oder gestiegene Nutzerzahl<br />
verursacht werden.<br />
Insbesondere kann bereits ein geringer Anstieg der WLAN-Nutzung einen Engpass<br />
<strong>für</strong> die Sprachübertragung bedeuten und zu einer Verminderung der Sprachqualität<br />
führen.<br />
G-<strong>TK</strong>-69 Unkontrollierter Aufbau von Kommunikationsverbindungen<br />
Diese allgemein gültige Gefährdung <strong>für</strong> jede Kommunikationsschnittstelle wird<br />
im Bereich der Telekommunikation dadurch verstärkt, dass mobile Endgeräte oft<br />
mindestens zwei Kommunikationsmöglichkeiten, GSM/UMTS und Bluetooth/WLAN,<br />
integriert haben.<br />
Zusätzlich entsteht eine stärkere Gefährdung durch die gesteigerten Angriffsmöglichkeiten<br />
durch ein solches mobiles Endgerät: Ein Medium wird zur Angriffsvorbereitung<br />
genutzt und über das zweite Medium erfolgt der eigentliche<br />
schadenstiftende Angriff.<br />
G-<strong>TK</strong>-70 Fehlende oder unzureichende Strategie <strong>für</strong> das Netz- und Systemmanagement<br />
Endgeräte im Bereich der mobilen und drahtlosen Telekommunikation sind auf<br />
Grund fehlender, ungeeigneter oder inkompatibler Schnittstellen oder Software<br />
oft nicht wie (mobile) PCs in ein Systemmanagement eingebunden. Insbesondere<br />
sind die Managementmittel <strong>für</strong> Telekommunikationsendgeräte oft inkompatibel<br />
zu denen <strong>für</strong> Datenendgeräte.<br />
Eine Gefährdung entsteht insbesondere dann, wenn mobile Endgeräte aufgrund<br />
dieser Inkompatibilitäten nur unzureichend überwacht werden und wenn es vergleichsweise<br />
lange dauert, bis eine Maßnahme (z. B. ein Patch) auf allen Geräten<br />
umgesetzt ist.<br />
Eine besonders hohe Gefährdung besteht, wenn auf dem mobilen Endgerät sowohl<br />
Telekommunikation als auch Datenkommunikation genutzt wird.<br />
Beispiel: Diverse mobile Systeme sind anfällig gegenüber schadenstiftender<br />
Software (Viren, Würmer und Trojaner) und haben zudem Schwachstellen, die einen<br />
unberechtigten Zugriff gestatten. Diese Geräte sind aber oft nicht in ein zentrales<br />
Patch-Management eingebunden. In Folge wird z. B. ein Patch des Betriebssystems<br />
zu spät und nicht auf allen Endgeräten eingespielt.<br />
G-<strong>TK</strong>-71 Unzureichende Planung<br />
Je nach eingesetzter Funktechnik ergeben sich durch eine unzureichende Planung<br />
Gefährdungen. Dies trifft insbesondere <strong>für</strong> WLAN zu, da dieses System nicht originär<br />
<strong>für</strong> die Übertragung von Sprache entworfen wurde. Typische Planungsfehler<br />
finden sich bei der Dimensionierung der Funkzellen <strong>für</strong> VoIP, im Einsatz von<br />
QoS-Mechanismen gemäß WMM bzw. IEEE 802.11e und in der Gestaltung der<br />
Absicherung gemäß IEEE 802.11i. Weiterhin bestehen <strong>für</strong> die drahtlose Telekommunikation<br />
erhöhte Anforderungen durch die Mobilität, insbesondere kann<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 97
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
der unterbrechungsfreie Wechsel zwischen Funkzellen gestört sein. Die genannten<br />
WLAN-Gefährdungen gelten insbesondere auch <strong>für</strong> FMC-Lösungen.<br />
3.6.3 Menschliche Fehlhandlungen<br />
Durch die Nutzung von mobilen und drahtlosen Systemen steigt die Komplexität des Gesamtsystems;<br />
diese wird weiter verstärkt durch die meist zusätzliche und unkoordinierte Nutzung<br />
von drahtlosen Systemen, z. B. Smartphones, zu sonstigen Telekommunikationssystemen.<br />
Damit wächst insbesondere das Risiko einer menschlichen Fehlhandlung, da z. B. die Konsequenzen<br />
einer Handlung auf andere Teilsysteme mangels geeigneter Schulung nicht bedacht<br />
werden.<br />
Damit gelten – sofern technisch anwendbar – grundsätzlich alle in den IT-Grundschutz-<br />
Katalogen aufgeführten Gefährdungen im Bereich menschliche Fehlhandlungen.<br />
G-<strong>TK</strong>-72 Unstrukturierte Datenhaltung<br />
Viele Smartphones gestatten eine weitgehend freie, unstrukturierte Datenablage.<br />
Seitens des Betriebssystems existieren nur unzureichende Möglichkeiten einer<br />
Verzeichnisstruktur. Oft werden alle Daten in einem flachen Verzeichnis gespeichert,<br />
was die Gefährdung eines Datenverlustes z. B. durch versehentliches<br />
Löschen von wichtigen Daten erhöht.<br />
Darüber hinaus sehen diverse Betriebssysteme immer noch kein Berechtigungskonzept<br />
<strong>für</strong> Benutzer vor, sodass jeder Benutzer grundsätzlich Zugriff auf alle gespeicherten<br />
Daten hat.<br />
G-<strong>TK</strong>-73 Konfigurations- und Bedienungsfehler<br />
Für mobile Endgeräte, insbesondere bei Smartphones und PDAs, hat der Endnutzer<br />
meist automatisch einen administrativen Zugang. Dies führt im Vergleich<br />
zu Systemen mit Berechtigungskonzept zu häufiger auftretenden Bedienungsfehlern.<br />
Diese Gefährdung wird dadurch verstärkt, dass sich mobile Endgeräte meist nur<br />
sehr eingeschränkt zentral konfigurieren und administrieren lassen.<br />
G-<strong>TK</strong>-74 Datenverluste durch die Synchronisation mobiler Endgeräte<br />
Häufig werden <strong>für</strong> die Telekommunikation wichtige Kontaktdaten sowohl auf<br />
dem Arbeitsplatzrechner als auch auf einem mobilen Endgerät wie Mobiltelefon<br />
oder Smartphone gespeichert. Die erforderliche Synchronisation solcher Daten<br />
kann zum Verlust von Daten führen, die <strong>für</strong> Mail und Messaging als auch <strong>für</strong> den<br />
Aufbau einer Sprachverbindung genutzt werden. Hierdurch wird dann die Nutzbarkeit<br />
der Telekommunikation eingeschränkt.<br />
3.6.4 <strong>Technische</strong>s Versagen<br />
Für den Einsatz von mobilen und drahtlosen Endgeräten gelten prinzipiell alle in den IT-<br />
Grundschutz-Katalogen genannten Gefährdungen wie Stromausfall, Datenbankausfall, man-<br />
98 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
gelnde Verschlüsselung usw., sofern diese <strong>für</strong> ein konkretes System technisch relevant sind.<br />
Darüber hinaus gelten folgende spezifische Ausprägungen:<br />
G-<strong>TK</strong>-75 Verlust gespeicherter Daten<br />
Für mobile und drahtlose Systeme ist der Bereich der Endgeräte besonders gefährdet,<br />
da<br />
• bei der Verwendung mobiler Endgeräte die Zeitspannen zwischen Synchronisationen<br />
bzw. Backups meist größer sind als bei fest installierten Geräten,<br />
• bei mobilen Endgeräten wie Mobiltelefonen, PDAs und Smartphones die<br />
Verantwortung <strong>für</strong> Synchronisation und Backup beim Nutzer liegt,<br />
• durch das dauerhafte Mitführen eines mobilen Endgerätes auch bei privaten<br />
Aktivitäten die Gefährdung durch einen Diebstahl und den damit verbundenen<br />
Datenverlust erhöht ist.<br />
G-<strong>TK</strong>-76 Einschränkungen durch WLAN-Software<br />
WLAN sind zunächst nicht <strong>für</strong> eine Sprachübertragung konzipiert. Auch mit der<br />
Erweiterung IEEE 802.11e ist das MAC-Layer nur eingeschränkt <strong>für</strong> die Sprachübertragung<br />
geeignet. Somit können Gefährdungen der Sprachübertragung durch<br />
nicht angemessene oder nicht verfügbare Mechanismen entstehen.<br />
G-<strong>TK</strong>-77 Ausfall der Telekommunikation durch Nicht-Verfügbarkeit<br />
Eine Gefährdung besteht nicht nur durch Ausfall des mobilen Endgerätes, z. B.<br />
Mobiltelefon oder PDA, sondern insbesondere auch bei Ausfall des gesamten<br />
Mobilfunknetzes durch technische Fehler oder äußere Einflüsse. Hier sind neben<br />
den öffentlichen Mobilfunknetzen auch DECT-<strong>Anlagen</strong> und VoIP-Architekturen<br />
über WLAN betroffen.<br />
G-<strong>TK</strong>-78 Einschränkungen durch unkontrollierte Ausbreitung der Funkwellen<br />
Die Gefährdung einer Störung der Telekommunikation durch Funkwellen aus<br />
fremden Funknetzen gilt <strong>für</strong> alle lokalen drahtlosen Funktechniken, inklusive<br />
WLAN, DECT und Bluetooth.<br />
Darüber hinaus entstehen Gefährdungen durch Ausbreitung der Funkwellen aus<br />
dem eigenen, lokalen Bereich in fremde Bereiche. Sind die Informationen nicht<br />
ausreichend verschlüsselt, ist somit ein einfaches Abhören der Daten möglich.<br />
3.6.5 Vorsätzliche Handlungen<br />
Gerade in der Gefährdungskategorie „Vorsätzliche Handlungen“ ist es wichtig zu beachten,<br />
dass im Bereich der mobilen und drahtlosen Systeme häufig eine Infrastruktur genutzt wird,<br />
die nicht ausschließlich in der Verantwortung des Unternehmens bzw. der Behörde liegt.<br />
G-<strong>TK</strong>-79 Diebstahl, Missbrauch und Manipulation von Informationen<br />
Das Diebstahlrisiko <strong>für</strong> mobile Endgeräte (mobile Telefone, PDAs, Smartphones<br />
und Notebooks) ist besonders groß, da diese bei allen beruflichen und privaten<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 99
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Aktivitäten mitgeführt werden. Dabei gestohlene Geräte werden meist mit dem<br />
Ziel der Veräußerung gestohlen.<br />
Die gespeicherten Daten stellen häufig einen erheblichen Wert dar bzw. sind im<br />
Bereich der personenbezogenen Daten besonders zu schützen. Wird ein mobiles<br />
Endgerät gestohlen, so kann durch einen potenziellen Missbrauch der Daten oder<br />
Weitergabe an dritte Personen, z. B. Veröffentlichung von kritischen Besprechungsnotizen,<br />
ein erheblicher Schaden entstehen.<br />
Der Zugang zu mobilen Telefonen, PDAs und Smartphones ist im laufenden Betrieb<br />
meist nicht mehr durch eine PIN oder ein Passwort geschützt. Bei einem unbemerkten<br />
Zugriff durch Besucher, Gesprächspartner oder auch Familienangehörige<br />
können die gespeicherten Daten und Konfigurationen leicht<br />
manipuliert werden.<br />
G-<strong>TK</strong>-80 Abhören von Daten und Räumen<br />
Grundsätzlich besteht <strong>für</strong> alle Funknetze eine erhöhte Gefährdung durch Abhören<br />
von Daten, insbesondere auch Sprachdaten. Speziell im WLAN sind Daten gefährdet,<br />
da hier<strong>für</strong> entsprechende Werkzeuge frei verfügbar sind.<br />
Mobile Endgeräte haben ein besonders hohes Gefährdungspotenzial beim Abhören<br />
von Räumen durch externe Abhörmechanismen.<br />
Darüber hinaus ist ein unbemerktes Abhören und Aufzeichnen von Raumgesprächen<br />
über unauffällig getragene Mobiltelefone, aber auch durch Rechner<br />
mit Mikrofon möglich. Verstärkt wird die Gefährdung dadurch, dass die Abhörergebnisse<br />
über eine drahtlose Kommunikationsschnittstelle direkt weitergeleitet<br />
werden können. Hier<strong>für</strong> muss der Nutzer des Geräts nicht zwingend mit dem Angreifer<br />
identisch sein.<br />
G-<strong>TK</strong>-81 Missbrauch durch Wiedereinspielen von Nachrichten und Analyse des Nachrichtenflusses<br />
Da eine Kommunikation über Funk auch über größere Abstände hinweg leicht<br />
aufgezeichnet werden kann, ist diese Gefährdung grundsätzlich <strong>für</strong> alle Funksysteme<br />
relevant, sofern im System keine entsprechenden <strong>Sicherheit</strong>smechanismen<br />
implementiert sind. Speziell lokale drahtlose Kommunikationssysteme wie<br />
WLAN und Bluetooth haben sich in der Vergangenheit anfällig gezeigt.<br />
G-<strong>TK</strong>-82 Verhinderung von Diensten<br />
Funknetze sind generell besonders anfällig gegenüber Angriffen vom Typ Denial<br />
of Service (DoS). Die Angriffe können auf physikalischer Ebene durch Störsignale<br />
oder auf höheren Protokollebenen stattfinden. Das Ergebnis ist meist der<br />
Abbruch der Kommunikation <strong>für</strong> die Dauer des Angriffs.<br />
G-<strong>TK</strong>-83 Vortäuschen eines falschen Absenders<br />
Mit der Anbindung von Messaging-Diensten wie SMS und MMS an Systeme außerhalb<br />
des Mobilfunknetzes (z. B. E-Mail) steigt die Gefahr, dass man Nachrichten<br />
mit gefälschter Absenderadresse erhält, entsprechend an.<br />
100 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
3 Gefährdungslage<br />
G-<strong>TK</strong>-84 Einschränkungen durch unberechtigte Nutzer<br />
Durch das Ausspionieren von MAC-Adressen oder kryptografischen Schlüsseln<br />
wird der Zugang zu WLAN-Systemen auch <strong>für</strong> unberechtigte Personen möglich.<br />
Eine Gefährdung <strong>für</strong> die Telekommunikation ergibt sich durch die damit erhöhte<br />
Nutzeranzahl in einer Funkzelle und die resultierende verminderte Sprachqualität.<br />
Die Gefährdung durch Ausspionieren gilt grundsätzlich in allen Funknetzen, sofern<br />
das System hier keine spezifischen Gegenmaßnahmen ergreift. Folgende Angriffe<br />
sind insbesondere zu beachten:<br />
• Maskerade (Spoofing, MAC-Spoofing): In einem WLAN ist es besonders<br />
einfach, die MAC-Adresse einer anderen WLAN-Station zu ermitteln und<br />
den eigenen Adapter mit dieser MAC-Adresse zu konfigurieren. Prüft eine<br />
Zugangskontrolle lediglich das Merkmal MAC-Adresse, ist ein unberechtigter<br />
Zugang möglich.<br />
• Kompromittierung kryptografischer Schlüssel: Speziell im Bereich WLAN ist<br />
die Kompromittierung von WEP zu nennen. Moderne Angriffstechniken erlauben<br />
mit sehr hoher Erfolgsrate die Ermittlung des WEP-Schlüssels bereits<br />
in wenigen Minuten. Weiterhin ist im Zusammenhang mit WLAN auf die Gefährdung<br />
durch schwache Passworte und das fehlende Schlüsselmanagement<br />
bei Verwendung von WPA-PSK und WPA2-PSK hinzuweisen.<br />
• Systematisches Ausprobieren von Passwörtern: Im WLAN-Bereich werden<br />
<strong>Sicherheit</strong>smechanismen eingesetzt, die eine Offline-Dictionary-Attacke erlauben.<br />
Beispiele sind WPA-PSK und WPA2-PSK. Solche Offline-Attacken<br />
können wesentlich effizienter als Online-Attacken durchgeführt werden.<br />
G-<strong>TK</strong>-85 Einschränkungen durch Schadensoftware<br />
Durch Schadensoftware können mobile und drahtlose Systeme derart gestört werden,<br />
dass die eigentliche Applikation der Telekommunikation nur noch unzureichend<br />
nutzbar ist. Eine solche Gefährdung wird dadurch verstärkt, dass die<br />
Infektion mit Schadensoftware über die Datendienste eines mobilen Endgeräts<br />
erfolgt, die Schadfunktion sich aber auch auf die Telekommunikationsfunktion<br />
des Geräts auswirkt. Beispielsweise startet das Gerät nach einer Infektion nicht<br />
mehr oder man kann nicht mehr telefonieren oder das Telefonbuch wird gelöscht<br />
usw. Darüber hinaus gibt es <strong>für</strong> mobile Endgeräte zusätzliche Möglichkeiten einer<br />
Infektion über unterschiedliche Kommunikationsschnittstellen (Bluetooth, lokaler<br />
Angriff über WLAN, Internet via WLAN, Internet via GPRS).<br />
Folgende Typen von Schadensoftware sind besonders zu beachten:<br />
• Trojanische Pferde sind mittlerweile auch <strong>für</strong> PDAs und Smartphones vorhanden.<br />
• Computer-Viren sind <strong>für</strong> Spezialbetriebssysteme <strong>für</strong> Mobiltelefone, PDAs<br />
und Smartphones aber auch <strong>für</strong> Windows Mobile noch nicht verbreitet, jedoch<br />
ist eine steigende Tendenz erkennbar.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 101
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
102 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
In diesem Kapitel der <strong>Technische</strong>n <strong>Leitlinie</strong> werden die <strong>Sicherheit</strong>smaßnahmen <strong>für</strong> die betrachteten<br />
Systeme schrittweise entwickelt.<br />
Die Basis stellt die Betrachtung von ISDN <strong>TK</strong>-<strong>Anlagen</strong> in Kapitel 4.1 und von VoIP-<br />
Systemen in Kapitel 4.2 dar. Darauf aufbauend folgen in Kapitel 4.3 der Maßnahmenkatalog<br />
<strong>für</strong> Hybrid-<strong>Anlagen</strong>, in Kapitel 4.4 <strong>für</strong> den IP-<strong>Anlagen</strong>anschluss und in Kapitel 4.5 <strong>für</strong> <strong>TK</strong>-<br />
Applikationen und Mehrwertdienste. Abschließend werden in Kapitel 4.6 die Maßnahmen <strong>für</strong><br />
die Nutzung mobiler und drahtloser Kommunikationssysteme <strong>für</strong> die private Telekommunikation<br />
betrachtet. Die <strong>für</strong> alle Systeme zutreffenden übergreifenden Aspekte werden<br />
in Kapitel 4.7 beschrieben.<br />
4.1 ISDN <strong>TK</strong>-<strong>Anlagen</strong><br />
Der Maßnahmenkatalog zur Absicherung von Nutzung<br />
und Betrieb von ISDN <strong>TK</strong>-<strong>Anlagen</strong> ist in die folgenden<br />
Blöcke aufgeteilt:<br />
• Zentrale Anlage, siehe Kapitel 4.1.1<br />
• Endgeräte, siehe Kapitel 4.1.2<br />
• Netzwerk, siehe Kapitel 4.1.3<br />
• Netz- und Systemmanagement, siehe Kapitel 4.1.4<br />
4.1.1 Zentrale Anlage<br />
Die folgenden Maßnahmen sind schwerpunktmäßig im Bereich der<br />
zentralen Anlage umzusetzen, vor allem mit Blick auf die Steuereinheit,<br />
den Anschluss an das PSTN und gegebenenfalls einen zum<br />
Zwecke der Anbindung an Zusatzlösungen vorhandenen LAN-<br />
Anschluss der Anlage. Dabei konzentrieren sich die Maßnahmen auf<br />
sichere Konfiguration und sicheren Betrieb der Anlage: Es wird davon ausgegangen, dass bei<br />
Neubeschaffungen entsprechend dem Marktangebot in der Regel keine reinen ISDN <strong>TK</strong>-<br />
<strong>Anlagen</strong> in die engere Wahl gezogen werden bzw. zur Wahl stehen. Sofern dies ausnahmsweise<br />
doch der Fall sein sollte, ist es ratsam, bei der Produktauswahl gezielt auf die Unterstützung<br />
der im Weiteren benannten Maßnahmen durch entsprechende technische<br />
Funktionalitäten zu achten.<br />
Grundsätzlich sind im Falle erhöhten Schutzbedarfs <strong>für</strong> ISDN-<strong>Anlagen</strong> Maßnahmen sinngemäß<br />
umzusetzen, die sich <strong>für</strong> solchen Schutzbedarf <strong>für</strong> beliebige Telefonie-Lösungen als<br />
systemübergreifende Aspekte anbieten.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 103
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Speziell bei einer ISDN <strong>TK</strong>-Anlage sind auf diesen Grundsätzen aufbauend folgende Maßnahmen<br />
im Bereich der zentralen Anlage selbst bedeutsam:<br />
M-<strong>TK</strong>-1 Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale<br />
Soweit ISDN-Leistungsmerkmale nicht benötigt werden bzw. bewusst nicht verwendet<br />
werden sollen, sind diese zu sperren. Auf diese Weise wird verhindert,<br />
dass die Anlage über solche Merkmale unnötig möglichen Angriffen ausgesetzt<br />
wird (siehe hierzu auch M-<strong>TK</strong>-16).<br />
Bestimmte (ISDN-)Leistungsmerkmale können zu gezielten Angriffen, insbesondere<br />
auf Vertraulichkeit oder Verfügbarkeit, missbraucht werden. Neben der<br />
Gefährdung dieser <strong>Sicherheit</strong>sgrundwerte können im Zuge eines derartigen Missbrauchs<br />
außerdem (vom <strong>Anlagen</strong>besitzer ungewollte) Anrufgebühren generiert<br />
werden. Merkmale mit Missbrauchspotenzial sind vor allem:<br />
• Direktes Ansprechen bzw. automatische Rufannahme ist in Verbindung mit<br />
Freisprechfunktionalität des Telefons zum Abhören des Raums missbrauchbar.<br />
• Der Amtszugang birgt bei leicht zugänglichen Apparaten die Gefahr der Nutzung<br />
durch Unbefugte <strong>für</strong> Amtsgespräche mit resultierendem Mehraufkommen<br />
an Anrufgebühren.<br />
• Bei einer Rufumleitung kann z. B. durch versehentliche oder böswillige Fehlnutzung<br />
die Nichterreichbarkeit des Nutzers eines Telefonanschlusses die<br />
Folge sein.<br />
• Dial-In-Möglichkeiten sollten im Endteilnehmer-Umfeld grundsätzlich abgeschaltet<br />
werden, da die Nutzung hier nur missbräuchlichen Hintergrund<br />
haben kann.<br />
• Export-Merkmale sind zu Angriffen auf Vertraulichkeit nutzbar (z. B. „Zeugenschaltung“<br />
oder „Abhören“).<br />
Für offen zugängliche Geräte sollten derartige Merkmale bei erhöhtem Schutzbedarf<br />
in jedem Fall zwingend gesperrt werden. Bei gesichert aufgestellten Endgeräten<br />
sollten mindestens die Merkmale, deren Sperrung Angriffe von außen<br />
abwehrt (vor allem direktes Ansprechen, automatische Rufannahme, Dial-In), so<br />
behandelt werden.<br />
Sofern Endgeräte mit geeigneter <strong>Sicherheit</strong>sintelligenz eingesetzt werden, kann in<br />
Abhängigkeit von der konkreten Risikobewertung zwischen einer vollständigen<br />
Deaktivierung solcher Merkmale und einer Sperrung bis zur erfolgreichen Authentisierung<br />
am Endgerät abgewogen werden.<br />
Auch sollte im Fall entsprechend intelligenter Endgeräte im Rahmen der produkttechnisch<br />
gegebenen Möglichkeiten gezielt eine Konfiguration vorgenommen<br />
werden, auf Grund derer eine Warnung erfolgt, sofern sicherheitskritische Merkmale<br />
genutzt werden (siehe M-<strong>TK</strong>-16 „Warnung bei Nutzung unsicherer Merkmale“).<br />
Die Abschaltung von nicht benötigten bzw. wegen ihres Missbrauchspotenzials<br />
als kritisch eingestuften und daher zur Abschaltung vorgesehenen Leistungsmerkmalen<br />
ist so weit wie möglich an der zentralen Anlage vorzunehmen. Bietet<br />
diese nur eingeschränkte bzw. nicht ausreichend differenzierte Möglichkeiten, so<br />
104 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
kann eine <strong>Sicherheit</strong>skonzeption <strong>für</strong> die <strong>TK</strong>-Lösung Konfigurationsvorgaben <strong>für</strong><br />
die zentrale Angabe gezielt mit entsprechenden Sperreinstellungen auf Endgeräten<br />
kombinieren. Voraussetzung <strong>für</strong> die Maßnahmenumsetzung ist in einem solchen<br />
Fall eine gezielte Beschaffung ausreichend sicherheitsintelligenter Endgeräte, siehe<br />
M-<strong>TK</strong>-15 Einsatz „sicherheitsintelligenter“ Endgeräte.<br />
M-<strong>TK</strong>-2 Schaffung eines zusätzlichen <strong>TK</strong>-Ersatzanschlusses <strong>für</strong> Notrufe<br />
Bei Ausfällen im Bereich der zentralen Anlage ist es fraglich, ob mit Hilfe an dieser<br />
Anlage angeschlossener Telefone noch Notrufe erfolgen können. Als Ausweichlösung<br />
kann hier ein separater PSTN-Anschluss mit direkt angebundenem<br />
Telefon eingesetzt werden. Bei einer Umsetzung dieser Maßnahme ist entsprechend<br />
der räumlichen Ausdehnung des betrachteten Standorts auf geeignete<br />
Platzierung und Anzahl solcher Telefone und Anschlüsse zu achten.<br />
Selbstverständlich können auch Mobiltelefone <strong>für</strong> Notrufe verwendet werden. Für<br />
den erhöhten Schutzbedarf muss jedoch die im Vergleich zum PSTN geringere<br />
Verfügbarkeit von Mobilfunknetzen berücksichtigt werden.<br />
M-<strong>TK</strong>-3 Katastrophenschaltung<br />
Sofern die ISDN-Anlage eine entsprechende Konfiguration ermöglicht, kann da<strong>für</strong><br />
gesorgt werden, dass in Ausnahmesituationen die vorhandenen kommenden<br />
und gehenden Leitungen des ISDN-PSTN-Anschlusses bestimmten Telefonie-<br />
Endgeräten fest zugeordnet sind.<br />
Die Umsetzung dieser Maßnahme bedarf dabei einer kontinuierlichen Pflege: In<br />
regelmäßigen Abständen sollte die Festlegung der entsprechenden Zuordnungen<br />
inhaltlich überprüft werden. Wegen eines Wechsels von Aufgaben bzw. Umzug<br />
des Personals, das an den ursprünglich in die Katastrophenschaltung eingebundenen<br />
Apparaten gesessen hat, kann eine Anpassung der Konfiguration an<br />
neue Gegebenheiten von Zeit zu Zeit notwendig werden.<br />
Es bietet sich an, diese Thematik in die allgemeine Notfallplanung einzubetten<br />
und die entsprechenden aktuell gültigen Festlegungen in den zugehörigen Dokumenten<br />
festzuhalten.<br />
M-<strong>TK</strong>-4 Erhöhter Zutrittschutz<br />
Bei erhöhtem Schutzbedarf ist es angezeigt, die zentrale Anlage gezielt gegen Zugriff<br />
durch Unbefugte auch mit den Mitteln des Zutrittschutzes besonders zu<br />
schützen. Typische Vorkehrungen in diesem Zusammenhang sind:<br />
• Aufstellung der Anlage in einem Raum nur mit Zugang <strong>für</strong> das <strong>Anlagen</strong>-<br />
Betriebspersonal<br />
Sofern die räumlichen Gegebenheiten dies nicht zulassen, empfiehlt sich zumindest<br />
die Kombination aus<br />
• Aufstellung der Anlage in einem Raum, der nur einem eingeschränkten<br />
Personenkreis zugänglich ist<br />
Gemeint sind vorrangig Räume, in denen technische Infrastruktur (IT<br />
und sonstige Gebäudeversorgung) untergebracht ist und die nur vom zugehörigen<br />
Betriebspersonal betreten werden dürfen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 105
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Unterbringung der Anlage in einem separaten abschließbaren Schrank<br />
Das Schließsystem des Schranks sollte angesichts des erhöhten Schutzbedarfs<br />
so ausgelegt sein, dass die Verfügbarkeit passender Schlüssel<br />
wirklich auf das Betriebspersonal der <strong>TK</strong>-Anlage beschränkt werden<br />
kann.<br />
• Zugang <strong>für</strong> Externe zur Anlage nur unter Aufsicht<br />
Minimum ist die Beaufsichtigung durch Wachpersonal o. ä. Personal, das auf<br />
die Unterbindung von nicht vorgesehenen physikalischen Eingriffen an der<br />
Anlage eingewiesen bzw. fallweise über die Notwendigkeit solcher Eingriffe<br />
vorinformiert ist. Bevorzugt sollte bei erhöhtem Schutzbedarf die Aufsicht<br />
durch Personal erfolgen, das mit der Anlage technisch vertraut ist und so besser<br />
beurteilen kann, ob eine vom Externen vorgenommene Änderung an der<br />
Anlage unschädlich und auftragsgemäß ist.<br />
• Protokollierung des Aufenthalts im Raum<br />
Mindestens protokolliert werden sollte der Aufenthalt Externer (Name, Firma,<br />
Zeitraum).<br />
Ist die Anlage zusammen mit anderem technischen Equipment untergebracht,<br />
sodass der Raum <strong>für</strong> verschiedenes Betriebspersonal zugänglich sein muss,<br />
bietet sich bei erhöhtem Schutzbedarf eine Protokollierung jeglicher Anwesenheit<br />
im Raum an. Ist der Raum durch ein entsprechendes elektronisches<br />
Schließsystem geschützt, können zu diesem gehörende Protokollierungsfunktionen<br />
bei der Umsetzung dieser Vorkehrung aufwandserleichternd<br />
wirken.<br />
M-<strong>TK</strong>-5 Geeignete Aufstellung der <strong>TK</strong>-Anlage<br />
Ideal ist eine Aufstellung in einem separaten <strong>Sicherheit</strong>sbereich. Die Anforderungen<br />
eines erhöhten Zutrittsschutzes lassen sich auf dieser Basis mit<br />
minimalem Zusatzaufwand realisieren.<br />
Darüber hinaus ist eine Aufstellung in einer Umgebung wichtig, die durch entsprechende<br />
Vorkehrungen den erhöhten Anforderungen an Verfügbarkeit besonders<br />
genügt. Dies betrifft die folgenden Infrastrukturaspekte:<br />
• Stromversorgung / Überspannungsschutz<br />
Als Basis <strong>für</strong> die Einleitung und Koordination notwendiger Maßnahmen gerade<br />
bei Großstörungen bzw. in Notfallsituationen kommt einer möglichst unterbrechungsfreien<br />
Verfügbarkeit der Telefonie und damit auch der Stromversorgung<br />
der zentralen <strong>TK</strong>-Anlage besondere Bedeutung zu.<br />
Diesem Umstand sollte durch Anbindung an entsprechende versorgungssichernde<br />
Maßnahmen (USV, Verteilung redundanter Netzteile auf verschiedene<br />
Stromkreise, u. Ä.) gezielt Rechnung getragen werden. In notfallbedingten<br />
Engpass-Situationen ist es empfehlenswert, der Versorgung der<br />
<strong>TK</strong>-Anlage nochmals erhöhte Priorität einzuräumen (Wiederanlaufreihenfolge<br />
bzw. Maßnahmenpriorisierung in Notfällen). Ausfallvermeidend sollte<br />
die Anlage gezielt gegen Überspannung geschützt werden.<br />
106 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
• Klimatisierung / Schutz vor Wasserschäden<br />
Durch geeignete Klimatisierung ist sicherzustellen, dass (mindestens) die Anforderungen<br />
der ISDN <strong>TK</strong>-Anlage an die Umgebungsbedingungen jederzeit<br />
sichergestellt werden. Bei Verwendung abschließbarer Schränke zur Unterbringung<br />
sollte gezielt <strong>für</strong> Schrankbelüftung und Messung sowie Überwachung<br />
der Temperatur im Schrank gesorgt werden.<br />
Hinsichtlich möglicher Wasserschäden ist gefahrenmindernd die Vermeidung<br />
wasserführender Leitungen im Raum als Präventivmaßnahme zu nennen.<br />
• Brandschutz<br />
• Sondermaßnahmen zur Gefahrenabwehr<br />
Der Raum zur Aufstellung der <strong>TK</strong>-Anlage kann durch Rückgriff auf am<br />
Standort eingesetzte besondere Maßnahmen zur Gefahrenabwehr zusätzlich<br />
abgesichert werden. Hier sind zu nennen:<br />
• Verwendung von <strong>Sicherheit</strong>stüren und Fenstern<br />
• Einbindung des Raums in eine vorhandene Gefahrenmeldeanlage<br />
(Grundlage: Ausstattung des Raums mit Brandmeldesensoren und evtl.<br />
Öffnungs-/Schließkontakten an Türen und Fenstern).<br />
M-<strong>TK</strong>-6 <strong>Sichere</strong> Ablage von Kontaktinformationen<br />
Sofern sich der erhöhte Schutzbedarf insbesondere auf den Grundwert „Vertraulichkeit“<br />
bezieht, ist zu prüfen, inwieweit in der ISDN-Anlage gespeicherte Rufnummern-<br />
und sonstige Kontaktinformationen besonders geschützt abgelegt werden<br />
sollen.<br />
Dies betrifft neben gezieltem Schutz vor wahlfreiem Zugriff von beliebigen angeschlossenen<br />
Apparaten aus auch den Aspekt eines Zugriffs bei administrativen<br />
Tätigkeiten. Je nach Art und Umfang der gespeicherten Informationen und je nach<br />
<strong>Sicherheit</strong>spolitik im Umgang mit solchen Daten kann es angezeigt sein, solche<br />
Daten vor dem unmittelbaren Zugriff durch externes Support-Personal zu schützen.<br />
Lassen die technischen Möglichkeiten der <strong>Anlagen</strong>konfiguration dies nicht<br />
zu, so kann dies durch organisatorische Vorkehrungen ausgeglichen werden (Zugriff<br />
<strong>für</strong> externes Personal nur unter Aufsicht durch kundiges Personal, Vier-<br />
Augen-Prinzip).<br />
M-<strong>TK</strong>-7 <strong>Sichere</strong>r Umgang mit Daten zur <strong>Anlagen</strong>nutzung<br />
Daten zur <strong>Anlagen</strong>nutzung werden zu Abrechnungs- und Nachweiszwecken typischerweise<br />
protokolliert und zumeist zuerst auf der Anlage selbst gespeichert.<br />
Bei erhöhtem Schutzbedarf insbesondere bzgl. Vertraulichkeit, etwa aus Gründen<br />
des Datenschutzes, sind im Rahmen der technischen Möglichkeiten der Anlage<br />
die folgenden technischen und organisatorischen Vorkehrungen zu erwägen und<br />
geeignet zu kombinieren:<br />
• Löschung derartiger Daten auf der ISDN <strong>TK</strong>-Anlage nach erfolgter vorgesehener<br />
Auswertung bzw. nach Auslagerung auf ein Auswertesystem<br />
• Verschlüsselte Ablage auf der ISDN <strong>TK</strong>-Anlage (z. B. zum Schutz vor Zugriff<br />
durch externes Support-Personal)<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 107
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Verschlüsselte Ablage außerhalb der Anlage<br />
Je nach Alter der ISDN <strong>TK</strong>-Anlage kann eine Verschlüsselungsoption nicht<br />
grundsätzlich als gegeben vorausgesetzt werden. Hingegen ist bei entsprechendem<br />
Schutzbedarf im Falle einer Auslagerung von Daten zur <strong>Anlagen</strong>nutzung<br />
<strong>für</strong> das Zielsystem eine verschlüsselte Ablage verbindlich zu<br />
fordern.<br />
Die Schaffung einer entsprechenden Funktionalität ist bei erhöhtem Schutzbedarf<br />
bei einem solchen Zusatzsystem auch nachträglich als verhältnismäßig<br />
und machbar einzustufen.<br />
Ergänzend zur verschlüsselten Ablage auf einem solchen externen System<br />
sind die Vorkehrungen zur Absicherung der zugehörigen Kommunikation zu<br />
beachten (siehe Maßnahme M-<strong>TK</strong>-8).<br />
M-<strong>TK</strong>-8 Absicherung eines LAN-Anschlusses der ISDN <strong>TK</strong>-Anlage<br />
ISDN <strong>TK</strong>-<strong>Anlagen</strong> können einen LAN-Anschluss aufweisen, um über diesen administrative<br />
Zugriffe oder ein Zusammenspiel mit Telefonie-Mehrwert-Lösungen<br />
(z. B. Abrechnungssystem, CTI-Lösung) zu ermöglichen.<br />
Um einer Gefährdung der Anlage über diesen Anschluss entgegenzuwirken, sind<br />
mindestens bei erhöhtem Schutzbedarf die folgenden Vorkehrungen angezeigt:<br />
4.1.2 Endgeräte<br />
• Deaktivierung von ICMP 35 <strong>für</strong> die IP-Software der Anlage<br />
• Abschaltung von Diensten bzw. Funktionen, die über die LAN-Schnittstelle<br />
nutzbar sind, aber nicht benötigt werden<br />
• Nutzung gesicherter Kommunikationskanäle zu Drittsystemen<br />
• Bevorzugt ist hier der Einsatz von Verschlüsselung zu sehen. Alternativ ist<br />
gezielt eine angemessene Netztrennung zu realisieren.<br />
Bei Endgeräten, die im Zusammenspiel mit einer ISDN <strong>TK</strong>-Anlage<br />
zum Einsatz kommen, kann zwischen folgenden Endgerätetypen unterschieden<br />
werden:<br />
• Teilnehmerendgeräte, d. h. vom Telefonie-Nutzer verwendete<br />
Endgeräte<br />
Hierunter fallen:<br />
• Fax-Geräte<br />
• Multifunktionsgeräte mit Faxfunktion<br />
• Kabelgebundene Telefone<br />
35 Das Internet Control Message Protocol (ICMP) ermöglicht die Übermittlung von Informations- und Fehlermeldungen<br />
über IP. Die bekannteste ICMP-Meldung ist der „Echo Request („Ping“) mit der die Erreichbarkeit<br />
von Netzwerk-Endgeräten geprüft werden kann.<br />
108 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
• Drahtlose Telefone<br />
• Endgeräte zu Administrationszwecken<br />
Hier sind zu nennen:<br />
• Wartungsapparate (Telefone)<br />
• Wartungs-PCs<br />
4.1.2.1 Fax-Geräte und Multifunktionsgeräte mit Faxfunktion<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
Die nachfolgenden Ausführungen beziehen sich im Wesentlichen auf Fax-Geräte und Multifunktionsgeräte<br />
mit Faxfunktion, die über eine zentrale (ISDN-)Telefonielösung an das PSTN<br />
angeschlossen werden. Im Falle erhöhten Schutzbedarfs wird dringend empfohlen, Fax-<br />
Geräte möglichst nicht direkt, sondern über eine <strong>TK</strong>-Anlage an das PSTN heranzuführen, um<br />
die sicherheitsrelevanten Möglichkeiten der <strong>TK</strong>-<strong>Anlagen</strong>lösung bei der Maßnahmenumsetzung<br />
gezielt mit nutzen zu können.<br />
Fax-Geräte mit Direktanschluss an das PSTN sollten bei erhöhtem Schutzbedarf bewusst auf<br />
notfallspezifische Lösungen beschränkt bleiben.<br />
Werden dennoch Fax-Lösungen mit direktem PSTN-Anschluss eingesetzt, so sind die nachfolgend<br />
benannten technischen Maßnahmen sinngemäß mit den entsprechenden Konfigurationsmöglichkeiten<br />
des Fax-Geräts zu realisieren. Es ist bei der Produktauswahl auf Unterstützung<br />
entsprechender Funktionalitäten zu achten.<br />
Für Fax-Geräte und Multifunktionsgeräte mit Faxfunktion sind bei erhöhtem Schutzbedarf die<br />
folgenden Maßnahmen besonders herauszustellen:<br />
M-<strong>TK</strong>-9 Sperrung bestimmter Fax-Rufnummern<br />
Fax-Geräte, die in den Bereich erhöhten Schutzbedarfs fallen, können gezielt gegen<br />
Blockieren durch minder wichtigen Eingang (Werbung o. Ä.) geschützt werden.<br />
Andererseits kann es im Sinne der Vertraulichkeit wünschenswert sein, den Fax-<br />
Versand technisch auf bestimmte Empfänger-Nummern zu beschränken, um einen<br />
versehentlichen Versand an Dritte zu verhindern.<br />
Beide Aufgaben bedeuten eine gezielte Beschränkung der als Kommunikationspartner<br />
eines Fax-Geräts in Frage kommenden Rufnummern.<br />
Liegen derartige Detailanforderungen im Rahmen des erhöhten Schutzbedarfs vor,<br />
so stehen bei ISDN-basierter Telefonie insgesamt als Basis <strong>für</strong> die Umsetzung zur<br />
Verfügung:<br />
• Sperrung unerwünschter Rufnummern als Kommunikationspartner mit den<br />
Hilfsmitteln der ISDN <strong>TK</strong>-Anlage (zu bevorzugender Weg)<br />
Je nach Risikobewertung im Detail und Ausprägung der entsprechenden Konfigurationsmöglichkeiten<br />
auf der betrachteten Anlage werden hier bestimmte<br />
Nummern gezielt gesperrt bzw. eine pauschale Sperre durch gezielte Freigabe<br />
bestimmter Nummern als Kommunikationspartner punktuell aufgehoben.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 109
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Vorteile der Nutzung solcher Funktionalitäten der ISDN-Anlage bestehen in<br />
der Möglichkeit zur Übernahme entsprechender, einmal getroffener Festlegungen<br />
<strong>für</strong> mehrere/alle Ports mit Fax-Anschlüssen, sowie im besseren<br />
Schutz solcher Einstellungen durch den Zugriffsschutz <strong>für</strong> die Gesamtkonfiguration<br />
der ISDN-Anlage. Weiterhin bleiben derartige Festlegungen<br />
auf der zentralen Anlage auch bei notwendigem Austausch eines Fax-Geräts<br />
erhalten.<br />
• Vornahme entsprechender Einstellungen auf dem einzelnen Fax-Gerät<br />
Diese Form der Umsetzung ist etwa notwendig, wenn die Möglichkeiten der<br />
zentralen Anlage die notwendigen Festlegungen gar nicht erlauben bzw. eine<br />
als notwendig gesehene Unterscheidung nach verschiedenen Faxanschlüssen<br />
nicht unterstützen.<br />
• (gebührenpflichtige) Bereitstellung einer entsprechend konfigurierten Zusatzeinrichtung<br />
durch den PSTN-Betreiber<br />
Dieser Lösungsweg besteht als Alternative, sofern weder <strong>TK</strong>-Anlage noch<br />
Fax-Geräte die notwendigen Konfigurationsmöglichkeiten aufweisen. Die anfallenden<br />
Gebühren sind sorgsam gegen die Kosten einer geeigneten Ersatzbeschaffung<br />
im Bereich Fax-Gerät abzuwägen (oft nur als Überbrückung bis<br />
zu einer vorgesehenen Ablösung der vorhandenen <strong>TK</strong>-Lösung sinnvoll).<br />
• Bildung einer geschlossenen Benutzergruppe unter ISDN<br />
Dieser Schritt ist schon wegen der damit verbundenen Gebühren nicht als Alternative<br />
zu den vorherigen Umsetzungsformen zu sehen, sondern als Verstärkung<br />
bei Bedarf.<br />
Insbesondere die Sperrung unerwünschter eingehender Faxsendungen wird<br />
hier verstärkt: Eine auf der Rufnummer des Senders basierende Annahmeblockierung<br />
bleibt wirkungslos, sofern durch die sendende Seite die Übermittlung<br />
der Faxnummer unterdrückt oder diese durch eine Sammelnummer<br />
maskiert wird.<br />
M-<strong>TK</strong>-10 Gesicherte Aufstellung der Faxlösung<br />
Bei erhöhtem Schutzbedarf bzgl. Vertraulichkeit und Integrität muss eine Aufstellung<br />
so erfolgen, dass die Faxlösung nur dem Personal zugänglich ist, das zum<br />
Zugang zu versendender bzw. etwaig auf einem solchen Gerät eingehender Informationen<br />
berechtigt ist.<br />
Der entsprechende Zugangsschutz muss konsequent technisch (abschließbare<br />
Räume, <strong>Sicherheit</strong>szone mit besonderem Schließ- oder Zutrittssystem) und organisatorisch<br />
(Regelungen zum Verschließen, Zutritt <strong>für</strong> Dritte nur unter Aufsicht)<br />
realisiert sein. Voraussetzung hier<strong>für</strong> ist die Festlegung berechtigter Nutzer des<br />
jeweiligen Geräts.<br />
M-<strong>TK</strong>-11 Ungeschützte Multifunktionsgeräte: Verhinderung der Faxfunktionsnutzung<br />
Werden Multifunktionsgeräte mit Faxfunktion in einer Umgebung genutzt, in der<br />
eine gesicherte Aufstellung gemäß der vorigen Maßnahme nicht gewährleistet<br />
werden kann, so sollten derartige Geräte keinen Telefonie-Anschluss erhalten. Ergänzend<br />
ist die Faxfunktion nach Möglichkeit abzuschalten.<br />
110 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
M-<strong>TK</strong>-12 <strong>Sichere</strong> Nutzung von Fax-Geräten und Multifunktionsgeräten mit Faxfunktion<br />
Bei erhöhtem Schutzbedarf müssen getroffene technische Maßnahmen unbedingt<br />
durch den Detailanforderungen angemessene organisatorische Regelungen ergänzt<br />
werden.<br />
In Abhängigkeit von den besonderen Risiken, die zur Feststellung des erhöhten<br />
Schutzbedarfs geführt haben, sind folgende mögliche Elemente einer solchen organisatorischen<br />
Regelung zu erwägen:<br />
• Fertigung von Kopien eingehender Faxnachrichten <strong>für</strong> längere Aufbewahrung<br />
Soweit Faxinhalte unter einzuhaltende Verpflichtungen zur längeren Aufbewahrung<br />
von Korrespondenz fallen, muss sichergestellt werden, dass die<br />
Inhalte nicht durch Verbleichen oder ähnliche materialbedingte Erscheinungen<br />
vorzeitig unlesbar werden. Nötigenfalls sind Kopien unter Verwendung<br />
geeigneter Technik anzufertigen.<br />
Sofern vorhanden, kann alternativ zur Papierkopie auch auf Möglichkeiten<br />
der (manipulationssicheren) Umwandlung in Dateiform und Archivierung mit<br />
Mitteln der Dokumentenverwaltung und elektronischen Archivierung zurückgegriffen<br />
werden. Diese elektronische Archivierung muss dann so gestaltet<br />
sein, dass die Erfüllung der Aufbewahrungspflichten gewährleistet ist.<br />
Die organisatorischen Festlegungen müssen umfassen:<br />
• Festlegung, <strong>für</strong> welche Art von Faxeingängen eine Kopie anzufertigen ist<br />
• Festlegung des Ablaufs, über den eine Kopie erzeugt wird, die im Sinne<br />
der Aufbewahrungspflicht dem Original gleichwertig ist<br />
• Umgang mit dem Original nach Anfertigung der Kopie<br />
• (Verpflichtung zur) Nutzung eines vorbereiteten Faxvorblatts<br />
Bei erhöhtem Schutzbedarf kann die Anforderung bestehen, sicherzustellen,<br />
dass bei ausgehenden Fax-Sendungen die notwendigen Informationen zum<br />
Integritätsnachweis mitgegeben werden und alle notwendigen Inhalte enthalten<br />
sind, die der Faxnachricht die notwendige Rechtsgültigkeit verleihen.<br />
Hierzu kann ein einheitlich zur Benutzung vorgeschriebenes Faxvorblatt mit<br />
folgenden typischen Inhalten vorbereitet werden:<br />
• Identifikation des Absenders über Rufnummer des Fax-Geräts, Name,<br />
Telefonnummer der Person und vollständige Adresse<br />
• Telefonnummer eines Ansprechpartners bei Übertragungsproblemen<br />
• Identifikation des beabsichtigten Empfängers mindestens über Rufnummer<br />
des Fax-Geräts, eventuell zusätzlich über vollständige Anschrift<br />
• Seitenzahl der Faxsendung einschließlich Faxvorblatt<br />
• gegebenenfalls Dringlichkeitsvermerk mit vorgegebenen Stufungen<br />
(möglichst zum Ankreuzen vorbereitet, sofern eine solche Stufung benötigt<br />
wird)<br />
• Unterschrift des Absenders<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 111
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• festgelegte Verfahrensweisen zur telefonischen Begleitung von Faxsendungen<br />
Bei erhöhtem Schutzbedarf kann es sinnvoll sein, den Faxversand durch telefonische<br />
Kooperation mit dem externen Sender bzw. Empfänger zu begleiten.<br />
Entsprechende organisatorische Regelungen beschreiben, wann und wie die<br />
folgenden Begleitmaßnahmen ergriffen werden sollen:<br />
• telefonische Ankündigung einer Faxsendung<br />
• telefonische Rückversicherung über korrekten Faxempfang durch den<br />
Empfänger<br />
• telefonische Rückversicherung über Authentizität einer empfangenen<br />
Faxnachricht durch Rückfrage beim angegebenen Absender.<br />
M-<strong>TK</strong>-13 <strong>Sichere</strong> Aufbewahrung eingegangener Faxnachrichten<br />
Bei erhöhtem Schutzbedarf bzgl. Vertraulichkeit von Faxnachrichten ist durch geeignete<br />
Aufbewahrung sicherzustellen, dass Unbefugte die Inhalte eingegangener<br />
Faxnachrichten nicht einsehen können.<br />
Hierbei sind als Phasen der Verbleib im Gerät und die Aufbewahrung nach Entnahme<br />
aus dem Fax-Gerät zu unterscheiden. In diesem Sinne können je nach Einschätzung<br />
des Risikos ergänzend zum grundlegenden Zutrittsschutz folgende<br />
Vorkehrungen getroffen werden:<br />
• organisatorische Auflage zur umgehenden Entnahme von Faxeingängen, die<br />
durch den Absender telefonisch vorangekündigt wurden<br />
• Auflage zum Sperren bzw. Ausschalten des Geräts bei längerem Verlassen<br />
des Raums (technische Gestaltung der Variante Ausschalten dabei: Empfangsbereitschaft<br />
nach Wiedereinschalten darf erst nach ausdrücklichem Entsperren<br />
am Gerät gegeben sein)<br />
• Einsatz eines Fax-Geräts mit automatischer Eingangskuvertierung<br />
Ein derartiges Gerät erschwert durch automatische Faltung (nur noch Faxkopf<br />
sofort lesbar) und Verschweißung in transparenter Folie den schnellen Zugriff<br />
durch Unbefugte. Es handelt sich um eine Ergänzungsmaßnahme zum Schutz<br />
in kurzen Momenten, in denen ein im Raum Anwesender unbeobachtet auf<br />
das Fax-Gerät Zugriff hat und Inhalte eingehender Faxnachrichten absichtlich<br />
oder zufällig „aufschnappen“ könnte.<br />
• Regelungen zur unmittelbaren und sicheren Ablage von Faxnachrichten<br />
Derartige Regelungen schreiben vor, welche Formen der Aufbewahrung nach<br />
Entnahme aus dem Gerät zulässig sind (z. B. Verschluss im Schreibtisch bis<br />
zur endgültigen Bearbeitung; Abheften in Vorgangsordner in bei Verlassen<br />
des Raums abzuschließendem Schrank; Zuführung zu vorgesehener, geeignet<br />
geschützter Archivierungslösung).<br />
4.1.2.2 Kabelgebundene Endteilnehmer-Telefone<br />
Die nachfolgend benannten Maßnahmen <strong>für</strong> den erhöhten Schutzbedarf sind je nach Einstellmöglichkeiten<br />
und Leistungsmerkmalen der Endgeräte schwerpunktmäßig am Endgerät, über<br />
112 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
die <strong>TK</strong>-Anlage auferlegte Beschränkungen oder eine Kombination aus beidem zu realisieren.<br />
Bei manchen Maßnahmen ist die Machbarkeit grundsätzlich von den Einstellmöglichkeiten<br />
am Endgerät abhängig. Nötigenfalls muss bei erhöhtem Schutzbedarf eine Einführung geeigneter<br />
Endgeräte als Vorbereitung vorausgehen (entsprechend gezielte Beschaffung).<br />
Für die zwecks Anbindung der Telefone an die ISDN-Anlage mitgenutzte universelle Verkabelung<br />
gelten die <strong>für</strong> den erhöhten Schutzbedarf systemübergreifend beschriebenen Maßnahmen<br />
zur Verkabelung.<br />
Außerdem wird einem erhöhten Schutzbedarf durch folgende Maßnahmen gezielt entsprochen:<br />
M-<strong>TK</strong>-14 Sicherung von Telefonie-Endgeräten in frei zugänglichen Räumen<br />
Bei der Aufstellung von an eine ISDN-Anlage angeschlossenen Telefonie-<br />
Endgeräten in frei zugänglichen Räumen sollten <strong>für</strong> einen erhöhten Schutzbedarf<br />
nur Endgeräte mit eingeschränktem (als unkritisch befundenem) Funktionsumfang<br />
eingesetzt werden.<br />
Ist dies nicht möglich, muss das Endgerät durch mechanische Sicherung vor unbefugtem<br />
Entfernen geschützt werden. Dies verhindert Diebstähle solcher Geräte.<br />
Ein solcher Diebstahl birgt neben dem reinen finanziellen Verlust die Gefahr, dass<br />
der lokale Schutz auf dem Apparat gespeicherter sensibler Informationen (z. B.<br />
Rufnummern häufig gewählter Teilnehmer) mit Hilfe von Zusatzausstattung des<br />
Diebs überwunden werden kann. Auch kann ein Diebstahl dazu dienen, das Telefon<br />
<strong>für</strong> Angriffe auf die Vertraulichkeit zu präparieren (Einbau von Abhöreinrichtung),<br />
um es dann wieder zurückzustellen und so die geplanten Angriffe<br />
durchzuführen.<br />
M-<strong>TK</strong>-15 Einsatz „sicherheitsintelligenter“ Endgeräte<br />
Eine derartige Endgeräteintelligenz umfasst mindestens die Möglichkeit zur Sperrung<br />
des Geräts (bis auf Minimalfunktionen wie Notruf) durch lokale PIN oder<br />
lokalen Kennwortschutz.<br />
Einem erhöhten Schutzbedarf angemessener ist die Möglichkeit zur Unterscheidung<br />
zwischen einem Standard-Leistungsumfang (z. B. rein internes Telefonieren,<br />
ohne Zugriff auf Telefonbuchfunktionen o. Ä.) und Freischaltung erweiterten<br />
Leistungsumfangs nach Eingabe von Authentisierungsinformationen am<br />
Gerät. Diese Unterscheidung kann je nach eingesetzten Produkten und Zusammenspiel<br />
zwischen Telefon und <strong>TK</strong>-Anlage rein über entsprechende<br />
Funktionalitäten des Endgeräts stattfinden oder mittels über die <strong>TK</strong>-Anlage verwalteter<br />
Berechtigungsfestlegungen <strong>für</strong> den Endgeräteanschluss.<br />
M-<strong>TK</strong>-16 Aktivierung einer Warnung bei Nutzung unsicherer Merkmale<br />
Für den erhöhten Schutzbedarf sollten Endgeräte so konfiguriert werden können,<br />
dass ein eindeutiger Hinweis gegeben wird, sobald auf unsichere Merkmale zurückgegriffen<br />
wird. Ein wichtiges Beispiel ist ein Warnsignal in dem Fall, dass<br />
gerade eine Aufschaltung durch einen Dritten auf ein zurzeit geführtes Telefonat<br />
erfolgt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 113
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
M-<strong>TK</strong>-17 <strong>Sichere</strong>r Umgang mit Schnittstellen am Telefonie-Endgerät<br />
Neuere Telefone weisen neben der Anschlussmöglichkeit an die Telefonie-<br />
Verkabelung zum Teil weitere Schnittstellen auf, z. B. Bluetooth zur Anbindung<br />
von drahtlosen Headsets oder WLAN-Anschlussmöglichkeit zwecks alternativer<br />
Verwendung als drahtlos angebundenes VoIP-Telefon.<br />
Derartige Schnittstellen sind zu deaktivieren, sofern sie nicht genutzt werden sollen.<br />
Ist ihre Nutzung vorgesehen, typischerweise zum Anschluss drahtloser Zusatzausstattung,<br />
so sind die entsprechenden <strong>Sicherheit</strong>svorkehrungen <strong>für</strong> diese Art<br />
von Schnittstelle zu treffen. Details zu <strong>Sicherheit</strong>svorkehrungen <strong>für</strong> Schnittstellen<br />
zur Drahtloskommunikation können den Maßnahmen in Kapitel 4.6 entnommen<br />
werden.<br />
Ein notwendiges Minimum stellt in jedem Fall der Schutz solcher Schnittstellen<br />
gegen unbefugten Zugriff mittels vorgeschalteter Authentisierung dar. Einem erhöhten<br />
Schutzbedarf angemessener ist der ergänzende Einsatz<br />
• von Verschlüsselung auf dem Endgerät gespeicherter Daten wie Rufnummern<br />
zu häufig angewählten Teilnehmern, zum Schutz gegen Auslesen über nur<br />
schwach absicherbare Schnittstellen, sowie<br />
• von Verschlüsselung der Kommunikation zwischen Telefonie-Endgerät und<br />
drahtlosem Zusatzequipment, zum Schutz gegen Abhören oder störende Einflussnahme<br />
durch Dritte zum Zwecke eines DoS-Angriffs.<br />
Nähere Einzelheiten zu Schnittstellen <strong>für</strong> Drahtlosanbindungen finden sich ergänzend<br />
im Schwerpunktkapitel zu mobilen und drahtlosen Systemen und sind<br />
sinngemäß auf solche Schnittstellen an Endgeräten zur ISDN <strong>TK</strong>-Anlage anzuwenden.<br />
M-<strong>TK</strong>-18 Geschützte Übertragung von Sprachdaten<br />
Im Falle erhöhten Schutzbedarfs bzgl. Vertraulichkeit sollte <strong>für</strong> Telefonate mit<br />
Partnern, in deren Verlauf sensitive Inhalte besprochen werden, eine geschützte<br />
Übertragung von Sprachdaten erfolgen. Derartige Telefonate erfolgen zum Beispiel<br />
• bei Gesprächen zwischen Teilnehmern an der ISDN <strong>TK</strong>-Anlage, <strong>für</strong> deren<br />
Telefonate der erhöhte Schutzbedarf bzgl. Vertraulichkeit maßgeblich ist<br />
(siehe Abbildung 27)<br />
• zwischen Teilnehmern an der ISDN <strong>TK</strong>-Anlage und Mitgliedern der gleichen<br />
Unternehmung im Home-Office (siehe Abbildung 28)<br />
• zwischen Teilnehmern an der ISDN <strong>TK</strong>-Anlage und Mitgliedern des gleichen<br />
Unternehmens auf Geschäfts- oder Dienstreise, z. B. aus dem Hotelzimmer<br />
(siehe Abbildung 28)<br />
Telefonate mit anderen Standorten der gleichen Unternehmung bzw. mit Partner-<br />
Unternehmungen stellen Szenarien der Vernetzung von ISDN <strong>TK</strong>-<strong>Anlagen</strong> dar<br />
und werden im nachfolgenden Kapitel behandelt.<br />
Einem an einer verschlüsselten, ISDN-basierten Übertragung von Sprachdaten beteiligten<br />
Endgerät ist eine <strong>für</strong> derartige Übertragung ausgelegte Verschlüsselungsbox<br />
vorzuschalten. Für die Verwendung von externen Standorten aus (Beispiele:<br />
114 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Home-Office oder auf Reisen) gibt es <strong>für</strong> den mobilen Einsatz geeignete Produkte<br />
dieser Art.<br />
Abbildung 27: Verschlüsselung zwischen einzelnen Teilnehmern an der ISDN <strong>TK</strong>-Anlage<br />
Abbildung 28: Verschlüsselung <strong>für</strong> Geräte am Heimarbeitsplatz und auf Reisen<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 115
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.1.2.3 Drahtlose Telefone<br />
Werden im Zusammenhang mit einer zentralen ISDN-Anlage drahtlose Telefone eingesetzt,<br />
so handelt es sich typischerweise um DECT-Telefone, deren Basisstation kabelbasiert an die<br />
zentrale Anlage angeschlossen ist. Hier sind die Ausführungen zum Umgang mit DECT-<br />
Lösungen in Kapitel 4.6 zu beachten und die dort genannten Maßnahmen zu berücksichtigen.<br />
4.1.2.4 Wartungsapparate<br />
Im Falle erhöhten Schutzbedarfs ist der Einsatz von Wartungsapparaten hochgradig bedenklich.<br />
Der <strong>für</strong> diese Form der Fernadministration realisierbare Schutz des Administrationszugangs<br />
gegen unbefugten Zugriff ist zu schwach. Entsprechend werden die folgenden Maßnahmen<br />
vorgesehen:<br />
M-<strong>TK</strong>-19 Verzicht auf Einsatz von Wartungsapparaten bei erhöhtem Schutzbedarf<br />
Da der <strong>für</strong> Wartungsapparate realisierbare Schutz des Administrationszugangs gegen<br />
unbefugten Zugriff zu schwach ist, sollte möglichst auf den Einsatz von Wartungsapparaten<br />
verzichtet werden.<br />
M-<strong>TK</strong>-20 Sperrung der Wartungsmöglichkeit per Wartungsapparat an der Anlage<br />
Sofern von der <strong>Anlagen</strong>software unterstützt, sollte gezielt die Software-<br />
Funktionalität deaktiviert werden, über die Wartungsapparaten administrativer<br />
Durchgriff auf die ISDN-Anlage gewährt wird.<br />
Auf diese Weise wird z. B. verhindert, dass externe Supporttechniker versehentlich<br />
die Regelung zum Verzicht auf Einsatz von Wartungsapparaten verletzen.<br />
4.1.2.5 Wartungs-PCs<br />
Wartungs-PCs können sein:<br />
• PCs mit spezieller Client-Software zur Administration der Anlage<br />
• vom <strong>Anlagen</strong>betreiber genutzte PCs mit Web-Browser bei Administration der Anlage<br />
über eine Web-Schnittstelle.<br />
Für diese gelten die im Kapitel 4.1.4 dem Stichwort Netz- und Systemmanagement folgenden<br />
Ausführungen zum <strong>Anlagen</strong>management. Die auf Wartungs-PCs anzuwendenden Maßnahmen<br />
regeln den angesichts erhöhten Schutzbedarfs vorzusehenden Umgang mit „Administrationsendgeräten“.<br />
4.1.3 Netzwerk<br />
Von „Netzwerk“ ist im Falle von ISDN <strong>TK</strong>-<strong>Anlagen</strong> in mehrerlei<br />
Hinsicht zu sprechen:<br />
116 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
• Anbindung von Endgeräten an die ISDN-Anlage<br />
Die hier <strong>für</strong> erhöhten Schutzbedarf zu berücksichtigenden Maßnahmen sind im Rahmen<br />
der Ausführungen zu kabelbasiert angebundenen Endgeräten benannt worden.<br />
• LAN-Anbindung der ISDN-Anlage zum Datenaustausch mit Applikationsservern (CTI,<br />
Abrechnungssystem u. Ä.)<br />
Maßnahmen <strong>für</strong> den erhöhten Schutzbedarf zum letzten Punkt sind im Zusammenhang<br />
mit Aspekten zur zentralen Anlage benannt worden, siehe Kapitel 4.1.1.<br />
• LAN-Anbindung der ISDN-Anlage zum Zwecke des <strong>Anlagen</strong>managements<br />
LAN-Anbindungen zum Zwecke des <strong>Anlagen</strong>managements sind Gegenstand des Kapitels<br />
4.1.4.<br />
• Anbindung der ISDN-Anlage an das PSTN <strong>für</strong> externe Telefonate<br />
• Anbindung der ISDN-Anlage in Form von Kommunikation mit Teilnehmern an weiteren<br />
ISDN-<strong>Anlagen</strong> der gleichen Unternehmung bzw. vertrauenswürdiger Partner<br />
Für die beiden letzten Punkte sind im Sinne erhöhten Schutzbedarfs die folgenden Maßnahmen<br />
hervorzuheben:<br />
M-<strong>TK</strong>-21 Gesicherte Übertragung der Sprachdaten zwischen Partnerstandorten durch<br />
Leitungsverschlüsselung<br />
Technisch gesehen gleichen die hier einzusetzenden Lösungen den zur gesicherten<br />
Sprachdatenübertragung <strong>für</strong> kabelbasiert angebundenen Endgeräte verfügbaren<br />
Lösungen (siehe M-<strong>TK</strong>-18). Allerdings kommt bei größeren <strong>Anlagen</strong> die Anforderung<br />
der Anschlussmöglichkeit an einen S2M-PSTN-Zugang hinzu (siehe<br />
Abbildung 29). Außerdem ist auf ausreichende Leistungsfähigkeit des Geräts zu<br />
achten.<br />
Abbildung 29: Verschlüsselung der Kommunikation zwischen Partnerstandorten<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 117
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Bei der Produktauswahl ist auf Kompatibilität der an der Anlage und im Endgerätebereich<br />
eingesetzten Verschlüsselungslösungen zu achten. Für die<br />
Kopplung eigener <strong>Anlagen</strong> an verschiedenen Standorten ist die Verwendung einheitlicher<br />
Geräte empfehlenswert.<br />
Sollen Partner-Standorte mit ISDN-<strong>Anlagen</strong> derart abgesichert angebunden werden,<br />
ist darauf zu achten, dass die Partner-Unternehmung ein Produkt mit Unterstützung<br />
gleicher Verschlüsselungsgüte verwendet. Andernfalls ist die organisatorische<br />
Freigabe zur Übermittlung vertraulicher Informationen in Telefonaten mit<br />
einem solchen Partner sorgfältig zu prüfen.<br />
4.1.4 Netz- und Systemmanagement<br />
Das Netz- und Systemmanagement wird bei ISDN <strong>TK</strong>-<strong>Anlagen</strong> auch<br />
als <strong>Anlagen</strong>management bezeichnet. Im Sinne erhöhten Schutzbedarfs<br />
sind hier die folgenden Maßnahmen besonders zu nennen:<br />
M-<strong>TK</strong>-22 Restriktive Einbindung externer Wartung<br />
Wartungs- und Supportarbeiten erfordern Zugriffsberechtigung zur Anlage, mit<br />
der leicht Angriffe auf alle Grundwerte der <strong>Sicherheit</strong> möglich sind. Je nach konkreter<br />
Risikobewertung lassen sich <strong>für</strong> die restriktive Einbindung externer Wartung<br />
verschiedene Stufen unterscheiden:<br />
• gezielte Absicherung von Fernwartungszugriffen durch Externe<br />
Hier sind alle unter „Netzwerk“ beschriebenen Maßnahmen empfehlenswert<br />
(Verschlüsselung). Die Maßnahmen dieser Stufe sollten in jedem Fall eingesetzt<br />
werden, sofern <strong>für</strong> die ISDN-basierte Telefonie erhöhter Schutzbedarf<br />
festgestellt wurde.<br />
• Freischaltung des Fernwartungszugriffs <strong>für</strong> externen Support nur bei konkretem<br />
Bedarf<br />
• Verzicht auf Fernwartungszugriff durch Externe<br />
• Vier-Augen-Prinzip bei Vor-Ort-Wartung durch Externe<br />
M-<strong>TK</strong>-23 <strong>Sichere</strong> Aufstellung von Administrationsendgeräten<br />
Als Administrationsendgeräte zu ISDN <strong>TK</strong>-<strong>Anlagen</strong> werden im Zusammenhang<br />
mit erhöhtem Schutzbedarf Administrations-PCs betrachtet. Diese zeichnen sich<br />
durch das Vorhandensein spezieller Software (Administrations-Client) zur Administration<br />
der Anlage oder bei Administration über Web-Browser dadurch aus,<br />
dass nur Nutzer dieser PCs zur Kommunikation mit der Management-Schnittstelle<br />
der <strong>TK</strong>-Anlage berechtigt sind.<br />
Die sichere Aufstellung solcher Administrationsendgeräte gemäß den Anforderungen<br />
erhöhten Schutzbedarfs wird durch Vorkehrungen der folgenden Art<br />
realisiert:<br />
• Aufstellung in abschließbaren Büros ohne freien Publikumsverkehr<br />
Dies stellt eine Minimalvorkehrung dar.<br />
118 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
• Betreten dieser Räume durch Externe (z. B. Reinigungspersonal) nur unter<br />
Aufsicht<br />
• Trennung vom übrigen LAN<br />
Durch diese Vorkehrung wird das Gerät zu einem reinen <strong>TK</strong>-<br />
Administrations-PC. Eine Nutzung zu anderen Zwecken ist nicht möglich, eine<br />
Kompromittierung im Rahmen solcher alternativer Nutzungszwecke mit<br />
nachfolgendem missbräuchlichem Zugriff Unbefugter auf die <strong>TK</strong>-Anlage fällt<br />
nicht an.<br />
• Aufstellung des Administrations-PCs am Standort der <strong>TK</strong>-Anlage<br />
Auf diese Weise wird der physikalische Zugangsschutz zu diesem Gerät maximiert<br />
und die Vernetzung zwischen Administrations-PC und <strong>TK</strong>-Anlage hat<br />
minimale Ausdehnung. Anonyme Angriffe auf diese „lokale Vernetzung“ aus<br />
dem Anwenderbereich des Unternehmungs-LANs sind ausgeschlossen.<br />
M-<strong>TK</strong>-24 <strong>Sichere</strong> Konfiguration von Administrationsendgeräten<br />
Im Sinne des erhöhten Schutzbedarfs ist durch gezielte Konfiguration der Administrationsendgeräte<br />
die unbefugte Nutzung technisch möglichst zu erschweren.<br />
Die nachfolgend benannten entsprechenden Vorkehrungen sollten in jedem Fall<br />
getroffen werden, unabhängig von der gewählten Form der „sicheren Aufstellung“.<br />
• <strong>Technische</strong> Beschränkung des Zugangs zu solchen Endgeräten auf das <strong>TK</strong>-<br />
Betriebspersonal<br />
Dieser Ansatz ist (mindestens) mit der üblichen Verwendung von Nutzerkonten<br />
und Kennwortschutz zu realisieren. Im Falle erhöhten Schutzbedarfs<br />
ist dabei nach Möglichkeit mit personenbezogenen Nutzerkonten zu arbeiten:<br />
• Verwendung eines Bildschirmschoners mit an das Anmeldepasswort gekoppeltem<br />
Kennwortschutz und automatischer Aktivierung<br />
• Logging aller Anmeldungsversuche<br />
• Sinngemäße Anwendung der in M-<strong>TK</strong>-148 in Kapitel 4.7 <strong>für</strong> Server formulierten<br />
Maßnahme zu Softwaresicherheit inklusive Patch-Management<br />
• Regelmäßige Integritäts-Checks <strong>für</strong> die auf solchen Geräten eingesetzte Software<br />
Diese Vorkehrung sollte getroffen werden, wenn ein Administratorendgerät<br />
so vernetzt ist, dass es mit anderen Geräten als der <strong>TK</strong>-Anlage kommunizieren<br />
kann und auch zu anderen Nutzungszwecken verwendet wird. Im Zuge<br />
solcher alternativer Nutzungszwecke bzw. bei Angriffen auf zugehörige<br />
Dienste und Schnittstellen erfolgte unbefugte Veränderungen am Gerät werden<br />
so frühzeitig entdeckt. Eine Schwächung des Zugriffsschutzes auf das<br />
Gerät auf solchem Wege soll aufgedeckt werden, ehe die Gelegenheit zu einem<br />
Missbrauch des Geräts besteht.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 119
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
M-<strong>TK</strong>-25 Regelungen <strong>für</strong> sichere <strong>TK</strong>-Administration<br />
Die empfohlenen Vorkehrungen zur sicheren Konfiguration können nur ihre volle<br />
Wirkung entfalten, wenn mit ihnen dem erhöhten Schutzbedarf entsprechend umgegangen<br />
wird. Personen, die zur Nutzung von Administrations-PCs berechtigt<br />
sind, müssen organisatorisch zu Folgendem verpflichtet werden:<br />
• Abmeldepflicht, sobald die Administrationsmaßnahmen abgeschlossen sind<br />
• Manuelle Sperrung des Bildschirms, sofern der Raum zum Administrations-<br />
PC vorübergehend verlassen wird<br />
• Abmeldepflicht, sofern der Raum zum Administrations-PC <strong>für</strong> längere Zeit<br />
verlassen wird<br />
• Verwendung „starker“ Kennwörter gemäß den Vorgaben einer entsprechenden<br />
<strong>Sicherheit</strong>srichtlinie<br />
• Regelmäßige Kennwortänderung<br />
M-<strong>TK</strong>-26 <strong>Sichere</strong> Konfiguration des Management-Zugangs zur ISDN <strong>TK</strong>-Anlage<br />
Anstelle einer unbefugten Verwendung von Administrations-PCs können Versuche<br />
unberechtigter Manipulationen an der Anlage auch direkt über Angriffe auf<br />
Schnittstellen zur <strong>Anlagen</strong>-Fernadministration erfolgen. Die nachfolgend benannten<br />
Ansätze zur Minimierung des durch solche Schnittstellen gegebenen<br />
Risikos gelten sowohl <strong>für</strong> Fernadministration von extern als auch <strong>für</strong> Fernadministrationszugriffe<br />
aus der Umgebung der Unternehmung, z. B. LAN-basiert<br />
über eine entsprechende LAN-Anbindung der ISDN <strong>TK</strong>-Anlage.<br />
Die im Falle erhöhten Schutzbedarfs zu treffenden besonderen Vorkehrungen sind<br />
dabei zum Teil von den Konfigurationsmöglichkeiten der Anlage abhängig:<br />
• Sperrung des DISA-Zugriffs<br />
Die Absicherung dieser <strong>für</strong> ein Management via Telefon-Wartungsapparat<br />
gedachten Management-Schnittstelle ist <strong>für</strong> erhöhten Schutzbedarf zu<br />
schwach bzw. die Möglichkeiten des Missbrauchs sind zu groß. Daher ist die<br />
Schnittstelle abzuschalten.<br />
• Netztrennung: Beschränkung von LAN-basierten Administrationszugriffen<br />
auf die ISDN <strong>TK</strong>-Anlage auf ein (physikalisch oder logisch) separates Netz<br />
zum <strong>Anlagen</strong>management<br />
• Abschaltung sonstiger, nicht zur Verwendung vorgesehener Zugriffsmöglichkeiten<br />
Hier sind mindestens zu nennen:<br />
• Web-Interface, sofern keine Administration via Browser erfolgt<br />
• Telnet-Zugang<br />
• SNMPv1/v2<br />
Im Falle erhöhten Schutzbedarfs ist die Verwendung dieser Schnittstellen bedenklich,<br />
sofern die Kommunikationsmöglichkeiten mit Zugriff auf die entsprechenden<br />
Dienste nicht mit den Mitteln der Netztrennung ausschließlich<br />
auf <strong>TK</strong>-Administrations-PCs beschränkt werden. Es sollte dann <strong>für</strong> diese<br />
120 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Dienste eine verschlüsselte Variante verwendet werden oder eine Abschaltung<br />
erfolgen.<br />
• Kennwortschutz und Rechteverwaltung<br />
Sofern die ISDN-Anlage entsprechende Möglichkeiten im Sinne des erhöhten<br />
Schutzbedarfs bietet, sollten hier die folgenden Vorkehrungen auf Seiten der<br />
Anlage konfiguriert werden:<br />
• Beschränkung des Zugriffs auf personenbezogene Administratorkonten<br />
• (starker) Kennwortschutz <strong>für</strong> solche Konten<br />
• sofern SNMP-basierte Zugriffe erfolgen sollen: Verwendung von<br />
SNMPv3 unter Nutzung von Authentication und Privacy<br />
Unterstützt die Anlage diese Möglichkeiten nicht, so sind stattdessen folgende<br />
Punkte vorzusehen:<br />
• Einsatz einer der Anlage vorgelagerten Authentisierungslösung<br />
• maximaler Schutz der Administratorarbeitsplätze (konsequente Umsetzung<br />
aller in der Einsatzumgebung möglichen Vorkehrungen gemäß<br />
Maßnahmen „<strong>Sichere</strong> Aufstellung von Administrationsendgeräten“ und<br />
„<strong>Sichere</strong> Konfiguration von Administrationsendgeräten“)<br />
M-<strong>TK</strong>-27 Protokollierung und regelmäßige Kontrolle von Fernwartungszugriffen<br />
Im Rahmen der Möglichkeiten der eingesetzten ISDN <strong>TK</strong>-<strong>Anlagen</strong>software sind<br />
Anmeldungen bzw. Zugriffe auf die Anlage über Administrationsschnittstellen<br />
und zugehörige Konten automatisch zu protokollieren. Die entsprechenden Log-<br />
Files sind regelmäßig (entsprechend erhöhtem Schutzbedarf mindestens einmal<br />
täglich) einer Sichtkontrolle zu unterziehen. Gehäuften fehlerhaften Anmeldeversuchen<br />
ist gezielt nachzugehen, bei erfolgreichen Anmeldungen ist im Zweifel ein<br />
Abgleich der Zeitpunkte mit der Dokumentation durchgeführter Wartungsmaßnahmen<br />
durchzuführen.<br />
Bei Auffälligkeiten muss sofort entsprechend den <strong>für</strong> die IT bestehenden Regelungen<br />
<strong>für</strong> einen vermuteten <strong>Sicherheit</strong>svorfall verfahren werden, bis ein Angriffsverdacht<br />
schlüssig widerlegt ist.<br />
M-<strong>TK</strong>-28 Verfügbarkeitssicherung durch (automatisierte) Zustandsüberwachung<br />
Im Falle erhöhten Schutzbedarfs bezüglich Verfügbarkeit muss eine ISDN <strong>TK</strong>-<br />
Anlage zwingend unter Nutzung einer Schnittstelle zum <strong>Anlagen</strong>management einer<br />
zumindest teilautomatisierten Zustandsüberwachung unterzogen werden. Eine<br />
Einbindung in bereits <strong>für</strong> andere IT-Systeme verwendete zentrale Lösungen zu<br />
Monitoring, Logging und Alarmierung ist einer isolierten Überwachung <strong>für</strong> die<br />
<strong>TK</strong>-Anlage vorzuziehen. Hier sind je nach unmittelbarer Unterstützung seitens der<br />
Anlage verschiedene Konstellationen möglich:<br />
• Zustandsüberwachung mit Hilfe proprietärer Mechanismen von einem permanent<br />
laufenden Administrations-PC aus und Übermittlung von Informationen<br />
zu auffälligen Ereignissen durch diesen PC an die zentrale Logging- und<br />
Alarmierungs-Lösung<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 121
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Direkte Einbindung der <strong>TK</strong>-Anlage in die zentrale Logging- und Alarmierungs-Lösung<br />
Unabhängig von der realisierten Konstellation ist die im Rahmen solcher Permanentüberwachung<br />
und Ereignisprotokollierung erfolgende Kommunikation gemäß<br />
den systemübergreifenden Maßnahmen (siehe Kapitel 4.7.3) abzusichern.<br />
Soweit durch die eingesetzte Anlage bzw. die darauf installierte Agentensoftware<br />
unterstützt, sollte die Überwachung im Falle erhöhten Schutzbedarfs insbesondere<br />
den Aspekt möglicher Manipulationsversuche über den D-Kanal einschließen.<br />
Mindestens bei begründetem Verdacht auf derartige Vorgänge sollte eine derartige<br />
Überwachung aktiviert werden. 36<br />
M-<strong>TK</strong>-29 Abschluss eines Support-Vertrags inklusive externer Beratungskompetenz<br />
Im Falle erhöhten Schutzbedarfs muss man sich zur Sicherstellung ausreichender<br />
Verfügbarkeit sowie zur Reaktion auf neu erkannte <strong>Sicherheit</strong>srisiken durch geeignete<br />
Präventivmaßnahmen gezielt auf externe Unterstützung mit direktem Zugriff<br />
auf den Hersteller abstützen können. Basis hier<strong>für</strong> ist ein Support-Vertrag,<br />
der mindestens Folgendes umfasst:<br />
• Hardware-Wartung (Ersatzteillieferung, Einbau durch Wartungstechniker)<br />
• Software-Pflege (Information über bzw. Bereitstellung von Bugfixes, <strong>Sicherheit</strong>s-Updates<br />
und ähnlicher Software-Korrekturen)<br />
• 3rd Level Support bei komplexen, in Eigenleistung nicht behebbaren Störungen<br />
• Beratung bei Bedarf zu Anpassungen an der aktuellen Konzeption/Konfiguration,<br />
z. B. zur Gefahrenabwehr oder als Notfallvorsorge<br />
Für Leistungen im Störungs- bzw. Notfall müssen der genauen Risikobewertung<br />
angemessene Service-Level-Vereinbarungen getroffen werden. Darüber hinaus ist<br />
vertraglich sicherzustellen, dass der Externe im Rahmen seiner Vertragsleistungen<br />
ein <strong>Sicherheit</strong>sniveau aufrecht erhält, dass dem Schutzbedarf angemessen ist (Güte<br />
des <strong>Sicherheit</strong>smanagement des Externen, Einhaltung von in der Einsatzumgebung<br />
der <strong>TK</strong>-Anlage maßgeblichen, sicherheitsrelevanten Regelungen).<br />
Durch gezielte Vertragsgestaltung muss zudem da<strong>für</strong> gesorgt werden, dass bei<br />
Unzuverlässigkeit in Form wiederholter Verletzungen des Service Level ohne<br />
finanziellen Schaden kurzfristig der Vertragspartner gewechselt werden kann.<br />
36 Hier<strong>für</strong> können beispielsweise als Schutz gegen Angriffe über den D-Kanal hergestellte, als D-Kanal-Filter<br />
bezeichnete, Geräte zum Einsatz kommen.<br />
122 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.2 VoIP-Systeme<br />
Dieses Kapitel beschreibt Maßnahmen zur Absicherung<br />
von VoIP-Systemen unter besonderer Berücksichtigung<br />
eines erhöhten Schutzbedarfs.<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
Generell können zunächst die in Kapitel 4.1 beschriebenen<br />
Maßnahmen <strong>für</strong> ISDN <strong>TK</strong>-<strong>Anlagen</strong> sinngemäß<br />
auf ein VoIP-System übertragen werden. Dies gilt insbesondere <strong>für</strong> den PSTN-<br />
Übergang und ISDN-Leistungsmerkmale. In diesem Sinne ist beispielsweise die Maßnahme<br />
M-<strong>TK</strong>-1 unmittelbar als Härtungsmaßnahme auf ein VoIP-System anzuwenden.<br />
Im Folgenden werden die VoIP-spezifischen Maßnahmen beschrieben, wobei es sich teilweise<br />
um Ansätze handelt, die auch <strong>für</strong> andere vernetzte IT-Systeme greifen können. Je nach<br />
Szenario und insbesondere <strong>für</strong> den erhöhten Schutzbedarf kommt es darauf an, aus diesem<br />
Baukastensystem von Maßnahmen jeweils angemessene Pakete zu bilden. Der Maßnahmenkatalog<br />
zur Absicherung von Nutzung und Betrieb von VoIP-Systemen ist in die folgenden<br />
Blöcke aufgeteilt:<br />
• Server und Anwendungen, siehe Kapitel 4.2.1<br />
• Endgeräte, siehe Kapitel 4.2.2<br />
• Netzwerk, siehe Kapitel 4.2.3<br />
• Netz- und Systemmanagement, siehe Kapitel 4.2.4<br />
• Übergreifende Aspekte, die allgemein <strong>für</strong> VoIP-Systeme gelten, siehe Kapitel 4.2.5<br />
4.2.1 Server und Anwendungen<br />
M-<strong>TK</strong>-30 Ende-zu-Ende-Verschlüsselung des Medienstroms<br />
Für den erhöhten Schutzbedarf muss eine Ende-zu-Ende-<br />
Verschlüsselung eingesetzt werden.<br />
Die Verschlüsselung sollte möglichst über SRTP respektive<br />
SRTCP nach [RFC3711] erfolgen. Die Schlüssellänge sollte mindestens 128 Bit<br />
betragen. Alternativ kann eine gleichwertige, beispielsweise auf VPN-Techniken<br />
basierende Verschlüsselungstechnik eingesetzt werden (siehe Kapitel 7.3 zum<br />
Thema VPN und die Hinweise zur Nutzung von TLS in Kapitel 7.2).<br />
Die Verschlüsselung erfolgt zwischen den Endgeräten bzw. zwischen Endgerät<br />
und einem Gateway, das den Medienstrom terminiert (z. B. PSTN Gateway, Media<br />
Gateway, SBC oder Konferenzserver), wie in Abbildung 30 gezeigt. Die an<br />
der Verschlüsselung beteiligten Instanzen müssen ein dynamisches Schlüsselmanagement<br />
unterstützen, das eine sichere Aushandlung des Schlüsselmaterials<br />
erlaubt (siehe Kapitel 2.2.5.4.2 und 2.2.5.4.3 bzw. Kapitel 2.2.5.5.2).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 123
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Diese Punkte sind bereits <strong>für</strong> den normalen Schutzbedarf zu empfehlen.<br />
Abbildung 30: Endpunkte bei Verschlüsselung mit SRTP<br />
M-<strong>TK</strong>-31 Verschlüsselung der Signalisierung<br />
Für den erhöhten Schutzbedarf muss die VoIP-Signalisierung zwischen Endgerät<br />
und Telefonie-Server verschlüsselt werden. Auf dem Signalisierungspfad erfolgt<br />
die Verschlüsselung Hop-by-Hop, d. h. an einem Proxy im Signalisierungspfad<br />
wird jeweils eine Verschlüsselungsstrecke terminiert.<br />
Die Verschlüsselung sollte möglichst mit TLS (unter Beachtung der Hinweise <strong>für</strong><br />
den Einsatz von TLS in Kapitel 7.2) erfolgen. Alternativ kann eine gleichwertige,<br />
beispielsweise auf IPsec basierende Verschlüsselungstechnik eingesetzt werden.<br />
Ergänzend ist (sofern technisch möglich) bei Verwendung von SIP <strong>für</strong> die Absicherung<br />
von Signalisierungselementen, die Ende-zu-Ende übertragen werden,<br />
eine Verschlüsselung über S/MIME zu empfehlen (siehe Kapitel 2.2.5.4.2).<br />
M-<strong>TK</strong>-32 Authentisierung zwischen Endgeräten und Servern des VoIP-Systems<br />
Für den erhöhten Schutzbedarf muss zwischen den Endgeräten und Servern des<br />
VoIP-Systems, mit denen das Endgerät kommuniziert (insbesondere Telefonie-<br />
Server) eine Authentisierung erfolgen. Dabei sollte nach Möglichkeit eine gegen-<br />
124 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
seitige Authentisierung stattfinden. Empfohlen wird der Einsatz von MTLS (Mutual<br />
TLS) unter Beachtung der Hinweise <strong>für</strong> den Einsatz von TLS in Kapitel 7.2.<br />
M-<strong>TK</strong>-33 Authentisierung zwischen Servern<br />
Sofern die Server des VoIP-Systems nicht in einer gemeinsamen <strong>Sicherheit</strong>szone<br />
von anderen Elementen der IT-Infrastruktur geeignet isoliert sind, ist <strong>für</strong> den erhöhten<br />
Schutzbedarf eine Authentisierung zwischen den Servern erforderlich.<br />
Empfohlen wird der Einsatz von MTLS unter Beachtung der Hinweise <strong>für</strong> den<br />
Einsatz von TLS in Kapitel 7.2.<br />
M-<strong>TK</strong>-34 Redundanz der Telefonie-Server<br />
Telefonie-Server müssen redundant ausgelegt werden. Bei der Umschaltung zwischen<br />
Telefonie-Servern sollten möglichst keine Gespräche bzw. Sitzungen unterbrochen<br />
werden.<br />
M-<strong>TK</strong>-35 Redundanz der Server und Gateways, von denen die Funktion des Telefonie-<br />
Servers und des Telefonie-Diensts unmittelbar abhängt<br />
In Ergänzung zu M-<strong>TK</strong>-34 müssen <strong>für</strong> den erhöhten Schutzbedarf alle Server und<br />
Gateways (inklusive PSTN-Gateways), von denen die Funktion des Telefonie-<br />
Servers und des Telefonie-Diensts unmittelbar abhängt, redundant ausgelegt werden<br />
bzw. eine genügend hohe Verfügbarkeit aufweisen. Ein typisches Beispiel ist<br />
DNS.<br />
M-<strong>TK</strong>-36 Schaffung eines zusätzlichen PSTN-Ersatzanschlusses <strong>für</strong> Notrufe<br />
Auch bei Ausfällen des VoIP-Systems müssen noch Notrufe erfolgen können.<br />
Hierzu muss ein separater PSTN-Anschluss mit direkt angebundenem Telefon<br />
eingesetzt werden. Dabei ist auf geeignete Platzierung und Anzahl solcher Telefone<br />
und Anschlüsse zu achten.<br />
Für einen solchen PSTN-Anschluss und die zugehörigen Endgeräte gelten allgemein<br />
die in Kapitel 4.1 beschriebenen Maßnahmen.<br />
M-<strong>TK</strong>-37 Automatische PSTN-Umschaltung <strong>für</strong> Filialen<br />
Für Filialen bzw. Außenstellen, die über WAN oder VPN an zentrale Telefonie-<br />
Server angebunden werden, ist <strong>für</strong> den Ausfall der Verbindung zur Zentrale eine<br />
lokale Lösung vorzusehen, die wie in Kapitel 2.2.6 beschrieben, <strong>für</strong> die lokalen<br />
IP-Telefone eine Kommunikationsmöglichkeit inklusive PSTN-Anbindung<br />
schafft.<br />
M-<strong>TK</strong>-38 Absicherung von Telefonie-Daten im Verzeichnisdienst<br />
Telefonie-bezogene Daten werden oft über einen Verzeichnisdienst verwaltet.<br />
Dies beinhaltet insbesondere auch Teilnehmerdaten (z. B. das Dienstprofil, nutzerspezifische<br />
Einstellungen, eine PIN zur Freischaltung von Diensten).<br />
Die Berechtigungen <strong>für</strong> den Zugriff auf diese Daten müssen so eingestellt sein,<br />
dass nur die notwendigen Zugriffe <strong>für</strong> autorisierte Parteien gestattet sind. Die Pro-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 125
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
tokolle <strong>für</strong> den Zugang auf Telefonie-Daten im Verzeichnisdienst müssen hinsichtlich<br />
Vertraulichkeit und Integrität abgesichert sein.<br />
PINs sollten möglichst verschlüsselt hinterlegt werden.<br />
M-<strong>TK</strong>-39 Verfügbarkeit kritischer Telefonie-Daten<br />
Für kritische telefoniebezogene Daten, wie Teilnehmerprofile oder aktuelle teilnehmerbezogene<br />
Einstellungen (z. B. Rufumleitungen), die zentral verwaltet werden,<br />
muss eine dem Schutzbedarf angemessene Verfügbarkeit sichergestellt werden.<br />
Wenn beispielsweise die Datenhaltung der aktuellen teilnehmerbezogenen<br />
Einstellungen auf einem speziellen Server erfolgt, kann <strong>für</strong> den erhöhten Schutzbedarf<br />
die Datenhaltung vollredundant ausgelegt werden.<br />
M-<strong>TK</strong>-40 Einschränkungen von DNS <strong>für</strong> VoIP<br />
Es sollte ein interner DNS Server <strong>für</strong> die ausschließliche Verwendung von VoIP<br />
aufgesetzt werden. Dynamic DNS (DDNS), Caching und Forwarding von DNS<br />
Anfragen sind zu deaktivieren. IP-Telefone werden so konfiguriert, dass sie nur<br />
diesen DNS Server ansprechen.<br />
Sofern möglich, sollte DNSSEC (Domain Name System Security Extensions)<br />
gemäß [RFC4033] bis [RFC4035] eingesetzt werden37 .<br />
Bei erhöhtem Schutzbedarf sollten Softphones in Verbindung mit DNS nach<br />
Möglichkeit nicht verwendet werden. Ist die Nutzung von Softphones und DNS<br />
unbedingt erforderlich, dann muss auf dem bestehenden internen DNS Server,<br />
welcher die PC-Infrastruktur bedient, folgendes beachtet werden: VoIPspezifische<br />
Anfragen müssen so an eine DNS Subdomain delegiert werden, dass<br />
nur der eben erwähnte interne VoIP DNS Server diese Anfragen beantwortet.<br />
Das bestehende Restrisiko durch DNS Spoofing und DoS muss bei Verwendung<br />
von DNS in jedem Fall abgewogen werden.<br />
Bei erhöhtem Schutzbedarf sollte man daher auch in Betracht ziehen, auf den Einsatz<br />
von DNS <strong>für</strong> VoIP zu verzichten.<br />
M-<strong>TK</strong>-41 Einschränkung von ENUM<br />
Bei erhöhtem Schutzbedarf sollte auf den Einsatz von ENUM möglichst verzichtet<br />
werden, da sich das erhebliche Gefährdungspotenzial von DNS automatisch<br />
auf ENUM und damit auf die Telekommunikation vererbt.<br />
Ist eine ENUM-Nutzung unbedingt erforderlich, muss ENUM auf ausschließlich<br />
interne Nutzung eingeschränkt und M-<strong>TK</strong>-40 umgesetzt werden.<br />
37 Über DNSSEC können die Antworten eines DNS-Servers mit dem privaten Schlüssel des DNS-Servers<br />
signiert und die Server-Antworten so authentisiert werden. DNSSEC ist allerdings in der Praxis noch selten<br />
anzutreffen.<br />
126 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.2.2 Endgeräte<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
M-<strong>TK</strong>-42 Sicherung von IP-Telefonen in unübersichtlichen Umgebungen<br />
Für IP-Telefone, die in unübersichtlichen Umgebungen oder<br />
in Bereichen mit erhöhtem Publikumsverkehr (z. B.<br />
Besprechungsräumen oder öffentlich zugänglichen Räumen, etwa in Lobbys) auf<br />
gestellt werden, sollten nach Möglichkeit nur Endgeräte mit eingeschränktem (als<br />
unkritisch befundenem) Funktionsumfang eingesetzt werden. In diesem Sinne<br />
sollten auch keine IP-Telefone mit integriertem Ethernet-Switch aufgestellt wer<br />
den (zumindest sollte die entsprechende Funktion im Telefon deaktiviert werden),<br />
da man diesen <strong>für</strong> den Zugang zum Netzwerk missbrauchen könnte.<br />
Weiterhin sollte man einen mechanischen Diebstahlschutz vorsehen, sofern auf<br />
dem Gerät vertrauliche Daten gespeichert werden oder mit Hilfe des Geräts (bzw.<br />
entsprechender Identitätsinformationen) auf vertraulicher Informationen in der<br />
Infrastruktur zugegriffen werden kann.<br />
M-<strong>TK</strong>-43 Warnung bei unsicheren Einstellungen<br />
Für den erhöhten Schutzbedarf sollten Endgeräte so konfiguriert werden können,<br />
dass ein eindeutiger Hinweis auf unsichere Einstellungen, insbesondere auf eine<br />
deaktivierte Ende-zu-Ende-Verschlüsselung, erfolgt (siehe auch M-<strong>TK</strong>-16).<br />
M-<strong>TK</strong>-44 Prozess zur Behandlung des Verlusts eines VoIP-Endgeräts<br />
Werden auf VoIP-Endgeräten vertrauenswürdige Daten gespeichert, muss ein<br />
Prozess zur Behandlung des Verlusts eines VoIP-Endgeräts implementiert werden,<br />
der den Umgang mit diesen Daten bei Beeinträchtigung von Vertraulichkeit<br />
und Integrität regelt. Dies beinhaltet beispielsweise, dass Zertifikate eines IP-<br />
Telefons sofort zurückgezogen werden.<br />
M-<strong>TK</strong>-45 Absicherung der Firmware<br />
Bevor eine neue Firmware auf ein IP-Telefon übertragen wird, sollte die Integrität<br />
und Authentizität der Datei überprüft werden. Falls der Hersteller seine Firmware<br />
digital signiert und eine Prüfsumme zur Verfügung stellt, so müssen die Signatur<br />
sowie die Prüfsumme überprüft werden. Bei der Übertragung der Firmware vom<br />
Telefonie-Server auf die IP-Telefone sollte ebenfalls eine digitale Signatur verwendet<br />
werden.<br />
M-<strong>TK</strong>-46 Absicherung von Konfigurationsdateien<br />
Zur Konfiguration von IP-Telefonen existieren unterschiedliche Mechanismen.<br />
Dazu zählen die manuelle Konfiguration am Endgerät, die Konfiguration per<br />
Web-Interface des IP-Telefons und das Verfahren bei dem sich das Telefon automatisch<br />
eine Konfiguration von einem TFTP-Server oder HTTP-Server lädt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 127
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Für den erhöhten Schutzbedarf muss die Konfiguration über einen gesicherten<br />
Übertragungsweg erfolgen, der eine Authentisierung dem Telefon gegenüber ermöglicht.<br />
Beispielsweise kann ein HTTPS-Server mit Authentisierung verwendet<br />
werden.<br />
Da Konfigurationsdateien sensible Daten, wie beispielsweise Passwörter enthalten<br />
können, sollten <strong>für</strong> den erhöhten Schutzbedarf die Konfigurationsdateien vom Telefonie-Server<br />
signiert und verschlüsselt an das IP-Telefon übertragen werden.<br />
M-<strong>TK</strong>-47 <strong>Sicherheit</strong> von Softphones<br />
Für den erhöhten Schutzbedarf sollte man möglichst auf Softphones verzichten,<br />
da <strong>für</strong> einen PC zu viele kritische Angriffsmöglichkeiten (Trojaner, Cross-Site<br />
Scripting usw.) bestehen. Durch die Ausnutzung von <strong>Sicherheit</strong>sschwachstellen<br />
ist es z. B. möglich, Anrufprotokolle und Adressbucheinträge des Softphones zu<br />
manipulieren oder das Mikrofon des PCs zum Abhören des Raums zu benutzen.<br />
Falls der Einsatz von Softphones gefordert ist, so muss auf dem PC mit dem<br />
Softphone neben einer Personal Firewall und einem Virenschutz in jedem Fall ein<br />
Host-basiertes IPS installiert werden.<br />
Weiterhin müssen im Sinne erhöhten Schutzbedarfs die folgenden Einzelmaßnahmen<br />
umgesetzt werden:<br />
• Verschlüsselung der Signalisierungs- und Nutzdaten<br />
• Härtung des Betriebssystems<br />
• Härtung des Web-Browsers<br />
Skriptsprachen, beispielsweise JavaScript und VBScript sollten deaktiviert<br />
werden. Weiterhin sollten ActiveX, Java und Plugin-Programme, wie z. B.<br />
Macromedia Flash auf dem PC mit dem Softphone nicht benutzt werden dürfen.<br />
• Die Administration des PCs sollte von einer zentralen Stelle erfolgen, um die<br />
unkontrollierte Installation von Software zu verhindern.<br />
M-<strong>TK</strong>-48 <strong>Sichere</strong> Konfiguration von PC-Ports an IP-Telefonen<br />
IP-Telefone bestimmter Hersteller umfassen die Möglichkeit, an einem im Telefon<br />
eingebauten PC-Port ein PC-Endgerät anzuschließen. Dies kann ein <strong>Sicherheit</strong>srisiko<br />
darstellen, mit dem bei erhöhtem Schutzbedarf durch gezielte Konfiguration<br />
umzugehen ist. Es ergeben sich folgende Prüf- und Aktionspunkte:<br />
• Deaktivierung der Weiterleitung aller Pakete auf den PC-Port<br />
Etliche IP-Telefone leiten zurzeit in der Default-Konfiguration alle Pakete,<br />
die zwischen dem Telefon und anderen Stationen ausgetauscht werden, auch<br />
an den PC-Port des Telefons weiter. Dies sollte in jedem Fall geändert werden,<br />
sodass ein Abhören und Aufzeichnen von Telefonaten mit Hilfe von<br />
Software auf einem am PC-Port angeschlossenen Gerät unmöglich ist.<br />
• Deaktivierung von PC-Ports an IP-Telefonen<br />
Werden die PC-Ports an den IP-Telefonen in der betrachteten Umgebung<br />
nicht genutzt, d. h. werden <strong>für</strong> die PC-Endgeräte separate Netzwerk-<br />
Anschlusspunkte zur Verfügung gestellt, so sollten die PC-Ports an den IP-<br />
128 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Telefonen gezielt deaktiviert werden (Vermeidung ungesicherter Netzzugänge<br />
über die PC-Ports).<br />
M-<strong>TK</strong>-49 <strong>Sichere</strong> Konfiguration von IP und von IP-basierten Diensten<br />
Diese Maßnahme ist im Sinne einer Systemhärtung der IP-Telefone zu sehen und<br />
dient der gezielten Abwehr von Angriffen auf diese Endgeräte. Derartige Angriffe<br />
können über IP und IP-basierte Dienste sowie deren Schnittstellen am Telefon erfolgen.<br />
Typische, je nach Produkt in unterschiedlichem Umfang konfigurierbare<br />
Prüf- und Aktionspunkte sind:<br />
• Deaktivierung der Reaktion auf Gratuitous ARPs<br />
Durch eine solche Konfiguration am IP-Telefon wird vermieden, dass der<br />
ARP-Cache des Telefons durch Gratuitous ARPs (Sonderform von ARP-<br />
Nachrichten) kompromittiert und so z. B. ein Lauschangriff auf das Telefon<br />
vorbereitet werden kann.<br />
• Deaktivierung des Versendens von Gratuitous ARPs<br />
Gratuitous ARPs werden von (Telefonie-)Endgeräten vorrangig versandt als<br />
Versuch IP-Adresskonflikte zu ermitteln. Kritisch ist dabei der Broadcastbasierte<br />
Versand solcher Pakete, der dazu führt, dass ein Angreifer in der<br />
Broadcast-Domäne des Telefons auf diese Weise IP- und MAC-Adresse des<br />
Telefons erfährt und diese Information gezielt <strong>für</strong> einen Angriff missbrauchen<br />
kann (Aufhebung der Anonymität des Telefons).<br />
• Deaktivierung des Webservers am IP-Telefon<br />
Durch die Deaktivierung des Webservers am IP-Telefon wird verhindert, dass<br />
mit einem Web-Browser oder Vergleichbarem über das Netz auf das Telefon<br />
zugegriffen wird. Die Webschnittstelle ist gerade bei Endgerätelösungen nur<br />
schwach gesichert und damit ein bevorzugtes Angriffsziel.<br />
M-<strong>TK</strong>-50 Einschränkung des lokalen Zugriffs auf die Konfiguration des IP-Telefons<br />
Das IP-Telefon stellt meist einen Zugang über Bedientasten am Gerät bereit, über<br />
den verschiedene Einstellungen am Telefon vorgenommen und geändert werden<br />
können.<br />
Dabei müssen grundsätzlich zwei Einstellbereiche unterschieden werden:<br />
• Im ersten Bereich der Einstellungen kann der Benutzer z. B. Klingeltöne einstellen<br />
und den Kontrast des Displays ändern.<br />
Dieser Bereich sollte grundsätzlich bei jedem IP-Telefon freigegeben sein<br />
(Bedienzugang <strong>für</strong> den Anwender).<br />
• In einem weiteren Bereich besteht Zugang zu den Netzwerkeinstellungen des<br />
Telefons.<br />
Nach einer Prozedur zum Entsperren der Einstellungen können diese auch<br />
geändert werden (lokaler Administrationszugang zum Telefon). So könnte<br />
z. B. die IP-Adresse des Telefons oder des TFTP-Servers geändert werden.<br />
Der Zugriff auf diesen Bereich muss eingeschränkt werden. Die vom Hersteller<br />
voreingestellte PIN <strong>für</strong> administrative Zugriffe bzw. ein voreingestelltes<br />
Kennwort (typisch sind leicht zu erratende PINs wie 0000 oder der Herstel-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 129
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
lername als Default-Kennwort) muss geändert werden. Die Komplexität von<br />
PIN oder Kennwort muss dabei möglichst hoch sein.<br />
M-<strong>TK</strong>-51 Benutzerabhängige Berechtigungen<br />
VoIP-Lösungen unterstützen oft eine Funktion, die eine Anmeldung eines Benutzers<br />
am IP-Telefon über eine personenbezogene PIN ermöglicht. Der Benutzer<br />
veranlasst mit dieser Funktion die Übertragung eines Profils auf das Telefon mit<br />
der Konfiguration des Telefons hinsichtlich Kurzwahllisten, Berechtigungen,<br />
Durchwahlnummer usw.<br />
Hiermit können benutzerabhängige Berechtigungen <strong>für</strong> die Nutzung der VoIP-<br />
Lösung erteilt werden. Für den erhöhten Schutzbedarf kann auf diese Weise ein<br />
differenziertes und gestuftes Berechtigungskonzept umgesetzt werden.<br />
In Ergänzung zu Maßnahme M-<strong>TK</strong>-15 sind dabei folgende Punkte im Einzelfall<br />
zu entscheiden:<br />
• Abwägung zwischen zeitgesteuerter oder expliziter Abmeldung (<strong>Sicherheit</strong><br />
vs. Verfügbarkeit)<br />
• Standard-Profil, das nach der Abmeldung eines Nutzers auf dem Telefon aktiviert<br />
wird (Logout Profile) mit folgenden denkbaren Basisfunktionalitäten<br />
• nur Notruf<br />
• nur interne Telefonie<br />
• übertragene Durchwahlnummer<br />
• Übertragung einer allgemeinen oder nutzerabhängigen Durchwahlnummer<br />
• Nutzerabhängige Freigabe eines schreibenden Zugriffs auf die Konfigurationsdatenbank<br />
des Telefonie-Servers<br />
M-<strong>TK</strong>-52 Schutz von Teilnehmer-spezifischen Daten auf einem IP-Telefon<br />
Auf IP-Telefonen werden lokal diverse Daten abgespeichert. Ein Teil dieser Daten<br />
umfasst Teilnehmer-spezifische Daten, wie z. B. das Rufjournal, persönliche Kontakte<br />
und Leistungsmerkmale. Diese Daten müssen durch eine sichere Verwaltung<br />
der Profile auf dem Telefon geschützt werden. Zur sicheren Verwaltung von den<br />
auf dem IP-Telefon lokal abgespeicherten Nutzerprofilen sollten benutzerabhängige<br />
Berechtigungen <strong>für</strong> die Nutzung der VoIP-Lösung erteilt werden. Für<br />
den erhöhten Schutzbedarf kann auf diese Weise ein differenziertes und gestuftes<br />
Berechtigungskonzept umgesetzt werden, siehe Maßnahme M-<strong>TK</strong>-51.<br />
Falls eine sichere Verwaltung der Daten technisch nicht möglich ist, so müssen<br />
bei erhöhtem Schutzbedarf folgende Maßnahmen beachtet werden:<br />
• Das IP-Telefon muss mindestens mit einer PIN geschützt werden.<br />
• Es sollten keine IP-Telefone eingesetzt werden, die Nutzer- und Nutzungsspezifische<br />
Daten lokal speichern. Eine Ausnahme stellen IP-Telefone dar,<br />
bei denen man explizit die Speicherung solcher deaktivieren kann.<br />
• Nutzer-spezifische Daten sollten auf dem Telefon manuell löschbar sein.<br />
130 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.2.3 Netzwerk<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
• Räume in denen IP-Telefone aufgestellt sind, sollten beim Verlassen des<br />
Raums immer abgeschlossen werden, sofern nicht der Raum selbst bereits<br />
Bestandteil eines <strong>Sicherheit</strong>sbereichs ist.<br />
M-<strong>TK</strong>-53 <strong>Sichere</strong> Konfiguration der Netzwerk-Komponenten<br />
Zum Schutz der VoIP-Infrastruktur sollten neben den Servern<br />
des Telekommunikationssystems auch die übrigen<br />
Netzwerk-Komponenten, wie z. B. Router und Switche, angemessen abgesichert<br />
werden. Hierzu sind insbesondere die folgenden Einstellungen zu konfigurieren:<br />
• Um Informationen über die vorhandene Netzwerk-Topologie zu schützen,<br />
sollten ICMP Destination Unreachable, ICMP Redirect und ICMP Address<br />
Mask Request Nachrichten deaktiviert werden. An dieser Stelle muss darauf<br />
hingewiesen werden, dass durch die Umsetzung dieser Maßnahme die Fehlersuche<br />
erschwert wird.<br />
• IP Source Routing ist eine Technik bei der der Sender die Route <strong>für</strong> ein IP-<br />
Paket zu einem Ziel beeinflussen kann. Da Source Routing <strong>für</strong> Angriffe missbraucht<br />
werden kann, sollte es deaktiviert werden.<br />
• Die Einstellung Proxy ARP sollte abgeschaltet werden, da sie zur Informationsgewinnung<br />
über das Netzwerk und zur Durchführung von Denial of Service<br />
Angriffen missbraucht werden kann.<br />
M-<strong>TK</strong>-54 <strong>Sichere</strong>s Routing<br />
Die zwischen den vernetzten Systemen ausgetauschten Routing-Informationen<br />
müssen angemessen geschützt werden38 . Bei der Auswahl des verwendeten Routing-Protokolls<br />
ist darauf zu achten, dass das Protokoll beim Austausch von Routing-Informationen<br />
ein verschlüsseltes Authentisierungsverfahren verwendet, um<br />
die Integrität der Informationen zu schützen. Vergleichbares ist bei allen Routingnahen<br />
dynamischen Mechanismen zu nutzen. Protokolle mit Klartext-<br />
Authentisierung sind in jedem Fall zu vermeiden. Weiterhin ist darauf zu achten,<br />
dass in regelmäßigen Abständen das bei der Authentisierung genutzte Passwort<br />
gewechselt wird.<br />
Eine weitere Möglichkeit zur Erhöhung der <strong>Sicherheit</strong> wird durch die Konfiguration<br />
von Access Control Lists erzielt. Durch diese Maßnahme wird der Austausch<br />
von Routing-Updates auf die definierten IP-Adressen beschränkt.<br />
In einer DMZ sollten keine dynamischen Routing-Protokolle, sondern nur statische<br />
Routen verwendet werden. Falls es einem Angreifer gelingt, Zugriff auf die<br />
in der DMZ ausgetauschten Routing-Informationen zu erlangen, so könnte er daraus<br />
auf die Netzstruktur des internen Netzwerks schließen.<br />
38 Durch die Erzeugung und Einschleusung von manipulierten Routing-Informationen ist es beispielsweise<br />
möglich, gezielt Routing-Tabellen zu manipulieren und somit den Übertragungsweg von Paketen zu verändern.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 131
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
M-<strong>TK</strong>-55 Absicherung von Switch-Ports<br />
Sofern an einem Access-Port keine Zugangskontrolle gemäß Maßnahme M-<strong>TK</strong>-<br />
58 realisiert werden kann, sollten Protokolle wie LLDP-MED (Link Layer Discovery<br />
Protocol - Media Endpoint Discovery) nur in den Fällen aktiviert werden, wo<br />
sie unbedingt benötigt werden. Ansonsten sollte auf derartige Protokolle zwischen<br />
Endgeräten (inklusive IP-Telefonen) und Switches verzichtet werden, da sie keine<br />
Authentisierungsverfahren unterstützen.<br />
Weiterhin sollte ein Schutz vor bewusst durch einen Angreifer in das Netz gesendete<br />
Pakete des Spanning Tree Protocol (STP) aktiviert werden. 39 .<br />
Protokolle, die eine dynamische Aushandlung von VLANs gestatten (z. B. VLAN<br />
Trunking Protocol, VTP), sollten möglichst nicht verwendet werden.<br />
M-<strong>TK</strong>-56 Absicherung der DHCP-Nutzung<br />
Funktionen zur Blockierung von DHCP-basierten Angriffen (oft als DHCP Snooping<br />
bezeichnet), die inzwischen von vielen Herstellern angeboten werden, sollten<br />
auf den Switches aktiviert werden40 .<br />
M-<strong>TK</strong>-57 Quality of Service im Netzwerk<br />
Zur Vermeidung einer punktuellen Überlastung von Verbindungen oder Netzressourcen<br />
sollte generell <strong>für</strong> das LAN eine ausreichende Dimensionierung der<br />
Netz-Komponenten vorgesehen werden.<br />
Beim Einsatz von VoIP über ein WAN sollte bei der Auswahl eines Providers<br />
darauf geachtet werden, dass der Provider mit seiner Technik in der Lage ist Service-Klassen<br />
zu unterstützen41 . Es sollte weiterhin vertraglich fixiert werden, dass<br />
die Sprachkommunikation immer in der höchsten Service-Klasse stattfindet.<br />
Beschreibungen einzelner Techniken zur Realisierung von QoS findet man in der<br />
Maßnahme M 5.136 „Dienstgüte und Netzmanagement bei VoIP“ der IT-<br />
Grundschutz-Kataloge.<br />
M-<strong>TK</strong>-58 Zugangskontrolle zum Netzwerk<br />
Der LAN-Anschluss <strong>für</strong> VoIP-Endgeräte sollte bei erhöhtem Schutzbedarf durch<br />
eine Netzzugangskontrolle abgesichert werden. Für Anschlüsse in unübersichtlichen<br />
Umgebungen oder in Bereichen mit erhöhtem Publikumsverkehr (z. B. Be-<br />
39 Bei diesem Angriff sendet ein Angreifer manipulierte BPDUs (Bridge Protocol Data Units), um das Netzwerk<br />
zu stören oder eine Veränderung der Topologie herbeizuführen.<br />
40 Bei diesen Funktionen werden die Ports der Switches in vertrauenswürdige Ports und in nicht vertrauenswürdige<br />
Ports eingeteilt. Antworten auf eine DHCP-Anfrage werden nur auf vertrauenswürdigen Ports<br />
(d. h. auf Ports, über die potentiell ein DHCP Server als erreichbar angenommen wird) gestattet. DHCP-<br />
Antworten auf einem nicht vertrauenswürdigen Port werden verworfen, da angenommen wird, dass an einem<br />
solchen Port nur Clients angeschlossen werden. Weiterhin wird typischerweise ein Schutz vor DHCP<br />
Starvation (siehe Kapitel 0) geboten, indem die maximale Rate von DHCP-Anfragen auf eine vorgegebene<br />
Grenze eingeschränkt werden kann.<br />
41 Diese Maßnahme ist im Rahmen des verfügbaren Marktangebots anzuwenden.<br />
132 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
sprechungsräumen oder öffentlich zugänglichen Räumen, etwa in Lobbys) muss<br />
eine Netzzugangskontrolle vorgesehen werden.<br />
Wenn eine Netzzugangskontrolle verwendet werden soll, muss bei erhöhtem<br />
Schutzbedarf als Mechanismus zur Netzzugangskontrolle IEEE 802.1X verwendet<br />
werden (siehe Kapitel 7.1). Dabei ist die Verwendung von EAP-TLS zu bevorzugen<br />
und EAP-MD5 möglichst zu vermeiden. Eine MAC-Adress-basierte Zugangskontrolle<br />
kommt <strong>für</strong> den erhöhten Schutzbedarf nicht in Frage.<br />
M-<strong>TK</strong>-59 MAC Security im Anschlussbereich <strong>für</strong> Endgeräte<br />
Der Einsatz einer Netzzugangskontrolle gemäß Maßnahme M-<strong>TK</strong>-58 sichert nicht<br />
zu, dass die Pakete auch tatsächlich von dem Endgerät stammen, das sich authentisiert<br />
hat. Wenn keine Ende-zu-Ende-Verschlüsselung gemäß Maßnahme 0 eingesetzt<br />
werden kann, muss die Kommunikation zwischen Endgerät und dem<br />
Switch in der Infrastruktur, an den das Endgerät angeschlossen ist (Access<br />
Switch), anderweitig abgesichert werden. In diesem Fall kann - sofern technisch<br />
möglich - eine Verschlüsselung, Authentisierung und Integritätsprüfung der Pakete<br />
gemäß IEEE 802.1AE eingesetzt werden. Das hierzu erforderliche Schlüsselmanagement<br />
sollte über IEEE 802.1af erfolgen. Basis <strong>für</strong> IEEE 802.1af ist IEEE<br />
802.1X und damit EAP. Bei der Auswahl der eingesetzten EAP-Methode (siehe<br />
Maßnahme M-<strong>TK</strong>-58) muss darauf geachtet werden, dass die Methode auch die<br />
Ableitung von Schlüsselmaterial im Rahmen der Authentisierung unterstützt. Dies<br />
ist beispielsweise bei EAP-TLS und EAP-FAST der Fall.<br />
M-<strong>TK</strong>-60 Netztrennung <strong>für</strong> VoIP<br />
Etliche Gefährdungen <strong>für</strong> VoIP resultieren aus der Tatsache, dass mit einem IP-<br />
Netz eine Kommunikationsbasis genutzt wird, die auch von anderen Anwendungen<br />
genutzt werden kann und wegen der Offenheit der TCP/IP-Protokolle<br />
einer Vielzahl von Angriffsformen ausgesetzt ist.<br />
Für den erhöhten Schutzbedarf stellt eine Separierung der VoIP-Geräte (IP-<br />
Telefone, IP-PBX usw.) und ihrer Kommunikation in eine VoIP-<strong>Sicherheit</strong>szone,<br />
d. h. in eigene (Teil-)Netze, eine Möglichkeit dar, derartige Gefährdungen zu entschärfen.<br />
In diesem Sinn sind je nach dem im konkreten Fall akzeptablen Restrisiko<br />
folgende Elemente in der <strong>Sicherheit</strong>sarchitektur zu berücksichtigen:<br />
• Getrennte VLANs <strong>für</strong> VoIP<br />
Diese in ihrer Wirksamkeit bezüglich <strong>Sicherheit</strong> schwache Maßnahme ist bei<br />
erhöhtem Schutzbedarf als einfaches Grundelement der Netztrennung anzusehen<br />
und ist gezielt durch weitere Ansätze zu ergänzen.<br />
• Netzzugangskontrolle und dynamische Zuordnung eines Ports zu einem<br />
VLAN<br />
In vielen Fällen erfolgt der Anschluss von VoIP-Geräten und anderen Endgeräten<br />
(z. B. PCs), die nicht zur VoIP-<strong>Sicherheit</strong>szone gehören, an benachbarte<br />
Netzwerkports, d. h. es ist keine geografische Trennung der Nutzergruppen<br />
möglich. Es muss trotzdem ausgeschlossen werden, dass ein<br />
Endgerät, das unberechtigterweise an einen Switch Port der VoIP-<br />
<strong>Sicherheit</strong>szone angeschlossen wird, über diesen Port auf Ressourcen der<br />
<strong>Sicherheit</strong>szone zugreifen kann. Eine effektive Netztrennung erfordert also<br />
meist eine Netzzugangskontrolle gemäß Maßnahme M-<strong>TK</strong>-58. Idealerweise<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 133
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
werden dabei die Switches so konfiguriert, dass eine dynamische VLAN-<br />
Zuweisung in Abhängigkeit der Authentisierung erfolgt (siehe Kapitel 7.1.2).<br />
• Logische Trennung auf IP-Ebene<br />
Diese Strukturierungsmaßnahme unterteilt die Clients in separate IP-Netze.<br />
Das <strong>für</strong> VoIP genutzte Teilnetz bzw. verschiedene VoIP-Teilnetze und das<br />
Datennetz erhalten jeweils eigene VLAN-basierte IP-Subnetze. Diese Maßnahme<br />
bildet die Grundlage <strong>für</strong> den Einsatz von <strong>Sicherheit</strong>slösungen, die auf<br />
IP-Routing-Übergängen aufsetzen.<br />
Damit eine Netztrennung <strong>für</strong> VoIP, die auf Layer 2 durch getrennte VLANs<br />
oder durch physikalisch getrennte LANs begonnen wird, wirksam ist, muss<br />
die Netztrennung konsequent auf Layer 3 fortgesetzt werden. Eine logische<br />
Trennung kann hierzu zunächst über Layer 3 Access Control Lists (ALCs),<br />
d. h. über zustandslose Paketfilter, die auf den Layer 3 Switches konfiguriert<br />
werden, erreicht werden. Die Komplexität solcher ACLs und der damit verbundene<br />
Verwaltungsaufwand kann jedoch immens sein. Daher sollten auch<br />
andere Techniken in Betracht gezogen werden.<br />
Zu nennen ist hier insbesondere der Einsatz von virtuellen Routern (Virtual<br />
Routing and Forwarding, VRF). Virtuelle Router waren in der Vergangenheit<br />
primär in Provider-Netzen <strong>für</strong> den Aufbau von VPNs auf Basis von Multi<br />
Protocol Label Switching (MPLS) eingesetzt worden. Inzwischen haben mehrere<br />
Netzwerkausrüster VRF auch in LAN Switches integriert. Einer <strong>Sicherheit</strong>szone<br />
(z. B. VoIP), die vom übrigen Netz getrennt werden soll, wird dabei<br />
in den betreffenden Layer 3 Switches eine eigene VRF zugeordnet. Die Vernetzung<br />
der VRF-Instanzen untereinander erfolgt durch VLANs (siehe<br />
Abbildung 31) oder bei nicht zusammenhängenden <strong>Sicherheit</strong>szonen über einen<br />
Tunnelmechanismus wie Generic Routing Encapsulation (GRE).<br />
• Absicherung der Übergänge zum Datennetz<br />
Falls <strong>für</strong> VoIP eine Netztrennung vorgenommen wird, erfolgt dennoch häufig<br />
eine Kopplung zur IP-Infrastruktur des Datennetzes. Auf diese Weise sollen<br />
zur Kostenreduzierung im Datennetz bereitgestellte Dienste und Anwendungslösungen<br />
durch die VoIP-Geräte mitgenutzt werden können. Dies<br />
beinhaltet vor allem die folgenden Punkte:<br />
• Versorgung der IP-Telefone mit einer IP-Konfiguration mittels DHCP<br />
• Netz- und Systemmanagement<br />
• Authentisierung<br />
Die Absicherung derartiger Kommunikationsbeziehungen ist am effizientesten<br />
mit einer Firewall-Funktionalität möglich. Der Aufwand <strong>für</strong> Installation,<br />
Konfiguration und Betrieb (Log-Auswertung usw.) einer solchen Firewall-<br />
Lösung mit entsprechenden Regeln <strong>für</strong> die genannten Kommunikationsbeziehungen<br />
ist als hoch einzustufen, d. h. dieser Ansatz ist sinnvollerweise<br />
dem erhöhten Schutzbedarf vorbehalten.<br />
134 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Abbildung 31: Beispiel <strong>für</strong> den Aufbau einer VoIP-<strong>Sicherheit</strong>szone durch logische Netztrennung<br />
• Physikalische Netztrennung<br />
Je nach aktuellem Schutzbedarf und der Abwägung zwischen akzeptablem<br />
Restrisiko und Verhältnismäßigkeit des Aufwands sind verschiedene Stufen<br />
der Trennung denkbar:<br />
• eigene Access-Switches <strong>für</strong> VoIP-Telefone<br />
• eigene physikalische Infrastruktur bis zum zentralen Gebäudeverteiler<br />
• vollständig eigenes Telefonienetz, zentrale Kopplung zum Datennetz<br />
Maximale physikalische Netztrennung bietet sich im Wesentlichen <strong>für</strong> Telefone<br />
an, die hinsichtlich Verfügbarkeit einen erhöhten Schutzbedarf auf-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 135
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
weisen (z. B. Notruf-Telefone) und daher vor DoS-Attacken besonders geschützt<br />
werden sollen, bzw. <strong>für</strong> Telefone, die von Personen mit bezüglich<br />
Vertraulichkeit und Datenschutz besonders kritischem Aufgabenbereich genutzt<br />
werden. Die starke physikalische Trennung minimiert Synergieeffekte<br />
durch die Nutzung gleicher Infrastrukturen <strong>für</strong> Telefonie und Datenverarbeitung<br />
und geht damit zu Lasten der Wirtschaftlichkeit einer VoIP-<br />
Einführung.<br />
M-<strong>TK</strong>-61 Angemessene Verfügbarkeit des LAN <strong>für</strong> die Verwendung von VoIP<br />
Das LAN ist <strong>für</strong> die Verwendung von VoIP im Rahmen des Möglichen hochverfügbar<br />
auszulegen. Hierunter fallen die folgenden Einzelmaßnahmen:<br />
• Vermeidung von Single Points of Failure<br />
Aktive Komponenten sollten redundant ausgelegt werden, insbesondere ist<br />
diese Maßnahme <strong>für</strong> den Backbone vorzusehen.<br />
• Strukturierte Kabelführung<br />
Zur Kabelführung gelten die allgemeinen in Maßnahme M-<strong>TK</strong>-140 beschriebenen<br />
Einzelmaßnahmen.<br />
• Wegeredundanz<br />
Durch die redundante Auslegung der Kabelstrecken zwischen wichtigen<br />
Netzwerk-Komponenten kann im Falle eines Ausfalls eines Kabels auf die<br />
redundante Strecke ausgewichen werden (siehe Maßnahme M-<strong>TK</strong>-141).<br />
• Modulredundanz<br />
Module, wie beispielsweise Netzteile von aktiven Komponenten, sollten im<br />
Sinne der Notfallvorsorge redundant ausgelegt werden. Hierdurch werden<br />
längere Ausfallzeiten verhindert.<br />
• Permanent-Überwachung<br />
Alle aktiven Netzwerk-Komponenten sollten in ein zentrales Netz- und System-Management<br />
integriert werden, um eine permanente Überwachung sicherzustellen.<br />
Das System sollte zusätzlich über eine Alarmierungsfunktion<br />
verfügen, welches bei der Unter- bzw. Überschreitung von definierten<br />
Schwellwerten festgelegte Aktionen ausführt.<br />
M-<strong>TK</strong>-62 Angemessene Verfügbarkeit der vom VoIP-System genutzten Netzdienste<br />
Die vom VoIP-System genutzten Netzdienste, wie z. B. DHCP, DNS, RADIUS<br />
müssen entsprechend redundant ausgelegt werden. Des Weiteren ist eine geeignete<br />
Notfallvorsorge sicherzustellen (siehe Maßnahme M-<strong>TK</strong>-74). Unter diesen<br />
Punkt fällt beispielsweise, dass die Konfigurationen der Dienste regelmäßig<br />
gesichert werden, um in kurzer Zeit ein Ersatz-System bereitstellen zu können.<br />
M-<strong>TK</strong>-63 Angemessene Verfügbarkeit der Stromversorgung <strong>für</strong> IP-Telefone<br />
Die Stromversorgung von IP-Telefonen erfolgt heutzutage häufig über Power<br />
over Ethernet (PoE) nach IEEE 802.3af (siehe [IEEE05]). Dabei ist zu beachten,<br />
dass <strong>für</strong> eine den Verfügbarkeitsanforderungen angemessene Notversorgung ge-<br />
136 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
nügend Kapazität durch eine Unterbrechungsfreie Stromversorgung (USV) vorgehalten<br />
wird.<br />
Bei der Planung der Stromversorgung muss auch eine spätere Erweiterung des<br />
VoIP-Systems berücksichtigt werden. Neben einer steigenden Anzahl von Endgeräten<br />
kann durch leistungsfähigere Endgeräte (z. B. mit größerem höher auflösendem<br />
Farb-Display) ein höherer Strombedarf entstehen42 .<br />
Werden IP-Telefone konventionell an das Stromnetz angeschlossen, muss eine<br />
genügende Anzahl von Steckdosen mit USV eingeplant werden.<br />
4.2.4 Netz- und Systemmanagement<br />
M-<strong>TK</strong>-64 <strong>Sichere</strong> Administration des Telefonie-Servers<br />
Administrationszugriffe auf Server des VoIP-Systems müssen<br />
durch <strong>Sicherheit</strong>smechanismen angemessen geschützt<br />
werden. Hierzu sind die Maßnahmen M-<strong>TK</strong>-142 bis M-<br />
<strong>TK</strong>-145 sowie Maßnahme M-<strong>TK</strong>-149 umzusetzen. Dabei ist auch zu beachten,<br />
dass auf Telefonie-Servern personenbezogene Daten verarbeitet und gespeichert<br />
werden, die entsprechend vor einem unberechtigten Zugriff geschützt werden<br />
müssen.<br />
Bei Telefonie-Servern ist allgemein das <strong>Sicherheit</strong>sziel Verfügbarkeit sehr hoch<br />
zu werten. Telefonie-Server müssen vor schadenstiftender Software geschützt<br />
werden (siehe Maßnahme M-<strong>TK</strong>-147). Dies gilt insbesondere bei Verwendung<br />
von Standard-Betriebssystemen. <strong>Sicherheit</strong>s-Patches und Patches zur Stabilisierung<br />
der Software sind gleich zu priorisieren. Generell sind geeignete Methoden<br />
<strong>für</strong> die Datensicherung und das Patch-Management der Telefonie-Server einzusetzen<br />
(siehe Maßnahmen M-<strong>TK</strong>-146 und M-<strong>TK</strong>-148). Dabei muss beachtet<br />
werden, dass <strong>für</strong> Telefonie-Server oft keine Wartungsfenster mit einer Komplettabschaltung<br />
der Server (und damit des Telefoniedienstes) zur Verfügung stehen.<br />
Changes und Wiederherstellungsmaßnahmen müssen während des Betriebs<br />
durchgeführt werden.<br />
Hinweis: Bei der Verwaltung von Telefonie-Servern muss beachtet werden, dass<br />
die Systeme teilweise als Appliance bzw. als Bündel aus Betriebssystem und Anwendung<br />
geliefert werden. In dieser Situation ist mit herstellerspezifischen Besonderheiten<br />
und Einschränkungen hinsichtlich der folgenden Punkte zu rechnen:<br />
• Zugriffsmöglichkeiten auf die Systemkonfiguration<br />
• Methode <strong>für</strong> die Datensicherung<br />
• Installation von Patches und Virenschutzsoftware<br />
42 Für Geräte mit einer höheren Leistungsaufnahme (mehr als 12,95 Watt) ist der Standard IEEE 802.3at<br />
vorgesehen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 137
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
M-<strong>TK</strong>-65 <strong>Sichere</strong> Administration von PSTN-Gateways<br />
Zur sicheren Administration eines PSTN-Gateways sollten die allgemeinen Maßnahmen<br />
M-<strong>TK</strong>-142 bis M-<strong>TK</strong>-145 sowie Maßnahme M-<strong>TK</strong>-149 umgesetzt werden.<br />
Falls ein Router als PSTN-Gateway verwendet wird, sollte bei erhöhtem Schutzbedarf<br />
der administrative Zugriff nur nach einer zentralen Authentisierung (etwa<br />
über RADIUS) möglich sein.<br />
Bei PSTN-Gateways ist wie bei Telefonie-Servern allgemein das <strong>Sicherheit</strong>sziel<br />
Verfügbarkeit sehr hoch zu werten. PSTN-Gateways müssen vor schadenstiftender<br />
Software geschützt werden (siehe Maßnahme M-<strong>TK</strong>-147). Dies gilt insbesondere<br />
bei Verwendung von Standard-Betriebssystemen. <strong>Sicherheit</strong>s-Patches<br />
und Patches zur Stabilisierung der Software sind gleich zu priorisieren. Generell<br />
sind geeignete Methoden <strong>für</strong> die Datensicherung und das Patch-Management der<br />
PSTN-Gateways einzusetzen (siehe Maßnahmen M-<strong>TK</strong>-146 und M-<strong>TK</strong>-148). Dabei<br />
muss beachtet werden, dass <strong>für</strong> PSTN-Gateways oft keine Wartungsfenster<br />
mit einer Komplettabschaltung der Systeme (und damit des Telefoniedienstes) zur<br />
Verfügung stehen. Changes und Wiederherstellungsmaßnahmen müssen während<br />
des Betriebs durchgeführt werden.<br />
Hinweis: Bei der Verwaltung von PSTN-Gateways muss beachtet werden, dass<br />
die Systeme oft als Appliance geliefert werden. In dieser Situation ist mit herstellerspezifischen<br />
Besonderheiten und Einschränkungen hinsichtlich der folgenden<br />
Punkte zu rechnen:<br />
• Zugriffsmöglichkeiten auf die Systemkonfiguration<br />
• Methode <strong>für</strong> die Datensicherung<br />
• Installation von Patches und Virenschutzsoftware<br />
M-<strong>TK</strong>-66 <strong>Sichere</strong> Administration von Anwendungs- und Management-Servern<br />
Für die sichere Administration von Anwendungs- und Management-Servern sind<br />
die allgemeinen Maßnahmen M-<strong>TK</strong>-142 bis M-<strong>TK</strong>-146 sowie M-<strong>TK</strong>-148 und M-<br />
<strong>TK</strong>-149 angemessen umzusetzen.<br />
Bei Applikations-Servern mit VoIP-Mehrwertdiensten gilt meistens „<strong>Sicherheit</strong><br />
vor Verfügbarkeit“. Beispiel: Eine vorübergehend nicht verfügbare Voice-Mail-<br />
Funktionalität ist besser als ein nicht sicherer (kompromittierbarer) Voice-Mail-<br />
Dienst. Anwendungs- und Management-Servern müssen vor schadenstiftender<br />
Software geschützt werden (siehe Maßnahme M-<strong>TK</strong>-147). Dies gilt insbesondere<br />
bei Verwendung von Standard-Betriebssystemen.<br />
M-<strong>TK</strong>-67 <strong>Sichere</strong> Administration von Abrechnungs- und Gebührenerfassungssystemen<br />
Viele Unternehmen oder Behörden, die VoIP verwenden, setzen spezielle Systeme<br />
zur Abrechnung und Gebührenerfassung <strong>für</strong> die anfallenden Telefonate ein.<br />
Die Administration von Abrechnungs- und Gebührenerfassungssystemen muss<br />
gemäß den allgemeinen Maßnahmen M-<strong>TK</strong>-142 bis M-<strong>TK</strong>-146 sowie M-<strong>TK</strong>-148<br />
und M-<strong>TK</strong>-149 abgesichert werden.<br />
Hier muss ergänzend berücksichtigt werden, dass personenbezogene Daten von<br />
diesen Systemen verarbeitet und gespeichert werden. Der Schutz dieser Daten<br />
138 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
muss bei der Absicherung der Zugangswege zu den Systemen besonders berücksichtigt<br />
werden. Dies beinhaltet die Kontrolle (und Einschränkung) des Zugangs<br />
zu diesen Daten sowie die Verschlüsselung dieser Daten beim Transport über das<br />
Datennetz und auf den jeweiligen Datenträgern. Neben der Vertraulichkeit muss<br />
die Integrität der Abrechnungsdaten besonders geschützt werden. Dies kann beispielsweise<br />
durch den Einsatz von Signaturverfahren erfolgen.<br />
M-<strong>TK</strong>-68 <strong>Sichere</strong> Verwaltung von Teilnehmerprofilen<br />
Die auf einem Telefonie-Server gespeicherten Teilnehmerprofile müssen auf einem<br />
geeigneten Backup-Server gesichert werden. Hierzu sollte die Maßnahme M-<br />
<strong>TK</strong>-146 umgesetzt werden.<br />
Da diese Teilnehmerprofile personenbezogene Daten enthalten können, ist bei der<br />
Speicherung der Daten auf eine entsprechende Absicherung zu achten. Dies beinhaltet<br />
die Kontrolle (und Einschränkung) des Zugangs zu diesen Daten sowie<br />
die Verschlüsselung dieser Daten beim Transport über das Datennetz und möglichst<br />
auf den jeweiligen Datenträgern.<br />
M-<strong>TK</strong>-69 <strong>Sichere</strong> Administration von Endgeräten<br />
Der administrative Zugriff (lokal und über das Netzwerk) auf Endgeräte muss<br />
durch eine angemessene Authentisierung abgesichert werden. Die Authentisierung<br />
muss mindestens über Nutzername und Passwort erfolgen, wobei eine entsprechende<br />
Passwortrichtlinie konsequent umzusetzen ist. Siehe Maßnahme M-<br />
<strong>TK</strong>-50 <strong>für</strong> die Absicherung des lokalen Zugriffs. Für die Administration eines<br />
Endgeräts über das Netzwerk dürfen ausschließlich sichere Protokolle wie Secure<br />
Shell (SSHv2), HTTPS, Secure Copy (SCP) und SNMPv3 verwendet werden.<br />
Nach einer bestimmten Zeit der Inaktivität sollten dabei Administrationssitzungen<br />
soweit möglich automatisch geschlossen werden.<br />
M-<strong>TK</strong>-70 <strong>Sichere</strong> Administration von Netzkomponenten<br />
Generell gelten <strong>für</strong> die sichere Administration von Netzkomponenten (Router und<br />
Switches) die Anforderungen der IT-Grundschutz-Kataloge43 . Dabei sind im Wesentlichen<br />
die allgemeinen Maßnahmen M-<strong>TK</strong>-142 bis M-<strong>TK</strong>-145 sowie Maßnahme<br />
M-<strong>TK</strong>-149 sinngemäß auf Netzkomponenten bezogen umzusetzen. Weiterhin<br />
sind auch <strong>für</strong> Netzkomponenten geeignete Methoden <strong>für</strong> die<br />
Datensicherung und das Patch-Management einzusetzen (sinngemäße Anwendung<br />
der Maßnahmen M-<strong>TK</strong>-146 und M-<strong>TK</strong>-148)<br />
M-<strong>TK</strong>-71 Überwachung der Komponenten des VoIP-Systems<br />
Die Komponenten des VoIP-Systems (insbesondere Telefonie-Server und PSTN-<br />
Gateways) müssen kontinuierlich hinsichtlich ihrer Verfügbarkeit überwacht werden.<br />
Hierzu ist Maßnahme M-<strong>TK</strong>-150 umzusetzen.<br />
Bei einem erhöhten Schutzbedarf muss zusätzlich die Qualität der Übertragung<br />
der Medienströme (z. B. der Sprachübertragung) zentral überwacht werden. Dies<br />
43 Siehe B 3.302 „Router und Switches“ und in diesem Baustein speziell die Maßnahme M 4.204 „<strong>Sichere</strong><br />
Administration von Routern und Switches“.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 139
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
beinhaltet insbesondere die Messung und Aufzeichnung von Delay und MOS-<br />
Wert 44 . Weiterhin sollten Statistiken bzgl. der Verteilung erfolgreicher und fehlgeschlagener<br />
(inklusive abgebrochener) Verbindungen erfasst werden.<br />
Bei Überschreiten von <strong>für</strong> die Installation individuell festgelegten (und am<br />
Schutzbedarf orientierten) Schwellwerten muss ein Alarm ausgelöst werden.<br />
4.2.5 Übergreifende Aspekte<br />
M-<strong>TK</strong>-72 Produktauswahl von VoIP-Lösungen unter <strong>Sicherheit</strong>sgesichtspunkten<br />
Telefonie-Server basieren oft auf Standardbetriebssystemen<br />
mit den einschlägig bekannten <strong>Sicherheit</strong>sschwächen<br />
und -lücken.<br />
Die IP-Telefone können das <strong>Sicherheit</strong>sniveau des IP-<br />
Netzes bzw. der VoIP-Gesamtlösung reduzieren. Um dies zu vermeiden, sind<br />
Möglichkeiten zur gezielten Konfiguration der Telefone gemäß <strong>Sicherheit</strong>sgesichtspunkten<br />
notwendig.<br />
Im Sinne dieser Gesichtspunkte werden über eine gezielte Produktauswahl die<br />
Voraussetzungen <strong>für</strong> das erzielbare <strong>Sicherheit</strong>sniveau von VoIP geschaffen. Folgende<br />
Punkte sind dabei zu beachten:<br />
• Auswahl des Betriebssystems des Telefonie-Servers unter <strong>Sicherheit</strong>saspekten<br />
Bei einem <strong>für</strong> erhöhten Schutzbedarf geeigneten Produkt muss es möglich<br />
sein, das System durch gezielte Konfiguration auf ein Minimalsystem zu reduzieren,<br />
bei dem nur die konkret <strong>für</strong> VoIP benötigten Funktionalitäten aktiviert<br />
sind. Nach Möglichkeit sind Betriebssysteme zu wählen, die nicht bevorzugtes<br />
Ziel <strong>für</strong> schadenstiftende Software sind.<br />
• Eine <strong>für</strong> das Produkt bzw. eine <strong>für</strong> die im Produkt eingesetzte Plattform vorliegende<br />
<strong>Sicherheit</strong>szertifizierung ist allgemein positiv zu bewerten und wird<br />
<strong>für</strong> den erhöhten Schutzbedarf gefordert.<br />
Dabei ist darauf zu achten, dass die Zertifizierung eine Basis hat, die eine geeignete<br />
Vergleichbarkeit bzw. Bewertbarkeit des mit dem Zertifikat konstatierten<br />
<strong>Sicherheit</strong>spotenzials gewährleistet. Optimal ist eine Zertifizierung<br />
nach Common Criteria45 . Ein rein herstellereigenes Prüfschema ist unzulänglich<br />
<strong>für</strong> eine ausreichende Aussagekraft des Zertifikats.<br />
44 MOS ist eine Abkürzung <strong>für</strong> Mean Opinion Score und spezifiziert eine Qualitätsskala <strong>für</strong> die Beurteilung<br />
der Sprachqualität.<br />
45 Common Criteria ist als internationaler Standard spezifiziert in ISO/IEC15408:2005 (Common Criteria<br />
Version 2.3) bzw. ISO/IEC15408:2006 (Common Criteria 3.1).<br />
140 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Für VoIP bei erhöhtem Schutzbedarf sollte die Vertrauensstufe EAL4 46 oder<br />
besser EAL4+ gemäß Common Criteria-Definition erreicht werden 47 .<br />
Stehen nach Funktionalitäten ansonsten vergleichbar geeignete Produktalternativen<br />
<strong>für</strong> die geplante VoIP-Lösung zur Verfügung, so sollte dieser Aspekt<br />
gezielt als Auswahlkriterium herangezogen werden.<br />
M-<strong>TK</strong>-73 Datensicherung <strong>für</strong> die Elemente des VoIP-Systems<br />
Konfigurationen und Anwendungsdaten müssen gesichert werden. Hierzu muss<br />
ein entsprechendes Konzept erstellt werden und mit den allgemeinen Konzepten<br />
der Datensicherung <strong>für</strong> Server und Netzkomponenten abgestimmt werden.<br />
Für die Sicherung von Systeminstallationen und Systemkonfigurationen können<br />
Images, Snapshots, Software- und Konfigurationssicherung via Datensicherungswerkzeug<br />
oder Kombinationen aus solchen Ansätzen eingesetzt werden. Für die<br />
gewählten Ansätze bzgl. Systeminstallationen und -konfigurationen ist durch entsprechende<br />
Regelungen zum Change-Prozess sicherzustellen, dass nach jeder Änderung<br />
an VoIP-(Teil-)Systemen eine geeignete Aktualisierung erfolgt. Dabei<br />
sind die Aktualisierungen miteinander kombinierter Sicherungsformen so zu gestalten,<br />
dass der Aufwand <strong>für</strong> den Sicherungsvorgang vertretbar bleibt, ohne<br />
jedoch die Zeit <strong>für</strong> eine grundlegende Systemwiederherstellung dadurch signifikant<br />
zu verlängern.<br />
Beispiel: Wird <strong>für</strong> ein System mit einer Kombination aus Image und automatischer<br />
Nachinstallation von Patches gearbeitet, so kann eine Reihe von Patch-<br />
Vorgängen übersichtlichen Ausmaßes erfolgen, ehe ein neues Image erstellt wird.<br />
Für Anwendungsdaten wie Kontaktinformationen oder Abrechnungsdaten zur <strong>Anlagen</strong>nutzung<br />
erfolgt die Datensicherung mit einem geeigneten Werkzeug. Wichtig<br />
ist, dass <strong>für</strong> die Sicherung von Anwendungsdaten eine Planung der Sicherungszeitpunkte<br />
und Formen durchgeführt wird, die den Anforderungen an<br />
maximal tolerablen Datenverlust gerecht wird. Die entsprechenden Festlegungen<br />
sind in einen Gesamt-Datensicherungsplan des zentralen IT-Bereichs aufzunehmen.<br />
Wesentlich ist, dass in jedem Fall mit Hilfe der getroffenen Vorkehrungen der aktuelle<br />
Zustand vor Eintreten eines Notfalls wiederhergestellt werden kann (siehe<br />
Maßnahme M-<strong>TK</strong>-74).<br />
M-<strong>TK</strong>-74 Notfallvorsorge <strong>für</strong> das VoIP-System<br />
Telefonie gehört in jeder Unternehmung zu den wichtigsten IT-Diensten. Ein vollständiger<br />
Ausfall ist nicht hinzunehmen:<br />
• Mindestens das Absetzen von Notrufen muss jederzeit möglich sein.<br />
46 Die Common-Criteria-Spezifikation sieht verschiedene Vertrauenswürdigkeitsstufen (Evaluation Assurance<br />
Level) EAL1 (niedrigste Stufe) bis EAL 7 (höchste Stufe) vor, die mit einem Produkt erreicht werden können.<br />
47 Die Vorgänger der Common Criteria sehen ebenfalls verschiedene Stufen der Vertrauenswürdigkeit vor,<br />
hier sollte eine äquivalente Stufe erreicht werden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 141
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Bei schadenstiftenden Ereignissen, die im IT-Bereich zu Ausfällen mit Notfallausmaß<br />
führen können, müssen während der Notfallbehandlung Telefonate<br />
mit Externen geführt werden können (z. B. Support-Firmen).<br />
• Die Erreichbarkeit <strong>für</strong> Kunden oder Partner per Telefon ist wichtig <strong>für</strong> die<br />
Akzeptanz der angebotenen Leistungen.<br />
In vielen Fällen umfasst aus solchen Gründen erhöhter Schutzbedarf <strong>für</strong> VoIP-<br />
Lösungen insbesondere erhöhten Schutzbedarf bzgl. Verfügbarkeit. Einer geeigneten<br />
Notfallvorsorge <strong>für</strong> VoIP-Lösungen kommt daher <strong>für</strong> die Prozesse der<br />
Unternehmung eine hohe Bedeutung zu.<br />
Eine angemessene Notfallvorsorge <strong>für</strong> VoIP-Lösungen setzt sich dabei aus verschiedenen<br />
Komponenten zusammen:<br />
• Durchführung von Maßnahmen zur Vorbereitung einer schnellen Wiederherstellung<br />
von Systemkomponenten<br />
Hier sind, wie in Maßnahme M-<strong>TK</strong>-73 beschrieben, je nach Elementen der<br />
VoIP-Gesamtlösung unterschiedliche Lösungen zu prüfen und aktuell zu halten.<br />
Für alle so getroffenen Vorkehrungen zur schnellen Systemwiederherstellung<br />
ist in regelmäßigen Abständen zu prüfen, ob diese auch tatsächlich als Basis<br />
<strong>für</strong> eine Systemwiederherstellung funktionsfähig sind. Typische Prüfungen<br />
dieser Art sind z. B.:<br />
• Prüfung von Datenträgern mit System- oder Datensicherungen auf Lesbarkeit<br />
• Prüfung von Images auf Lauffähigkeit nach Probeinstallation auf Testsystemen<br />
oder vergleichbarer Ersatzhardware.<br />
Durchgeführte Tests und Testergebnisse sind zu dokumentieren.<br />
• Festlegung von Sofortmaßnahmen <strong>für</strong> typische Schadenssituationen<br />
Eine typische Sofortmaßnahme dieser Art kann darin bestehen, <strong>für</strong> Notfälle<br />
festgelegte Sperrungen des Zugangs zur Telefonie <strong>für</strong> das Gros der Apparate<br />
zu aktivieren, und so die Nutzung der verbliebenen <strong>Anlagen</strong>kapazitäten auf<br />
festgelegte, im Notfall wichtige Arbeitsplätze zu konzentrieren.<br />
Weitere typische Sofortmaßnahmen ergeben sich <strong>für</strong> <strong>Sicherheit</strong>svorfälle im<br />
Bereich der VoIP-Lösung, deren Ausbreitung verhindert werden soll (z. B.<br />
Abkopplung eines stark gestörten VoIP-Systems vom produktiven Netz bei<br />
Virenbefall als erkannter Ursache).<br />
• Vorbereitung von Notbetriebsformen<br />
Zu bevorzugen sind separate Anschlüsse an das PSTN, parallel zur VoIP-<br />
Systemlösung. Solche Anschlüsse sichern die Möglichkeit, Notrufe auch<br />
dann absetzen zu können, wenn die VoIP-Lösung grundlegend gestört sein<br />
sollte. Bei der Planung dieser Notbetriebsform ist darauf zu achten, dass ausreichende<br />
Direktanschlüsse dieser Art geschaffen werden, um an allen notwendigen<br />
Stellen eines betrachteten Standorts Notrufmöglichkeiten zu erhalten<br />
(Beispiele: Alarmzentrale, Werksarzt, vorgesehener Raum <strong>für</strong><br />
Krisenstab, …).<br />
142 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Eine weitere Notbetriebslösung kann darin bestehen, dass zum Tätigen wichtiger<br />
Anrufe sowie zur Koordination der Notfallbehandlung Mobiltelefone an<br />
ausgewählte Nutzer ausgegeben werden. Diese Nutzer müssen im Rahmen<br />
der Notfallvorsorge festgelegt werden. Diese Festlegungen sind in einem Notfallplan<br />
zur VoIP-Lösung zu dokumentieren, zusammen mit einer Vorschrift,<br />
wie der Prozess zur Verteilung der Mobiltelefone verläuft und über welche<br />
Kontakte er anzustoßen ist. Als Lösung <strong>für</strong> Notruftelefone ist diese Notbetriebsform<br />
allerdings eher ungeeignet, da die Verfügbarkeit von Mobilfunknetzen<br />
phasenweise deutlich unter der des PSTN-Festnetzes liegt.<br />
• Festlegen und Bereithalten von Basishardware <strong>für</strong> Ausweichlösungen<br />
Für bestimmte Elemente der VoIP-Gesamtlösung kann es sinnvoll sein, eine<br />
unvorhergesehen lange Wartezeit auf gleichwertige Ersatzhardware zu<br />
überbrücken. Hierzu wird auf einer Ausweichhardware eine der vom Notfall<br />
betroffenen Teillösung funktional gleichwertige Installation betriebsfertig<br />
gemacht. Im Vergleich zum Normalbetriebszustand weist eine solche Ausweichlösung<br />
häufig Nachteile bzgl. Performance bzw. Redundanz auf. Typische<br />
Beispiele als Ausweichbasis sind (ressourcenschwächere) Testsysteme<br />
oder als Ausweichplattform <strong>für</strong> verschiedenste Systeme vorgehaltene Ersatzhardware.<br />
Sofern VoIP-Teilsysteme in Form virtueller Systeme realisiert<br />
sind, kann eine Ausweichlösung auch darin bestehen, eine <strong>für</strong> andere IT-<br />
Systeme vorhandene Virtualisierungsbasis als vorübergehendes Gastsystem<br />
zu nutzen.<br />
Alle Ausweichlösungen haben gemeinsam, dass mit ihrer Hilfe nicht der<br />
Normalbetriebszustand erreicht wird, d. h. die Ausweichinstallation kann<br />
nicht dauerhaft bestehen bleiben.<br />
In einem Notfallplan zur VoIP-Lösung ist festzuhalten, welche Ausweichlösungen<br />
in Frage kommen und mit Hilfe welcher Schritte die jeweilige Ausweichlösung<br />
herbeigeführt wird.<br />
• Festlegungen zur Wiederanlaufreihenfolge<br />
Hier ist zum einen die Bestimmung einer geeigneten Wiederanlaufreihenfolge<br />
innerhalb der Komponenten des VoIP-Gesamtsystems zu leisten. Je grundlegender<br />
die Funktionalität eines Teilsystems <strong>für</strong> die Möglichkeit zum Telefonieren<br />
ist, umso früher sollte ein solches Teilsystem wiederhergestellt oder<br />
zumindest durch eine funktionsgleiche Ausweichlösung überbrückt sein.<br />
Insofern sind zunächst alle Teilsysteme bzw. Teilfunktionen der VoIP-<br />
Lösung wiederherzustellen, die notwendig sind, damit Nutzer überhaupt Zugang<br />
zur Telefonie erhalten und Telefongespräche führen können. Erst danach<br />
folgen Mehrwertdienste. Für diese ist eine Wiederanlaufreihenfolge zu<br />
entscheiden nach den Kriterien:<br />
• <strong>Technische</strong> Abhängigkeiten solcher Dienste untereinander<br />
• Bedeutung <strong>für</strong> die Geschäftsprozesse der Unternehmung<br />
• Umfang des von ihrer Verfügbarkeit profitierenden Nutzerkreises<br />
Die VoIP-Lösung darf jedoch nicht isoliert betrachtet werden. Da sie gemeinsam<br />
mit anderen IT-Nutzungsformen dieselbe Netzwerk-Infrastruktur<br />
verwendet und zum Teil auch dieselben Kommunikations-Basisdienste wie<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 143
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
DNS, muss die VoIP-Lösung mit ihren Komponenten in eine übergeordnete<br />
Wiederanlaufplanung eingeordnet werden.<br />
Da auch im Rahmen einer solchen übergreifenden Reihenfolgebetrachtung<br />
die schon <strong>für</strong> VoIP-Mehrwert-Funktionen benannten Kriterien heranzuziehen<br />
sind, bietet sich eine einheitliche Vorgehensweise <strong>für</strong> alle IT-Systeme an. Die<br />
Wiederanlaufreihenfolge <strong>für</strong> VoIP-Lösungskomponenten ergibt sich durch<br />
Einbettung der Betrachtungen zum VoIP-System in die generelle Bestimmung<br />
der Wiederanlaufreihenfolge <strong>für</strong> alle IT-Systeme.<br />
Dabei hat sich in der Praxis gezeigt, dass IT-Gesamtlösungen zu komplex<br />
sind, um alle möglichen Ausfallszenarien vorbereitend durchzuspielen und<br />
hier<strong>für</strong> geeignete Wiederanlauffestlegungen zu treffen. Vielmehr ist eine fallweise<br />
Bestimmung über Prioritätsklassen zu empfehlen: Für alle IT-Systeme<br />
werden zunächst Prioritätsklassen festgelegt, die sich aus den benannten Kriterien<br />
• technische Abhängigkeiten solcher Dienste untereinander<br />
• Bedeutung <strong>für</strong> die Geschäftsprozesse der Unternehmung<br />
• Umfang des von ihrer Verfügbarkeit profitierenden Nutzerkreises<br />
(in dieser Reihenfolge!) ableiten lassen. Alle IT-Systeme, auch die VoIP-<br />
Komponenten, werden im nächsten Schritt der geeigneten Prioritätsklasse zugeordnet.<br />
Die Wiederherstellung wird grundsätzlich in Reihenfolge der<br />
Prioritätsklassen gesteuert (Priorisierung der Wiederherstellungsmaßnahmen).<br />
Sind mehrere Systeme der gleichen Klasse betroffen, so kann parallel an deren<br />
Wiederherstellung gearbeitet werden, soweit keine Ressourcenkonflikte<br />
entstehen. Bei Ressourcenkonflikten (z. B. Zuständigkeit der gleichen Personen<br />
<strong>für</strong> betroffene Systeme gleicher Priorität) werden flexibel je nach Lage<br />
durch leitendes Personal der IT (als Notfallteam) Reihenfolgeentscheidungen<br />
getroffen.<br />
Alle Festlegungen, die im konkreten Notfall zur Bestimmung der Wiederanlaufreihenfolge<br />
führen, sind im Rahmen der Notfallvorsorge vorbereitend<br />
zu dokumentieren (Notfallhandbuch der IT bzw. Notfallplan VoIP-Lösung).<br />
• Abschluss von Support-Verträgen inklusive Notfall-Konditionen<br />
Während „normale“ Wartungsverträge sich auf das Incident Management<br />
konzentrieren, müssen <strong>für</strong> den Notfall besondere Vereinbarungen getroffen<br />
werden. Notfallszenarien können größere Systemschäden beinhalten, die über<br />
das im Incident typische Ausmaß an benötigter Ersatzhardware hinausgehen.<br />
Hier muss <strong>für</strong> Kernsysteme der VoIP-Lösung eine Notfall-spezifische Vertragskomponente<br />
erwogen werden, die eine „Express-Lieferung“ von Ersatzhardware<br />
<strong>für</strong> alle solchen Kernsysteme beinhaltet. Werden solche Vereinbarungen<br />
inklusive der im Notfall notwendigen kurzen Anlieferzeiten<br />
getroffen, so ist dies mit einer entsprechenden Vorhaltung von Hardware<br />
beim Support-Unternehmen verbunden und erhöht entsprechend die Vertragsgebühren.<br />
Alternativ kann in bestimmtem Umfang eine eigene Reserveteilhaltung<br />
<strong>für</strong> solche wichtigen Komponenten erwogen werden, mit Unterbringung<br />
möglichst fern von den durch sie zu ersetzenden produktiven<br />
Komponenten.<br />
144 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Ebenfalls Teil eines Support-Vertrags mit Wirksamkeit auch im Notfall ist<br />
die Sicherung der Option auf Unterstützung durch externen 3rd-Level-<br />
Support. Entsprechende vertragliche Festlegungen stellen sicher, dass bei Bedarf<br />
kurzfristig auf entsprechend kompetentes Personal des Externen zurückgegriffen<br />
werden kann, und nicht erst Verhandlungen über die Konditionen<br />
erfolgen müssen.<br />
• Erstellung eines Notfallplans <strong>für</strong> VoIP-Systeme<br />
Soweit sie nicht aus einem übergeordneten Notfallhandbuch oder ähnlichen<br />
Business Continuity-relevanten Dokumenten hervorgehen, sind alle <strong>für</strong> die<br />
Notfallbehandlung zur VoIP-Lösung relevanten Festlegungen in einem solchen<br />
Notfallplan festzuhalten. Dieser nennt alle vorbereiteten bzw. vorbereitend<br />
festgelegten Sofortmaßnahmen, Ausweichlösungen, Notbetriebsformen<br />
und Schritte zu deren Einleitung, sowie typische Schritte auf dem<br />
Weg zur Wiederherstellung des Normalbetriebs. Ebenfalls enthalten sind<br />
notwendige Kontaktinformationen <strong>für</strong> den Notfall, Festlegungen bzgl. Zuständigkeiten<br />
<strong>für</strong> die Einleitung/Durchführung von Maßnahmen und besondere<br />
Meldepflichten in Notfällen bzgl. der VoIP-Lösung.<br />
• Durchführung von Notfallübungen<br />
Gerade <strong>für</strong> die VoIP-Lösung ist die sichere Beherrschung notwendiger Notfallmaßnahmen<br />
von hoher Bedeutung. Angesichts der hohen Wichtigkeit der<br />
Telefonierfähigkeit gerade auch im Notfall darf keine wertvolle Zeit durch<br />
Unsicherheiten verloren werden. Entsprechend sind typische Maßnahmen regelmäßig<br />
einzuüben. Sofern dies nicht im Rahmen regelmäßig im Betriebsalltag<br />
wiederkehrender Tätigkeiten erfolgt (z. B. Installation zusätzlicher Geräte<br />
mit Hilfe von Images), muss ein Einüben in Form von Notfallübungen erfolgen.<br />
4.3 Hybrid-Systeme<br />
Hybrid-Systeme bieten die Möglichkeit, klassische Telefonie-Endgeräte<br />
(analog oder digital) direkt an die Anlage<br />
anzuschließen und doch schon die VoIP-Technologie zu<br />
nutzen. Entsprechend addieren sich aber auch die Gefährdungen<br />
der beiden in einem solchen System vereinten<br />
<strong>Anlagen</strong>typen „ISDN <strong>TK</strong>-Anlage“ und „VoIP-System“.<br />
Entsprechend sollten insbesondere die <strong>für</strong> ISDN <strong>TK</strong>-<strong>Anlagen</strong> spezifizierten Maßnahmen<br />
konsequent umgesetzt werden. Bei diesen Maßnahmen wurden im Falle einer ISDN <strong>TK</strong>-<br />
Anlage gewisse Abstriche zugelassen, sofern die Anlage noch nicht über neueste Möglichkeiten<br />
der Verwaltung von port- bzw. nutzerbezogenen <strong>Sicherheit</strong>sfestlegungen verfügt.<br />
Erweist sich <strong>für</strong> eine solche, bereits viele Jahre eingesetzte Anlage, das erreichbare <strong>Sicherheit</strong>sniveau<br />
nicht mehr als dem Schutzbedarf angemessen, so muss dies zum Anlass genommen<br />
werden, eine Neubeschaffung zu forcieren.<br />
Im Falle einer Hybrid-Anlage sieht dies anders aus: Einerseits ist es aus betriebswirtschaftlichen<br />
Erwägungen hier oft nicht sinnvoll, mit einer kurzfristigen Ersatzbeschaffung zu<br />
reagieren. Die Anlage befindet sich womöglich noch in der frühen Phase ihres Amortisations-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 145
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
zeitraums. Andererseits sollte, angesichts der VoIP-Unterstützung, die <strong>Anlagen</strong>software so<br />
aktuell sein, dass den Forderungen der formulierten Maßnahmen mit den Mitteln der Anlage<br />
entsprochen werden kann. Ein Fehlen von Einstellmöglichkeiten auf vorhandenen, älteren<br />
Telefonen kann hier als Argument nicht gelten gelassen werden. Es ist bei der Beschaffung<br />
der Hybrid-Anlage darauf zu achten, dass das notwendige <strong>Sicherheit</strong>sniveau erreicht werden<br />
kann.<br />
Im Falle erhöhten Schutzbedarfs <strong>für</strong> die Telefonie ist insofern insbesondere von Hybrid-<br />
Lösungen abzuraten, bei denen eine ältere ISDN-Anlage durch VoIP-Module zur Anbindung<br />
von VoIP-Endgeräten aufgerüstet wird, ohne die notwendigen Funktionalitäten zur Umsetzung<br />
der VoIP-Maßnahmen aufzuweisen.<br />
Spezielle Maßnahmen nur <strong>für</strong> Hybrid-<strong>Anlagen</strong> fallen aus <strong>Sicherheit</strong>sgesichtspunkten nicht an.<br />
Vielmehr gilt es, entsprechend den genutzten Funktionalitäten zur Anbindung von analogen<br />
und digitalen Endgeräten alle relevanten Maßnahmen der Kapitel 4.1 und 4.2 zu berücksichtigen.<br />
Maßstab <strong>für</strong> den Umsetzungsgrad ist der zu erfüllende Schutzbedarf.<br />
In diesem Sinne <strong>für</strong> Hybrid-<strong>Anlagen</strong> in jedem Fall zu erwägende Maßnahmen der beiden<br />
Kataloge 4.1 und 4.2 werden im Folgenden gelistet. Der Maßnahmenkatalog zur Absicherung<br />
von Nutzung und Betrieb von Hybrid-Systemen ist in die folgenden Blöcke aufgeteilt:<br />
• Zentrale Anlage, Server und Anwendungen, siehe Kapitel 4.3.1<br />
• Endgeräte, siehe Kapitel 4.3.2<br />
• Netzwerk, siehe Kapitel 4.3.3<br />
• Netz- und Systemmanagement, siehe Kapitel 4.3.4<br />
• Übergreifende Aspekte, die allgemein <strong>für</strong> Hybrid-Systeme gelten, siehe Kapitel 4.3.5<br />
4.3.1 Zentrale Anlage, Server und Anwendungen<br />
Gerade im Bereich Server und Anwendungen/zentrale Anlage schlägt<br />
sich die Möglichkeit zum gemischten Einsatz der klassischen Technik<br />
und des VoIP-Ansatzes im Umfang der zu treffenden Maßnahmen<br />
wieder. Im Falle des erhöhten Schutzbedarfs ist zu beachten, dass das<br />
erreichte <strong>Sicherheit</strong>sniveau durch diejenige Technologie bestimmt<br />
wird, <strong>für</strong> die der Schutz schwächer ausfällt: Es ist wenig sinnvoll, <strong>für</strong> die VoIP-basierten<br />
Telefone eine maximale Maßnahmenkombination zu ergreifen, wenn andererseits der einer<br />
klassischen ISDN-Anlage vergleichbare Teil nur auf durchschnittlichem Niveau abgesichert<br />
wird. Anders herum ist eine hinsichtlich ISDN-Telefonie wohlgeschützte Anlage in nicht<br />
hinnehmbarer Weise verwundbar, sofern nicht hinsichtlich der IP-Telefone bzw. der Mana<br />
gement-Schnittstelle(n) durch gezielte Maßnahmenwahl vergleichbares Schutzniveau erreicht<br />
wird.<br />
Entsprechend ist aus der folgenden Maßnahmenliste gezielt eine dem Schutzbedarf geeignete<br />
Auswahl zu treffen:<br />
146 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
• M-<strong>TK</strong>-1 Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale<br />
• M-<strong>TK</strong>-2 Schaffung eines zusätzlichen <strong>TK</strong>-Ersatzanschlusses <strong>für</strong> Notrufe<br />
• M-<strong>TK</strong>-3 Katastrophenschaltung<br />
• M-<strong>TK</strong>-4 Erhöhter Zutrittschutz<br />
• M-<strong>TK</strong>-5 Geeignete Aufstellung der <strong>TK</strong>-Anlage<br />
• M-<strong>TK</strong>-6 <strong>Sichere</strong> Ablage von Kontaktinformationen<br />
• M-<strong>TK</strong>-7 <strong>Sichere</strong>r Umgang mit Daten zur <strong>Anlagen</strong>nutzung<br />
Diese im Zusammenhang mit der Absicherung von ISDN-<strong>Anlagen</strong> ausführlich dargelegten<br />
Maßnahmen (siehe Kapitel 4.1.1) sind prinzipiell <strong>für</strong> jede zentrale <strong>TK</strong>-<br />
Systemlösung sinnvoll und damit natürlich auch <strong>für</strong> eine Hybrid-Anlage.<br />
• M-<strong>TK</strong>-8 Absicherung eines LAN-Anschlusses der ISDN <strong>TK</strong>-Anlage<br />
Die <strong>für</strong> ISDN <strong>TK</strong>-<strong>Anlagen</strong> beschriebenen Maßnahmeninhalte zu diesem Punkt stellen eine<br />
grobe Zusammenfassung dar. Je nach Umfang des über die Hybrid-Lösung genommenen<br />
Einstiegs in die Angebote VoIP-basierter <strong>Anlagen</strong>technik sind in Abhängigkeit<br />
vom Schutzbedarf im Detail die folgenden <strong>für</strong> VoIP-Lösungen genauer<br />
beschriebenen Maßnahmeninhalte zu beachten (siehe Kapitel 4.2.1):<br />
• M-<strong>TK</strong>-30 Ende-zu-Ende-Verschlüsselung des Medienstroms<br />
• M-<strong>TK</strong>-31 Verschlüsselung der Signalisierung<br />
• M-<strong>TK</strong>-32 Authentisierung zwischen Endgeräten und Servern des VoIP-Systems<br />
Diese Maßnahmen sind sämtlich relevant, sofern nicht zweifelsfrei sichergestellt werden<br />
kann, dass im Zusammenhang mit einer Hybrid-Lösung VoIP-Telefone nur dort eingesetzt<br />
werden, wo kein erhöhter Schutzbedarf anfällt. Um im Betriebsalltag nur schwer<br />
durchzuhaltende Differenzierungen zu vermeiden, sollte eine solche Unterscheidung nach<br />
Teilbereichen unterschiedlichen Schutzbedarfs nur bei besonderen wirtschaftlichen<br />
Zwängen getroffen werden.<br />
• M-<strong>TK</strong>-33 Authentisierung zwischen Servern<br />
Diese Maßnahme ist zu beachten, wenn im Rahmen der Hybrid-Lösung bereits Server<br />
mit Zusatzfunktionen eingebunden werden, d. h. es sich nicht nur um eine klassische Telefonielösung<br />
mit Möglichkeit zur Anbindung von VoIP-Telefonen handelt.<br />
• M-<strong>TK</strong>-34 Redundanz der Telefonie-Server<br />
• M-<strong>TK</strong>-35 Verfügbarkeit der Server und Gateways von denen die Funktion des Telefonie-<br />
Servers und des Telefonie-Diensts unmittelbar abhängt<br />
Diese beiden Maßnahmen sind sinngemäß durch entsprechende Auslegung der VoIP-<br />
Server-Funktionen der Hybrid-Lösung umzusetzen.<br />
• M-<strong>TK</strong>-37 Automatische PSTN-Umschaltung <strong>für</strong> Filialen<br />
Soweit Filialen primär VoIP-basiert auf eine zentrale Hybrid-Lösung zugreifen, um den<br />
dortigen PSTN-Zugang mit zu nutzen, ist diese Maßnahme zu berücksichtigen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 147
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• M-<strong>TK</strong>-38 Absicherung von Telefonie-Daten im Verzeichnisdienst<br />
• M-<strong>TK</strong>-39 Verfügbarkeit kritischer Telefonie-Daten<br />
• M-<strong>TK</strong>-40 Einschränkungen von DNS <strong>für</strong> VoIP<br />
• M-<strong>TK</strong>-41 Einschränkung von ENUM<br />
4.3.2 Endgeräte<br />
Hier sind bei der Maßnahmenauswahl verschiedene Aspekte zu betrachten,<br />
die sich aus der Vermischung zweier Technologien im Endgerätebereich<br />
ergeben:<br />
• Schutzbedarf unterteilt nach Schutzzonen in der Zielumgebung<br />
Werden Endgeräte der klassischen <strong>TK</strong>-Technik mit VoIP-Endgeräten gemischt eingesetzt,<br />
müssen grundsätzlich die Endgeräte-spezifischen Maßnahmen <strong>für</strong> ISDN-<strong>Anlagen</strong><br />
und <strong>für</strong> VoIP-Lösungen gleichermaßen berücksichtigt werden. Dies kann zu erhöhten<br />
Gesamtkosten führen. Beispielsweise können VoIP-Endgeräte im Rahmen ihrer Software<br />
bereits Verschlüsselungsmöglichkeiten ohne besonderen Aufpreis aufweisen, während<br />
bei klassischen Telefonie-Endgeräten Zusatzequipment <strong>für</strong> Verschlüsselung der Kommunikation<br />
notwendig ist. Ein wesentliches Kostenargument stellt in einer Mischlösung hier<br />
vor allem die Komplexität der Gesamtlösung mit ihren Auswirkungen auf die Betriebskosten<br />
dar (Know-How-Bedarf, Komplexität in der Fehlersuche, …).<br />
Um diese Thematik zu entschärfen, kann es sinnvoll sein, Maßnahmen <strong>für</strong> den erhöhten<br />
Schutzbedarf auf eine Endgeräte-Technologie je Gerätetyp (kabelbasiertes Telefon, drahtloses<br />
Telefon, Fax-Gerät) zu beschränken und dies über Ausstattungsstandards je nach<br />
Schutzzone zu erreichen.<br />
• Einsatzdauer von Endgerätetypen<br />
Hier wird empfohlen, mindestens im Falle erhöhten Schutzbedarfs gezielt zu prüfen, wie<br />
lange Endgeräte im Sinne klassischer <strong>TK</strong>-Technik noch eingesetzt werden sollen bzw.<br />
können (typische Lebensdauer). Während organisatorisch angelegte Maßnahmen (vor allem<br />
physikalischer Zugangsschutz zu Endgeräten) <strong>für</strong> jeden Endgerätetyp und jede Endgeräteausprägung<br />
sinnvoll sind und somit auch bei Technologiewechsel Bestand haben,<br />
gilt dies <strong>für</strong> technische Maßnahmen vielfach nicht. Entsprechend ist schon aus Wirtschaftlichkeitsüberlegungen<br />
zu prüfen, wie lange ein bestimmter Endgerätetyp in der<br />
Zielumgebung noch Verwendung finden wird, <strong>für</strong> den besondere Schutzmaßnahmen zu<br />
ergreifen wären. Beispiele:<br />
• Fallen bei erhöhtem Schutzbedarf <strong>für</strong> Vertraulichkeit der Telefonate je nach Technologie<br />
unterschiedliche technische (Beschaffungs-) Maßnahmen an, so kann es sinnvoll<br />
sein, <strong>für</strong> die Arbeitsplätze mit solchem Schutzbedarf von vorneherein auf VoIP-<br />
Telefone zu setzen: Es fallen nur Anschaffungen und Betriebs-Know-How <strong>für</strong> die<br />
VoIP-spezifischen Schutzmaßnahmen an, die auf lange Sicht ohnehin notwendig<br />
würden.<br />
• Oft ist <strong>für</strong> bestimmte Einsatzbereiche (z. B. Sekretariate) absehbar, dass auch bei<br />
längerfristigem Wechsel zu einem zentralen VoIP-Kernsystem klassische Fax-Geräte<br />
148 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
ohne VoIP-Fähigkeit verwendet werden sollen. Hier erfüllt die Einführung spezieller<br />
technischer <strong>Sicherheit</strong>smaßnahmen <strong>für</strong> solche Geräte sofort die Anforderungen eines<br />
strategischen Investitionsschutzes.<br />
Sofern die dargelegten Ansätze einer differenzierten Einsatzplanung und deren Umsetzung in<br />
einer Umgebung nicht sinnvoll erscheinen oder wegen hinderlicher Rahmenbedingungen<br />
nicht umgesetzt werden können, sind die nachfolgend genannten Maßnahmen beim Einsatz<br />
von Endgeräten an einer Hybrid-Anlage grundsätzlich ausnahmslos relevant. Welche Maßnahmen<br />
tatsächlich ergriffen werden, ergibt sich dann unmittelbar aus Abwägung von<br />
Schutzbedarf im Detail und dem Aspekt der Verhältnismäßigkeit. Außerdem ist natürlich die<br />
Art der tatsächlich eingesetzten Endgeräteformen zu unterscheiden:<br />
4.3.2.1 Fax-Geräte und Multifunktionsgeräte mit Faxfunktion<br />
Für derartige Endgeräte sind je nach Schutzbedarf die <strong>für</strong> ISDN-<strong>Anlagen</strong> ausführlicher beschriebenen<br />
Maßnahmen zu erwägen (siehe Kapitel 4.1.2.1):<br />
• M-<strong>TK</strong>-9 Sperrung bestimmter Fax-Rufnummern<br />
• M-<strong>TK</strong>-10 Gesicherte Aufstellung der Faxlösung<br />
• M-<strong>TK</strong>-11 Ungeschützte Multifunktionsgeräte: Verhinderung der Faxfunktionsnutzung<br />
• M-<strong>TK</strong>-12 <strong>Sichere</strong> Nutzung von Fax-Geräten und Multifunktionsgeräten mit Faxfunktion<br />
• M-<strong>TK</strong>-13 <strong>Sichere</strong> Aufbewahrung eingegangener Faxnachrichten<br />
4.3.2.2 Kabelgebundene Endteilnehmer-Telefone (klassische Telefonietechnik)<br />
Soweit derartige Endgeräte im Zusammenspiel mit einer Hybrid-Anlage Verwendung finden,<br />
sind die entsprechenden, <strong>für</strong> ISDN-<strong>Anlagen</strong> ausführlich beschriebenen Maßnahmen zu beachten<br />
(siehe Kapitel 4.1.2.2):<br />
• M-<strong>TK</strong>-14 Physikalische Sicherung von Telefonie-Endgeräten<br />
• M-<strong>TK</strong>-15 Einsatz „sicherheitsintelligenter“ Endgeräte<br />
• M-<strong>TK</strong>-16 Aktivierung einer Warnung bei Nutzung unsicherer Merkmale<br />
• M-<strong>TK</strong>-17 <strong>Sichere</strong>r Umgang mit Schnittstellen am Telefonie-Endgerät<br />
• M-<strong>TK</strong>-18 Geschützte Übertragung von Sprachdaten<br />
4.3.2.3 Drahtlose Telefone (DECT)<br />
Hier sind die Ausführungen zum Umgang mit DECT-Lösungen im Kapitel 4.6 zu beachten<br />
und die dort genannten Maßnahmen zu berücksichtigen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 149
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.3.2.4 Wartungsapparate<br />
Sofern im Rahmen einer Hybrid-Lösung der Einsatz von Wartungsapparaten noch angeboten<br />
wird, sollte entsprechend den schwachen Schutzmöglichkeiten auf die Nutzung dieser Möglichkeit<br />
durch Umsetzung der nachfolgenden Maßnahmen verzichtet werden:<br />
• M-<strong>TK</strong>-19 Verzicht auf Einsatz von Wartungsapparaten bei erhöhtem Schutzbedarf<br />
• M-<strong>TK</strong>-20 Sperrung der Wartungsmöglichkeit per Wartungsapparat an der Anlage<br />
4.3.2.5 Wartungs-PCs<br />
Einzelheiten zum Einsatz von Wartungs-PCs ergeben sich aus den Ausführungen zu Netz-<br />
und Systemmanagement <strong>für</strong> Hybrid-<strong>Anlagen</strong>, siehe Kapitel 4.3.4.<br />
4.3.2.6 VoIP-Endgeräte<br />
Für die mit einer Hybrid-Anlage eingesetzten VoIP-Endgeräte sind grundsätzlich alle <strong>für</strong><br />
solche Endgeräte im Zusammenhang mit VoIP-Systemen ausführlich beschriebenen Maßnahmen<br />
zu betrachten (siehe Kapitel 4.2.2). Zum Teil überschneiden sich diese mit Maßnahmen<br />
<strong>für</strong> Telefone der klassischen Technik. Auch bei solchen Maßnahmen mit Überschneidungsgrad<br />
ergeben sich dennoch technologiespezifische Details.<br />
Im Sinne des festgestellten Schutzbedarfs sind in verhältnismäßiger Weise Maßnahmen aus<br />
der folgenden Auflistung umzusetzen:<br />
• M-<strong>TK</strong>-42 Sicherung von IP-Telefonen in unübersichtlichen Umgebungen<br />
• M-<strong>TK</strong>-43 Warnung bei unsicheren Einstellungen<br />
• M-<strong>TK</strong>-44 Prozess zur Behandlung des Verlusts eines VoIP-Endgeräts<br />
• M-<strong>TK</strong>-45 Absicherung der Firmware<br />
• M-<strong>TK</strong>-46 Absicherung von Konfigurationsdateien<br />
• M-<strong>TK</strong>-47 <strong>Sicherheit</strong> von Softphones<br />
• M-<strong>TK</strong>-48 <strong>Sichere</strong> Konfiguration von PC-Ports an IP-Telefonen<br />
• M-<strong>TK</strong>-49 <strong>Sichere</strong> Konfiguration von IP und von IP-basierten Diensten<br />
• M-<strong>TK</strong>-50 Einschränkung des lokalen Zugriffs auf die Konfiguration des IP-Telefons<br />
• M-<strong>TK</strong>-51 Benutzerabhängige Berechtigungen<br />
• M-<strong>TK</strong>-52 Schutz von Teilnehmer-spezifischen Daten auf einem IP-Telefon<br />
150 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.3.3 Netzwerk<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
Soweit nicht durch Differenzierung nach Schutzzonen unterschiedlichen<br />
Schutzbedarfs der Einsatz von VoIP-Endgeräten und Endgeräten<br />
im Sinne klassischer <strong>TK</strong>-Lösungen gezielt konzipiert und eingeschränkt<br />
wird, addieren sich hier die Maßnahmenkataloge zur Vernetzung<br />
bei ISDN-<strong>Anlagen</strong> und zum Netzwerk bei VoIP-Lösungen.<br />
Entsprechend dem Schutzbedarf ist eine angemessene Umsetzung der nachfolgend benannten<br />
Maßnahmen zu realisieren (Detailbeschreibungen der Maßnahmen: siehe Kapitel 4.1.3 bzw.<br />
4.2.3). Dabei ist gerade beim, <strong>für</strong> Hybrid-<strong>Anlagen</strong> häufigen, gemischten Endgeräteeinsatz auf<br />
ein einheitliches Schutzniveau innerhalb der einzelnen Schutzzone zu achten, indem geeignete<br />
Ausprägungen der jeweiligen Maßnahme gewählt werden.<br />
• M-<strong>TK</strong>-21 Gesicherte Übertragung der Sprachdaten zwischen Partnerstandorten durch<br />
Leitungsverschlüsselung<br />
Diese Maßnahme betrifft die <strong>Anlagen</strong>anbindung an ein ISDN-basiertes PSTN bzw. die <strong>Anlagen</strong>kopplung<br />
über diesen Weg. Sie gilt natürlich sowohl im Zusammenspiel von Hybrid-<br />
<strong>Anlagen</strong> über das PSTN als auch bei je nach Standort gemischtem Anschluss von Hybrid-<br />
<strong>Anlagen</strong>, reinen ISDN-<strong>Anlagen</strong> und VoIP-Systemlösungen an das PSTN.<br />
Die nachfolgenden Maßnahmen betreffen den VoIP-basierten Teil der über die Hybrid-<br />
Anlage realisierten Gesamtlösung:<br />
• M-<strong>TK</strong>-53 <strong>Sichere</strong> Konfiguration der Netzwerk-Komponenten<br />
• M-<strong>TK</strong>-54 <strong>Sichere</strong>s Routing<br />
• M-<strong>TK</strong>-55 Absicherung von Switch Ports<br />
• M-<strong>TK</strong>-56 Absicherung der DHCP-Nutzung<br />
• M-<strong>TK</strong>-57 Quality of Service im Netzwerk<br />
• M-<strong>TK</strong>-58 Zugangskontrolle zum Netzwerk<br />
• M-<strong>TK</strong>-59 MAC Security im Anschlussbereich <strong>für</strong> Endgeräte<br />
• M-<strong>TK</strong>-60 Netztrennung <strong>für</strong> VoIP<br />
• M-<strong>TK</strong>-61 Angemessene Verfügbarkeit des LAN <strong>für</strong> die Verwendung von VoIP<br />
• M-<strong>TK</strong>-62 Angemessene Verfügbarkeit der vom VoIP-System genutzten Netzdienste<br />
• M-<strong>TK</strong>-63 Angemessene Verfügbarkeit der Stromversorgung <strong>für</strong> IP-Telefone<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 151
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.3.4 Netz- und Systemmanagement<br />
Hinsichtlich Netz- und Systemmanagement addieren sich im Falle<br />
einer Hybrid-Anlage die <strong>für</strong> ISDN-<strong>Anlagen</strong> bzw. VoIP-Systeme zu<br />
diesem Themenkomplex detailliert beschriebenen Maßnahmen. Auch<br />
bei Maßnahmen, die inhaltlich zunächst überschneidend sind, ist je<br />
nach Ausprägung der Hybrid-Anlage zumindest zu prüfen, inwieweit<br />
technologiespezifische Details zu beachten sind. Entsprechend dem festgestellten Schutzbedarf<br />
sind in angemessener Form umzusetzen:<br />
• M-<strong>TK</strong>-22 Restriktive Einbindung externer Wartung<br />
• M-<strong>TK</strong>-23 <strong>Sichere</strong> Aufstellung von Administrationsendgeräten<br />
• M-<strong>TK</strong>-24 <strong>Sichere</strong> Konfiguration von Administrationsendgeräten<br />
• M-<strong>TK</strong>-25 Regelungen <strong>für</strong> sichere <strong>TK</strong>-Administration<br />
• M-<strong>TK</strong>-26 <strong>Sichere</strong> Konfiguration des Management-Zugangs zur ISDN <strong>TK</strong>-Anlage<br />
Die Detailausführungen zu dieser Maßnahme sind, in Abhängigkeit von der Produktgestaltung<br />
der Hybrid-Anlage, in Verbindung mit organisatorischen Anteilen zu M-<strong>TK</strong>-<br />
59 sinngemäß umzusetzen.<br />
• M-<strong>TK</strong>-27 Protokollierung und regelmäßige Kontrolle von Fernwartungszugriffen<br />
• M-<strong>TK</strong>-28 Verfügbarkeitssicherung durch (automatisierte) Zustandsüberwachung<br />
• M-<strong>TK</strong>-29 Abschluss eines Support-Vertrags inklusive externer Beratungskompetenz<br />
Hier ist im Falle einer Hybrid-Anlage durch entsprechende Vertragsgestaltung/Auswahl<br />
des Vertragspartners da<strong>für</strong> Sorge zu tragen, dass das Support-Unternehmen ausreichende<br />
Kompetenz nicht nur <strong>für</strong> die klassische Telefonie, sondern auch <strong>für</strong> VoIP besitzt. Anbieter<br />
von Hybrid-<strong>Anlagen</strong> entstammen historisch oft dem Markt der klassischen Telefonie.<br />
Nötigenfalls muss der Vertragspartner durch einen geeigneten Subunternehmer<br />
nachweislich sicherstellen, dass eine angemessene VoIP-Kompetenz gegeben ist.<br />
• M-<strong>TK</strong>-64 <strong>Sichere</strong> Administration des Telefonie-Servers<br />
• M-<strong>TK</strong>-65 <strong>Sichere</strong> Administration von PSTN-Gateways<br />
• M-<strong>TK</strong>-66 <strong>Sichere</strong> Administration von Anwendungs- und Management-Servern<br />
• M-<strong>TK</strong>-67 <strong>Sichere</strong> Administration von Abrechnungs- und Gebührenerfassungssystemen<br />
• M-<strong>TK</strong>-68 <strong>Sichere</strong> Verwaltung von Teilnehmerprofilen<br />
• M-<strong>TK</strong>-69 <strong>Sichere</strong> Administration von Endgeräten<br />
• M-<strong>TK</strong>-70 <strong>Sichere</strong> Administration von Netzkomponenten<br />
152 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
• M-<strong>TK</strong>-71 Überwachung der Komponenten des VoIP-Systems<br />
4.3.5 Übergreifende Aspekte<br />
Hier sind die <strong>für</strong> VoIP-Systeme benannten Maßnahmen in dem<br />
Umfang umzusetzen, wie es Schutzbedarf einerseits und Lösungsumfang<br />
der Hybrid-Anlage mit sich bringen. Soweit inhalt<br />
lich gegeben, sind die in den nachfolgend gelisteten Maßnahmen<br />
beschriebenen Aspekte auch <strong>für</strong> die Lösungsanteile im Sinne<br />
klassischer <strong>TK</strong>-<strong>Anlagen</strong> sinngemäß zu realisieren:<br />
• M-<strong>TK</strong>-72 Produktauswahl von VoIP-Lösungen unter <strong>Sicherheit</strong>sgesichtspunkten<br />
• M-<strong>TK</strong>-73 Datensicherung <strong>für</strong> die Elemente des VoIP-Systems<br />
• M-<strong>TK</strong>-74 Notfallvorsorge <strong>für</strong> das VoIP-System<br />
4.4 IP-<strong>Anlagen</strong>anschluss<br />
Im Folgenden werden Maßnahmen <strong>für</strong> die Absicherung<br />
eines IP-<strong>Anlagen</strong>anschlusses erläutert. Dies betrifft im<br />
Speziellen die Absicherung der Signalisierungs- und<br />
Nutzdaten zwischen dem Unternehmen bzw. der Behörde<br />
und einem Dienstanbieter (ITSP). Hierbei handelt es sich<br />
um die Absicherung eines nicht vertrauenswürdigen<br />
Netzabschnittes zwischen zwei Endpunkten.<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
Der Maßnahmenkatalog zur Absicherung von Nutzung und Betrieb eines IP-Anschlusses ist<br />
in die folgenden Blöcke aufgeteilt:<br />
• Server und Anwendungen, siehe Kapitel 4.4.1<br />
• Netzwerk, siehe Kapitel 4.4.2<br />
• Netz- und Systemmanagement, siehe Kapitel 4.4.3<br />
4.4.1 Server und Anwendungen<br />
M-<strong>TK</strong>-75 Redundante Internet-Anbindung<br />
Sofern es erhöhte Anforderungen an die Verfügbarkeit des<br />
IP-<strong>Anlagen</strong>anschlusses und damit auch der Internet-Anbindung gibt, ist eine<br />
redundante Internet-Anbindung über verschiedene Internet Provider zu realisieren.<br />
Bei Ausfall einer Verbindung sollte möglichst ein automatischer Wechsel auf den<br />
alternativen Internet Provider erfolgen. Diese Anbindung muss geeignet dimensi-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 153
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
oniert sein, um eine vollständige Versorgung sicherzustellen. In diesem Zusammenhang<br />
sind auch die Maßnahmen M-<strong>TK</strong>-81 und M-<strong>TK</strong>-82 entsprechend zu<br />
berücksichtigen.<br />
M-<strong>TK</strong>-76 Zusätzlicher IP-<strong>Anlagen</strong>anschluss<br />
Die Verfügbarkeit der PSTN-Anbindung durch einen IP-<strong>Anlagen</strong>anschluss kann<br />
in Anlehnung an Maßnahme M-<strong>TK</strong>-75 weiter erhöht werden, indem ein zusätzlicher<br />
IP-<strong>Anlagen</strong>anschluss bei einem unterschiedlichen ITSP beauftragt wird. Bei<br />
Ausfall eines IP-<strong>Anlagen</strong>anschlusses sollte möglichst ein automatischer Wechsel<br />
auf den alternativen ITSP erfolgen. Dieser Anschluss muss geeignet dimensioniert<br />
sein, um eine vollständige Versorgung sicherzustellen.<br />
M-<strong>TK</strong>-77 Zusätzlicher PSTN-Anschluss<br />
Genügen die Maßnahmen M-<strong>TK</strong>-75 und M-<strong>TK</strong>-76 den Anforderungen an die<br />
Verfügbarkeit nicht oder lassen sich aufgrund anderer Gründe nicht vollständig<br />
umsetzen, ist sicherzustellen, dass eine zusätzliche Anbindung an das PSTN erfolgt.<br />
Hier können z. B. TDM-basierte Anschlüsse in Form von S0- oder S2M-<br />
Anschlüssen in Erwägung gezogen werden. Nach Möglichkeit sollte auch hier ein<br />
automatischer Wechsel auf den TDM-basierten Anschluss erfolgen, sofern der IP-<br />
<strong>Anlagen</strong>anschluss nicht verfügbar ist. In diesem Zusammenhang ist auch die<br />
Maßnahme M-<strong>TK</strong>-82 entsprechend zu berücksichtigen. Je nach geforderter Verfügbarkeit<br />
kann auch eine Anbindung an die Mobilfunknetze als ausreichend angesehen<br />
werden.<br />
M-<strong>TK</strong>-78 Verwendung eines Session Border Controller<br />
Wie in Kapitel 2.4 beschrieben, sind zwischen Unternehmen bzw. Behörde und<br />
ITSP weitere Maßnahmen zur Absicherung erforderlich.<br />
Für den erhöhten Schutzbedarf ist ein lokaler SBC im Unternehmen bzw. in der<br />
Behörde dringend erforderlich (siehe Kapitel 2.4). Der SBC ist dann <strong>für</strong> die Verbindung<br />
zwischen dem Unternehmen bzw. der Behörde und dem ITSP zuständig<br />
und terminiert, im Unterschied zu einer Firewall mit VoIP-<br />
Applikationsintelligenz, die Signalisierungs- und Nutzdaten, wodurch weitergehende<br />
sicherheitsrelevante Funktionen ermöglicht werden. Am lokalen SBC<br />
können auch andere Standorte der Institution und insbesondere Telearbeitsplätze<br />
angekoppelt werden, wie in Abbildung 32 exemplarisch gezeigt.<br />
Der SBC muss gehärtet sein. Sofern <strong>für</strong> VoIP zutreffend, gelten hier<strong>für</strong> die Maßnahmen<br />
der IT-Grundschutz-Kataloge <strong>für</strong> ein <strong>Sicherheit</strong>sgateway. Dabei sollten<br />
insbesondere alle nicht benötigten Funktionen deaktiviert werden.<br />
M-<strong>TK</strong>-79 Absicherung von Signalisierungs- und Nutzdaten<br />
Die Absicherung der Signalisierungs- und Nutzdaten erfolgt, im Unterschied zu<br />
einer VPN-Lösung, über separate Techniken.<br />
• Signalisierung<br />
Die Signalisierung wird unter Verwendung von TLS, wie in Kapitel 2.2.5.3<br />
erläutert, abgesichert. Hierbei erfolgt eine Verschlüsselung und Authentisierung<br />
der Signalisierungsdaten zwischen Unternehmen bzw. Behörde und dem<br />
154 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
ITSP. Die Authentisierung wird anhand von Zertifikaten beidseitig durchgeführt<br />
(Mutual TLS, MTLS).<br />
• Medientransport<br />
Die Nutzdaten in Form von RTP- und RTCP-Paketen werden durch SRTP respektive<br />
SRTCP nach RFC3711 abgesichert, um die Vertraulichkeit und Integrität<br />
der Sprachdaten zu gewährleisten. Weitere Informationen hierzu finden<br />
sich in Kapitel 2.2.5.1.<br />
Der SBC terminiert die Sitzungen und ist damit stets der Verschlüsselungsendpunkt,<br />
wie in Abbildung 32 illustriert. Der SBC muss daher als vertrauenswürdig<br />
eingestuft werden können.<br />
Abbildung 32: Absicherung mittels TLS und SRTP bei Verwendung eines SBC<br />
PSTN<br />
Gateway<br />
ITSP<br />
SBC<br />
Medientransport<br />
über SRTP<br />
Signalisierung<br />
über TLS<br />
TLS<br />
IP PBX<br />
TLS<br />
SBC<br />
SRTP<br />
Internet<br />
Firewall<br />
Standort einer Institution<br />
SRTP<br />
SRTP<br />
TLS<br />
TLS<br />
Firewall-/<br />
SBC-System<br />
(ggf. mit IPS)<br />
IP-Netz<br />
Telearbeitsplatz der<br />
Institution<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 155
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.4.2 Netzwerk<br />
Sofern eine Absicherung über TLS und SRTP nicht möglich ist, kann die Vertraulichkeit<br />
und Integrität der Signalisierungs- und Nutzdaten auch über VPN-<br />
Techniken erfolgen. Hier kommt bevorzugt IPsec zum Einsatz (siehe Kapitel<br />
2.2.5.2). Diese Maßnahme eignet sich sowohl <strong>für</strong> die Signalisierungs- als auch <strong>für</strong><br />
die Nutzdaten, d. h. ein VPN wird <strong>für</strong> VoIP transparent zwischen SBC und ITSP<br />
aufgebaut. Besitzt der SBC keine VPN-Funktionalität, ist ein zusätzliches VPN-<br />
Gateway erforderlich.<br />
Abbildung 33: Absicherung der Signalisierungs- und Nutzdaten mittels VPN<br />
Eine zusätzliche <strong>Sicherheit</strong>smaßnahme <strong>für</strong> SIP ist die Authentisierung mittels Digest-Verfahren,<br />
wie in Kapitel 2.2.5.4.4 beschrieben. Wird neben TLS das SIP-<br />
Digest-Verfahren als zusätzliche Option zur Authentisierung angeboten, sollte<br />
diese genutzt werden.<br />
Eine derartige Absicherung (TLS/SRTP oder VPN) zwischen SBC und ITSP ist<br />
<strong>für</strong> den erhöhten Schutzbedarf zwingend erforderlich. Für den erhöhten Schutzbedarf<br />
gilt diese Maßnahme außerdem auch <strong>für</strong> die Verbindung zwischen IP-PBX<br />
und SBC.<br />
M-<strong>TK</strong>-80 Netztrennung zwischen IP-PBX und Session Border<br />
Controller<br />
In Anlehnung an die Maßnahme M-<strong>TK</strong>-60 kann der SBC in<br />
einem von der IP-PBX getrennten Netz, einer sogenannten demilitarisierten Zone<br />
(DMZ), untergebracht werden, siehe Abbildung 34.<br />
Über entsprechende Firewalls an den Netzübergängen kann die Kommunikation<br />
auf die verwendeten Protokolle zur Administration, Signalisierung und zur Übertragung<br />
der Medienströme beschränkt werden. Je nach Funktionsumfang des SBC<br />
erlaubt dieser z. B. eine Einschränkung des Portbereiches <strong>für</strong> RTP, welcher entsprechend<br />
auf der Firewall konfiguriert werden kann. Allgemein werden bei RTP<br />
<strong>für</strong> jeden Kommunikationskanal (z. B. Audio oder Video) zwei UDP-Ports (RTP<br />
und RTCP) verwendet, d. h. <strong>für</strong> 60 gleichzeitige Gespräche werden 120 UDP-<br />
Ports benötigt.<br />
156 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Abbildung 34: Netztrennung mit SBC bei normalem Schutzbedarf<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
Tabelle 2 zeigt ein Beispiel-Regelwerk <strong>für</strong> einen dynamischen Paketfilter, der <strong>für</strong><br />
die Netzarchitektur in Abbildung 34 zum Einsatz kommen könnte. Dies stellt nur<br />
einen Ausschnitt der erlaubten, relevanten Protokolle <strong>für</strong> die Signalisierung und<br />
den Austausch der Nutzdaten dar. Nicht betrachtet werden hierbei Regeln <strong>für</strong> Basisdienste<br />
wie DNS oder NTP sowie Protokolle <strong>für</strong> die Administration. Dabei<br />
wird angenommen, dass auf dem SBC ein Portbereich <strong>für</strong> RTP/RTCP von 16400<br />
bis 16520 konfiguriert werden kann.<br />
Tabelle 2: Beispiel: Firewall-Regeln <strong>für</strong> SBC in einer DMZ<br />
Quelle Ziel Protokoll Quell-Port(s) Ziel-Port(s) Bemerkung<br />
Internet SBC TCP > 1023 5061 SIP-TLS<br />
Internet SBC UDP > 1023 16400-16520 RTP<br />
SBC Internet TCP > 1023 5061 SIP-TLS<br />
SBC Internet UDP > 1023 > 1023 RTP<br />
LAN SBC TCP > 1023 5061 SIP-TLS<br />
LAN SBC UDP > 1023 16400-16520 RTP<br />
SBC LAN TCP > 1023 5061 SIP-TLS<br />
SBC LAN UDP > 1023 > 1023 RTP<br />
Falls das Betriebssystem des SBC entsprechend gehärtet und zusätzlich eine integrierte<br />
Firewall besitzt, so reicht es <strong>für</strong> den normalen Schutzbedarf aus, nur einen<br />
SBC einzusetzen und auf die Einrichtung einer DMZ zu verzichten. Dieses<br />
Szenario ist besonders <strong>für</strong> kleine Betriebe sinnvoll, da der Management-Aufwand<br />
und die Kosten geringer sind als bei zwei Geräten.<br />
Bei erhöhtem Schutzbedarf können <strong>Sicherheit</strong>sanforderungen bestehen, <strong>für</strong> welche<br />
die in Abbildung 34 dargestellte Firewall-Architektur nicht ausreicht. In diesem<br />
Fall ist eine mehrstufige Firewall-Architektur, wie in Abbildung 35 dargestellt,<br />
zu empfehlen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 157
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Abbildung 35: Mehrstufige Firewall-Architektur mit SBC bei erhöhtem Schutzbedarf<br />
4.4.3 Netz- und Systemmanagement<br />
M-<strong>TK</strong>-81 VoIP-Tauglichkeit der IP-Infrastruktur<br />
Für die Nutzung eines IP-<strong>Anlagen</strong>anschlusses ist darauf zu<br />
achten, dass die IP-Infrastruktur die Anforderungen an einen stabilen und verfügbaren<br />
Betrieb erfüllt. Dies betrifft primär die IP-Anbindung zum ITSP, wobei<br />
folgende Punkte beachtet werden müssen:<br />
• Es muss ausreichend Bandbreite vorhanden sein. Neben der reinen Anzahl<br />
von Sprachkanälen müssen insbesondere Sprach-Codec und Overhead berücksichtigt<br />
werden.<br />
• Die Verbindungsqualität muss <strong>für</strong> einen IP-<strong>Anlagen</strong>anschluss geeignet sein.<br />
Dies betrifft insbesondere die Parameter Paketverlust, Verzögerung und Jitter.<br />
In diesem Zusammenhang ist auch die Maßnahme M-<strong>TK</strong>-82 zu beachten. Neben<br />
der IP-Anbindung zum ITSP stützt sich der IP-<strong>Anlagen</strong>anschluss auf Basisdienste<br />
wie z. B. DNS oder NTP sowie auf Netzwerkinfrastrukturen im LAN. Alle betroffenen<br />
Komponenten und Dienste müssen <strong>für</strong> einen IP-<strong>Anlagen</strong>anschluss entsprechend<br />
berücksichtigt werden.<br />
M-<strong>TK</strong>-82 Überwachung der VoIP-Anbindung zum ITSP<br />
Die Netzelemente zur Anbindung an den ITSP (u. a. Router, Switches und SBC)<br />
müssen überwacht werden. Für die Überwachung der Router und Switches gelten<br />
die Festlegungen der IT-Grundschutz-Kataloge. Für die Überwachung des SBC ist<br />
außerdem M-<strong>TK</strong>-71 anzuwenden, da über den SBC auch Medienströme geleitet<br />
werden.<br />
Neben der Kontrolle von QoS-Parametern (z. B. der Wert des TOS-Parameters in<br />
einem IP-Paket) und QoS-Indikatoren (Verzögerung, Jitter und Paketverlust)<br />
muss die Einhaltung von Vereinbarungen hinsichtlich Bandbreite bzw. Bandbreiten-Reservierung<br />
(z. B. T.38/Fax-URIs) überwacht werden.<br />
Bei entsprechend hohen Verfügbarkeitsanforderungen kann in Betracht gezogen<br />
werden, einen regelmäßigen, automatisierten Testanruf über die Infrastruktur des<br />
ITSP durchzuführen und Qualitätsindikatoren zu messen.<br />
Weiterhin muss mit dem ITSP die Überwachung dessen Infrastruktur abgestimmt<br />
werden. Hier müssen zunächst Vorgaben an den ITSP hinsichtlich des gewünschten<br />
Umfangs der Überwachung sowie hinsichtlich der Meldepflichten bei<br />
Vorfällen formuliert und in das Vertragswerk mit dem ITSP eingebettet werden.<br />
158 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Dabei ist insbesondere festzulegen, auf welche Informationen beim ITSP zugegriffen<br />
werden kann und welche Ereignistypen (Funktionsstörungen und<br />
<strong>Sicherheit</strong>svorfälle) vom ITSP gemeldet werden müssen.<br />
Diese Überwachung liefert eine wesentliche Grundlage, um bei Fehlern, Überschreitung<br />
von (Performance-)Schwellwerten einen (automatischen) Fallback auf<br />
ein alternative Anbindung (Internet- bzw. IP-<strong>Anlagen</strong>anschluss) einzuleiten.<br />
M-<strong>TK</strong>-83 <strong>Sichere</strong> Administration des Session Border Controller<br />
Die im Falle des erhöhten Schutzbedarfs zu treffenden Vorkehrungen sind von<br />
den Konfigurationsmöglichkeiten und angebotenen Schnittstellen des SBC abhängig.<br />
Da über einen SBC die gesamte externe Kommunikation eines IP-<br />
Telefonie-Systems läuft, ist zunächst der Zugriff auf den SBC stets geeignet abzusichern.<br />
Hierzu sind Maßnahme M-<strong>TK</strong>-145 und die <strong>für</strong> eine ISDN <strong>TK</strong>-Anlage in<br />
Kapitel 4.1 beschriebenen Maßnahmen M-<strong>TK</strong>-4 und M-<strong>TK</strong>-5 auf einen SBC<br />
sinngemäß übertragen umzusetzen.<br />
Generell müssen nicht benötigte Schnittstellen und Protokolle deaktiviert werden<br />
(sinngemäße Anwendung von Maßnahme M-<strong>TK</strong>-142). Die Administration eines<br />
SBC darf nur über entsprechend gesicherte Protokolle erfolgen (siehe Maßnahmen<br />
M-<strong>TK</strong>-144 und M-<strong>TK</strong>-149) und die Berechtigungen <strong>für</strong> einen Zugang<br />
sind den Anforderungen entsprechend anzupassen (siehe Maßnahme M-<strong>TK</strong>-143).<br />
Dabei ist auch zu beachten, dass auf Telefonie-Servern personenbezogene Daten<br />
verarbeitet und gespeichert werden, die entsprechend vor einem unberechtigten<br />
Zugriff geschützt werden müssen.<br />
Nachfolgend werden Ansätze aufgeführt, wie einzelne Zugriffsmöglichkeiten zum<br />
SBC abgesichert werden können.<br />
• Serielle Schnittstelle<br />
Die serielle Schnittstelle kann je nach System <strong>für</strong> die Erstinbetriebnahme und<br />
allgemein <strong>für</strong> Wartungsaufgaben und Recovery-Aktionen genutzt werden und<br />
erfordert einen physikalischen Zugriff auf den SBC. Für den hierzu genutzten<br />
Administrations-PC gelten die im Kapitel 4.1 zu ISDN-<strong>Anlagen</strong> genannten<br />
Maßnahmen M-<strong>TK</strong>-23, M-<strong>TK</strong>-24 und M-<strong>TK</strong>-25.<br />
48 FTP over SSL<br />
49 Secure Copy Protocol<br />
• Telnet, HTTP, FTP<br />
Im Falle erhöhten Schutzbedarfs ist die Verwendung dieser Schnittstellen bedenklich,<br />
sofern die Kommunikationsmöglichkeiten mit Zugriff auf die entsprechenden<br />
Dienste nicht mit den Mitteln der Netztrennung ausschließlich<br />
auf Administrations-PCs beschränkt werden. Es sollte dann <strong>für</strong> diese Dienste<br />
eine verschlüsselte Variante verwendet werden oder eine Abschaltung erfolgen.<br />
• Verschlüsselte Varianten sind in diesem Fall z. B. SSHv2 anstelle von Telnet,<br />
HTTPS anstelle von HTTP und FTPS 48 bzw. SCP 49 /SFTP 50 zugunsten von<br />
50 SSH File Transfer Protocol<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 159
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
HTTP und FTP. Für die Verwendung der SSL/TLS-gesicherten Protokolle<br />
HTTPS und FTPS gelten die Hinweise aus Kapitel 7.2.<br />
• SNMP<br />
Für den Zugriff via SNMP ist die Maßnahme M-<strong>TK</strong>-149 umzusetzen.<br />
Weiterhin sind <strong>für</strong> eine sichere Administration eines SBC die in M-<strong>TK</strong>-146 genannten<br />
Konzepte zur Datensicherung sowie Maßnahme M-<strong>TK</strong>-148 zu den Bereichen<br />
Software-<strong>Sicherheit</strong> und Patch-Management umzusetzen. Dabei muss beachtet<br />
werden, dass ein SBC typischerweise als Appliance geliefert wird. Daher<br />
muss mit herstellerspezifischen Besonderheiten und Einschränkungen hinsichtlich<br />
der folgenden Punkte gerechnet werden:<br />
• Zugriffsmöglichkeiten auf die Systemkonfiguration<br />
• Methode <strong>für</strong> die Datensicherung<br />
• Installation von Patches<br />
4.5 <strong>TK</strong>-Applikationen und Mehrwertdienste<br />
Im Folgenden werden die Maßnahmen, die <strong>für</strong> <strong>TK</strong>-<br />
Applikationen und Mehrwertdienste spezifisch sind,<br />
beschrieben. Zusätzlich gelten auch alle <strong>Sicherheit</strong>smaßnahmen<br />
<strong>für</strong> VoIP-Systeme (siehe Kapitel 4.1.1), da eine<br />
Produktauswahl unter <strong>Sicherheit</strong>sgesichtspunkten, physikalische<br />
Sicherung, Ende-zu-Ende-Verschlüsselung usw.<br />
selbstverständlich auch im Kontext von <strong>TK</strong>-<br />
Applikationen und Mehrwertdiensten sinnvoll anwendbar ist.<br />
Die beschriebenen Ansätze greifen zum Teil auch <strong>für</strong> andere vernetzte IT-Systeme bzw. auch<br />
bei normalem Schutzbedarf. Je nach Szenario und insbesondere <strong>für</strong> erhöhten Schutzbedarf<br />
kommt es darauf an, aus diesem „Baukastensystem“ von Maßnahmen jeweils angemessene<br />
Pakete zu bilden.<br />
Der Maßnahmenkatalog zur Absicherung von Nutzung und Betrieb von <strong>TK</strong>-Applikationen<br />
und Mehrwertdiensten ist in die folgenden Blöcke aufgeteilt:<br />
• Server und Anwendungen, siehe Kapitel 4.5.1<br />
• Endgeräte, siehe Kapitel 4.5.2<br />
• Netzwerk, siehe Kapitel 4.5.3<br />
• Netz- und Systemmanagement, siehe Kapitel 4.5.4<br />
• Übergreifende Aspekte, siehe Kapitel 4.5.5<br />
160 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.5.1 Server und Anwendungen<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
M-<strong>TK</strong>-84 Absicherung der E-Mail-Kommunikation einer <strong>TK</strong>-<br />
Applikation<br />
Der Austausch von E-Mails zwischen <strong>TK</strong>-Applikation und<br />
E-Mail-Clients oder anderen Diensten unterliegt den gängigen<br />
Gefährdungen der E-Mail-Kommunikation. Im Bereich der <strong>TK</strong>-<br />
Applikationen sind vor allem Unified Messaging Server betroffen. Abhängig<br />
davon, ob es sich um ein True Unified Messaging-System mit vereinheitlichtem<br />
Posteingang auf dem E-Mail-Server handelt oder nicht, sind unterschiedliche<br />
Schnittstellen zu schützen:<br />
• Im Falle von True Unified Messaging (TUM) ist die Verbindung zwischen E-<br />
Mail- und UM-Server zu schützen, welche zum Nachrichtenaustausch benötigt<br />
wird und in der Regel auf SMTP oder MAPI-RPC basiert. Bei einer direkten<br />
Verbindung der beiden Systeme (z. B. über ein einzelnes Netzwerkkabel)<br />
ist diese Verbindung meist nicht schutzbedürftig. Anders stellt sich die<br />
Situation bei räumlicher Entfernung, eventuell sogar über die Grenzen des<br />
Standortnetzwerks hinaus, oder erhöhtem Schutzbedarf dar. Bei der Kommunikation<br />
per SMTP kann auf SSL bzw. TLS zur Authentisierung und Verschlüsselung<br />
zurückgegriffen werden (siehe auch Kapitel 7.2). Bei MAPI-<br />
RPC muss man sich auf proprietäre Mechanismen zur Absicherung verlassen.<br />
• Im Falle, dass UM-Server und E-Mail-Server dem Anwender separate Postfächer<br />
zur Verfügung stellen, muss der E-Mail-Client Verbindungen zu beiden<br />
Servern aufbauen. Wie die Verbindung zwischen Client und E-Mail-<br />
Server wird auch <strong>für</strong> die Verbindung von Client und UM-Server auf gängige<br />
Mailprotokolle zurückgegriffen. Dies sind in der Hauptsache SMTP, POP3<br />
und IMAP. Diese Protokolle sehen ursprünglich nur eine Übertragung der<br />
Authentisierungsdaten im Klartext vor. Nachträglich wurden <strong>für</strong> diese Protokolle<br />
Hash-Verfahren <strong>für</strong> die Authentisierung spezifiziert, welche in der<br />
Praxis jedoch nur eine geringe Relevanz besitzen. Effektiver ist die Absicherung<br />
der kompletten Datenübertragung mittels SSL bzw. TLS. Dieses<br />
Verfahren ist <strong>für</strong> alle drei Protokolle spezifiziert (siehe auch Kapitel 7.2).<br />
Die Absicherung von E-Mail-Kommunikation ist bereits in den IT-Grundschutz-<br />
Katalogen umfassend beschrieben. Anwendung finden insbesondere die Maßnahmen<br />
M 5.56 „<strong>Sichere</strong>r Betrieb eines Mailservers“, M 5.57 „<strong>Sichere</strong> Konfiguration<br />
der Mail-Clients“, M 5.108 „Kryptographische Absicherung von E-Mail“ und<br />
M 5.109 „Einsatz eines E-Mail-Scanners auf dem Mailserver“.<br />
Diese Maßnahmen sind nicht nur auf UM-Systeme sondern auch auf andere <strong>TK</strong>-<br />
Applikationen mit E-Mail-Schnittstelle anzuwenden, sofern diese einem erhöhten<br />
Schutzbedarf unterliegen.<br />
M-<strong>TK</strong>-85 Absicherung des Sprachkanals zwischen <strong>TK</strong>-Anlage und <strong>TK</strong>-Applikation<br />
Sprachverbindungen sind bei <strong>TK</strong>-Applikationen, sei es im Rahmen von Unified<br />
Messaging, IVR oder Alarmservern, naturgemäß von großer Bedeutung. Sowohl<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 161
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
die Sprach- als auch die Signalisierungsdaten können sensible Inhalte haben und<br />
dementsprechend schützenswert sein.<br />
Für die genutzten Übertragungswege muss geprüft werden, ob zusätzliche<br />
Schutzmaßnamen ergriffen werden müssen. Besteht ein erhöhter Schutzbedarf<br />
oder sind Strecken über unsichere Netze zu überbrücken, ist ein Schutz der Verbindungen<br />
notwendig. Die Art der Schutzmechanismen unterscheidet sich je nach<br />
zu Grunde liegender Technik.<br />
• Bei analoger oder digitaler Telefonie kann bei erhöhtem Schutzbedarf auf den<br />
Einsatz von Kryptoboxen zurückgegriffen werden (siehe auch M-<strong>TK</strong>-18).<br />
• Bei IP-basierter Übertragung steht SRTP als verschlüsselte Variante des Real<br />
Time Protocol (RTP) zur Übertragung von Sprachdaten zur Verfügung (siehe<br />
M-<strong>TK</strong>-30). Alternativ können VPN-Techniken unter Verwendung von IPsec<br />
oder SSL genutzt werden (siehe Anhänge 7.2 und 7.3).<br />
• Zur Sicherung der Signalisierung per SIP kann auf TLS zurückgegriffen werden<br />
(siehe auch Kapitel 7.2). In Ergänzung hierzu kann eine Verschlüsselung<br />
der SIP-Pakete nach S/MIME erfolgen, einem Verfahren das aber in der Praxis<br />
selten zur Anwendung kommt (siehe auch Kapitel 2.2.5.4.2).<br />
• Für H.323 gilt in Bezug auf <strong>Sicherheit</strong> der Standard H.235 (siehe Kapitel<br />
2.2.3.2).<br />
Im Kontext IP-basierter Sprachübertragung sind insbesondere die Maßnahmen M-<br />
<strong>TK</strong>-30, M-<strong>TK</strong>-31, M-<strong>TK</strong>-32 und M-<strong>TK</strong>-33 zu beachten.<br />
M-<strong>TK</strong>-86 Absicherung von CTI-Verbindungen<br />
Bei Computer Telephony Integration (CTI) wird zwischen Einzelplatz- und<br />
Mehrplatzlösungen unterschieden. Während die direkte Verbindung zwischen Telefon<br />
und Rechner bei Einzelplatzlösungen in der Regel aufgrund der räumlichen<br />
Nähe und der proprietären, vom restlichen Netzwerk unabhängigen Anbindung<br />
keines zusätzlichen Schutzes bedarf, besteht bei Mehrplatzlösungen eine Verbindung<br />
zwischen jedem Endgerät und einem zentralen CTI-Server, der <strong>für</strong> die<br />
Steuerung der Endgeräte verantwortlich ist. Diese Verbindung wird oft auf Basis<br />
von CSTA realisiert. CSTA kann sowohl über ISDN als auch über TCP/IPbasierte<br />
Verbindungen transportiert werden. Je nach Anbindung des Endgerätes<br />
finden verschiedene Verfahren Anwendung.<br />
• Bei ISDN-Anbindung sollten Kryptoboxen eingesetzt werden (siehe auch M-<br />
<strong>TK</strong>-18),<br />
• IP-basiertes CSTA sollte durch Verwendung von TLS oder IPsec gesichert<br />
werden (siehe auch Kapitel 7.2 und 7.3).<br />
Neben CSTA finden im Bereich der CTI-Applikationen auch viele proprietäre<br />
Protokolle Verwendung, deren Umsetzungsdetails durch vom Hersteller angebotene<br />
Treiber <strong>für</strong> TAPI-, JTAPI- und TSAPI-Schnittstellen verborgen bleiben.<br />
Der Hersteller sollte in diesen Fällen zur grundsätzlichen Möglichkeit zur<br />
Authentisierung und Verschlüsselung sowie über die konkrete Konfiguration einer<br />
sicheren Verbindung befragt werden. Im Zweifel sollte auch hier die Möglichkeit<br />
in Betracht gezogen werden, den gesamten Datenverkehrs zwischen Endgerät<br />
(Telefon) und <strong>TK</strong>-Infrastruktur über ein geeignet gesichertes VPN zu tunneln<br />
(siehe auch Anhang 7.3).<br />
162 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
M-<strong>TK</strong>-87 Absicherung der Kommunikation zwischen <strong>TK</strong>-Applikation und IT-System<br />
Die Kommunikation zwischen <strong>TK</strong>-Applikationen und IT-Systemen (d. h. Geschäftsanwendungen<br />
bzw. Verwaltungsverfahren) findet auf Basis von unterschiedlichsten<br />
Protokollen statt. Neben proprietären Schnittstellen und einer Vielzahl<br />
von Protokollen <strong>für</strong> Remote Procedure Calls (RPCs) kommen auch<br />
Standardprotokolle wie etwa HTTP zum Einsatz. Mit der zunehmenden Verbreitung<br />
von serviceorientierten Architekturen (SOA) und Web Services halten<br />
weitere Protokolle Einzug in die IT-Systeme. Als Beispiele seien hier die XMLbasierten<br />
Mechanismen zum Prozedur-Fernaufruf Simple Object Access Protocol<br />
(SOAP) sowie XML Remote Procedure Call (XML-RPC) genannt. Darüber hinaus<br />
bieten weit verbreitete, herstellerabhängige Programmierschnittstellen wie<br />
Microsofts Component Object Model (COM bzw. Distributed COM, DCOM) mit<br />
ihren intern verwendeten RPC-Protokollen weitere Angriffsflächen. Hier muss im<br />
Einzelnen geprüft werden, wie in der konkreten Implementierung mit den <strong>für</strong> die<br />
Protokolle spezifizierten <strong>Sicherheit</strong>smechanismen umgegangen worden ist.<br />
Eine pauschale Antwort, wie die Kommunikation zwischen <strong>TK</strong>- und Businessapplikationen<br />
abzusichern ist, kann also nicht gegeben werden. Erste Maßnahme<br />
sollte es daher sein, die verwendeten Protokolle durch Nachfrage bei den Herstellern<br />
und durch eigene Analysen zu ermitteln und sie auf verfügbare <strong>Sicherheit</strong>smechanismen<br />
zu prüfen. Da <strong>Sicherheit</strong>smechanismen bei weitem nicht <strong>für</strong> alle<br />
Protokolle zur Verfügung stehen, kann bei erhöhtem Schutzbedarf ein Tunnel,<br />
z. B. auf Basis von IPsec, die einfachste und umfassendste Lösung sein (siehe<br />
auch Kapitel 2.2.5.2). Bei erhöhtem Schutzbedarf sollte jedoch im Zweifel auch in<br />
Betracht gezogen werden, von einer Integration von <strong>TK</strong>- und IT-Anwendungen<br />
Abstand zu nehmen (siehe auch M-<strong>TK</strong>-104).<br />
M-<strong>TK</strong>-88 Absicherung der Kommunikation zwischen <strong>TK</strong>-Applikation und Datenbank<br />
Oftmals ist der Zugriff von <strong>TK</strong>-Applikationen auf Datenbanken notwendig, sei es<br />
um Abfragen und Manipulationen am Unternehmensverzeichnis durchzuführen<br />
(z. B. mittels Lightweight Directory Access Protocol, LDAP) oder um Datenbestände<br />
wie Kundendaten oder die Lagerhaltung in die <strong>TK</strong>-Applikation einzubeziehen.<br />
Wichtig ist die umsichtige Vergabe von Zugriffsrechten auf Datenbanken<br />
und Verzeichnisse. Der <strong>TK</strong>-Applikation sollten nur solche Zugriffsrechte<br />
erteilt werden, wie sie <strong>für</strong> eine sinnvolle Nutzung notwendig sind. Darüber hinaus<br />
sollte der entstehende Datenverkehr bei einem erhöhten Schutzbedarf durch Verschlüsselung<br />
gesichert werden.<br />
LDAP sieht zunächst keinerlei Verschlüsselungsmechanismen vor und überträgt<br />
auch Authentisierungsdaten im Klartext. Die Verwendung von TLS zur Verschlüsselung<br />
der gesamten Kommunikation ist allerdings im aktuellen Standard<br />
LDAPv3 spezifiziert und bei einer Nutzung dringend anzuraten. Alternativ können<br />
zur Absicherung der Kommunikation VPN-Techniken angewandt werden.<br />
Datenbankzugriffe unterliegen ähnlichen Gefährdungen wie Verzeichniszugriffe<br />
mittels LDAP. Die Kommunikation zwischen z. B. einem ODBC-Treiber und der<br />
Datenbank über ein Netzwerk findet oft anhand proprietärer Protokolle oder im<br />
Klartext statt. Bei erhöhtem Schutzbedarf sollte die Verbindung mittels IPsec oder<br />
TLS absichert werden (siehe auch Kapitel 2.2.5.2 und 7.2).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 163
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Personenbezogene Daten sollten in der Datenbank verschlüsselt gespeichert werden.<br />
Bei einem erhöhten Schutzbedarf hinsichtlich der Vertraulichkeit gilt dies<br />
allgemein auch <strong>für</strong> die übrigen gespeicherten Daten.<br />
M-<strong>TK</strong>-89 Absicherung der Kommunikation eines Präsenzsystems<br />
Präsenzinformationen sind, auch wenn Privatanwender oft sorglos mit ihnen umgehen,<br />
gerade im Geschäftsumfeld sensible Informationen. Neben der Verfügbarkeit<br />
eines Anwenders geben sie eventuell Informationen über den aktuellen Aufenthaltsort<br />
und die jeweilige Betätigung preis. Daher ist es unumgänglich, auch<br />
Präsenz- und Instant Messaging-Systeme durch Verschlüsselung und Authentisierung<br />
zu sichern. Ein probates Mittel ist hier der Einsatz von TLS zwischen Client<br />
und Präsenzserver (siehe auch Kapitel 7.2). Dieses Verfahren wird zumindest<br />
auch von den beiden wichtigsten Protokollstandards <strong>für</strong> diesen Zweck XMPP und<br />
SIP/SIMPLE vorgesehen.<br />
Weiterhin muss beachtet werden, dass mit Instant Messaging ein weiterer Verbreitungsweg<br />
<strong>für</strong> schadenstiftende Software besteht. Daher ist der Einsatz eines<br />
Virenscanners zu empfehlen, der auch die Kommunikation über Instant Messaging<br />
berücksichtigt.<br />
M-<strong>TK</strong>-90 Einschränkung der Sichtbarkeit von Präsenzinformationen<br />
Auch wenn der unbefugte Zugriff durch Außenstehende auf Präsenzinformationen<br />
mithilfe von Verschlüsselung und Authentisierung unterbunden wird, ist innerhalb<br />
des authentisierten Nutzerstamms eine Einschränkung der grundlegenden Sichtbarkeit<br />
von Präsenzinformationen notwendig. Die Präsenzinformation eines Nutzers<br />
sollte daher vor Zugriff durch andere Nutzer des Präsenzsystems geschützt<br />
bleiben, sofern nicht eine individuelle Freigabe der Information erfolgt ist. (Nutzer,<br />
die eine solche individuelle Freigabe erhalten haben, werden üblicherweise<br />
„Buddy“, englisch Kumpel, genannt.). Um dies zu ermöglichen, muss das verwendete<br />
Präsenzsystem über einen Mechanismus verfügen, der es zumindest den<br />
Administratoren oder besser noch den Nutzern erlaubt, die Sichtbarkeit von Präsenzinformationen<br />
einzuschränken.<br />
Auch aus Datenschutzgründen muss es dem Benutzer möglich sein, die Sichtbarkeit<br />
der eigenen Präsenzinformationen nach außen steuern zu können.<br />
M-<strong>TK</strong>-91 Differenzierung der Zugriffsrechte auf Präsenzinformationen<br />
Auch wenn ein Nutzer den Personenkreis, der grundsätzlich Zugriff auf die eigene<br />
Präsenzinformation besitzt, definieren kann, ist eine weitere Differenzierung der<br />
bereitgestellten Informationen notwendig. So ist es <strong>für</strong> bestimmte Personen, wie<br />
zum Beispiel Teamleiter, hilfreich, die Verfügbarkeit, die private Telefonnummer<br />
oder auch den Aufenthaltsort der Mitarbeiter einsehen zu können. Jedoch sollten<br />
nicht alle Nutzer des Präsenzsystems auf solch detaillierte Informationen zugreifen<br />
können. Um eine differenzierte Freigabe von Informationen zu ermöglichen,<br />
muss das verwendete Präsenzsystem über eine Rechtehierarchie verfügen,<br />
die es zumindest den Administratoren oder besser noch den Nutzern erlaubt, die<br />
Sichtbarkeit von Präsenzinformationen pro Benutzer oder Benutzergruppe einzuschränken.<br />
164 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Auch aus Datenschutzgründen muss es dem Benutzer möglich sein, die Sichtbarkeit<br />
der eigenen Präsenzinformationen nach außen steuern zu können.<br />
M-<strong>TK</strong>-92 Überprüfung von IVR-Applikationen unter <strong>Sicherheit</strong>saspekten<br />
IVR-Applikationen sind in Form von Sprachmenüs strukturiert, welche dem Anwender<br />
eine Auswahl von Interaktionen bieten, durch die der Benutzer z. B. in ein<br />
weiteres Untermenü oder zu einer bestimmten Funktion weitergeleitet wird. Die<br />
Struktur einer IVR-Applikation wird meist mit grafischen Werkzeugen erstellt.<br />
Dabei werden Datenbestände des Unternehmens (Kundendatenbank, ERP-System<br />
usw.) mit der IVR-Logik zu einer Applikation verknüpft. Potenziell kann also ein<br />
Anwender auf den kompletten Datenbestand eines Unternehmens oder eine Behörde<br />
zugreifen.<br />
Daher ist besondere Sorgfalt bei der Erstellung solcher Applikationen erforderlich.<br />
Die Menüstrukturen müssen analysiert und ein Missbrauch oder eine Umgehung<br />
der <strong>Sicherheit</strong>sabfragen muss ausgeschlossen werden. Dabei ist insbesondere<br />
<strong>für</strong> den erhöhten Schutzbedarf im Einzelfall zu prüfen, dass alle<br />
schützenswerten Punkte auch tatsächlich gesichert sind. Zudem dürfen keine unerwünschten<br />
Verzweigungen vorhanden sein, die es erlauben die vorgesehene<br />
Menüführung zu umgehen.<br />
Auch müssen (in Zusammenarbeit mit dem Hersteller der IVR-Lösung) eventuell<br />
<strong>für</strong> Wartungszwecke implementierte „verborgene“ Zugriffsmöglichkeiten, wie<br />
z. B. eine Tastenkombination <strong>für</strong> den administrativen Zugriff, generell deaktiviert<br />
oder zusätzlich durch ein genügend komplexes Passwort geschützt werden.<br />
Weiterhin müssen Maßnahmen zum Umgang mit PINs implementiert werden,<br />
u. a. im Sinne der Festlegung einer minimalen PIN-Komplexität und der Sperrung<br />
eines Benutzerkontos bei mehrmaliger falscher Eingabe der PIN (siehe hierzu<br />
auch M-<strong>TK</strong>-94). Beachtet werden muss auch, dass bei Verwendung eines unverschlüsselten<br />
Sprachkanals nicht nur die PIN kompromittiert werden kann, sondern<br />
auch die zu schützenden Informationen.<br />
M-<strong>TK</strong>-93 Sicherung von Audiokonferenzräumen<br />
Während im Bereich der Web-Konferenzen in der Regel eine Teilnehmerauthentisierung<br />
anhand von Nutzername und Passwort durchgeführt wird, wird bei Audiokonferenzen<br />
häufig eine Authentisierung auf Basis einer PIN durchgeführt. Zu<br />
beachten ist hierbei, dass die PIN häufig nicht personenbezogen ist, sondern <strong>für</strong><br />
alle Nutzer eines Konferenzraumes identisch ist. Dies kann sogar soweit gehen,<br />
dass die PIN nicht nur <strong>für</strong> eine anberaumte Konferenz gilt, sondern zeitlich unbestimmt<br />
<strong>für</strong> den Konferenzraum. Um den Beitritt nicht gewünschter Teilnehmer<br />
zu verhindern oder zumindest zu erschweren können Konferenzsysteme auf<br />
folgende Weise gesichert werden:<br />
• Vergabe von persönlichen PINs pro Konferenz <strong>für</strong> jeden Teilnehmer<br />
• Schließung des Konferenzraums durch den Moderator, sobald alle gewünschten<br />
Teilnehmer beigetreten sind<br />
• Beitritt in eine Konferenz nur durch Hinzuschaltung eines Teilnehmers durch<br />
den Moderator<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 165
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Anzeige der aktuellen Teilnehmer bzw. deren Rufnummern durch das Audiokonferenzsystem,<br />
z. B. auf einer einem Raum zugeordneten Webseite<br />
• Akustische Anzeige des Beitritts bzw. Verlassens eines Konferenzraums<br />
durch einzelne Teilnehmer<br />
Denkbar ist auch eine Authentisierung des verwendeten Endgerätes per Zertifikat<br />
oder die Eingabe von Nutzername und Passwort. Das erste Verfahren ist nur in<br />
rein IP-basierten Systemen möglich. Das zweite Verfahren erfordert eine alphanumerische<br />
Tastatur am Endgerät.<br />
M-<strong>TK</strong>-94 Absicherung des telefonischen Zugriffs auf <strong>TK</strong>-Applikationen durch eine<br />
PIN<br />
Falls aus technischen Gründen keine Authentisierung auf Basis von Zertifikaten<br />
oder Nutzerdaten realisierbar ist, muss jede sensible <strong>TK</strong>-Applikation zumindest<br />
durch eine PIN geschützt werden. Zu diesen Applikationen zählen zum Beispiel<br />
Unified Messaging Server mit telefonischem Zugriff auf den Posteingang, IVR-<br />
Applikationen mit Zugriff auf schützenswerte Daten oder Audiokonferenzsysteme.<br />
Da eine PIN im Gegensatz zu Passwörtern nur aus Zahlen und nicht aus alphanumerischen<br />
Zeichen besteht, ist es nicht möglich, den Grad der Komplexität<br />
durch das Hinzufügen von Buchstaben und Sonderzeichen zu erhöhen. Einzige<br />
Möglichkeit ist der Einsatz einer längeren PIN. Als absolutes Minimum gelten 4stellige<br />
PINs, eine Länge von 6 oder mehr Stellen ist aber dringend empfehlenswert<br />
(siehe IT-Grundschutz-Kataloge, M 2.11 „Regelungen des Passwortgebrauchs“).<br />
Des Weiteren sind triviale PINs wie z. B. ‚0000’, ‚4321’ oder simple<br />
„Muster“ auf dem numerischen Tastaturblock zu vermeiden.<br />
Um die fehlende Komplexität gegenüber alphanumerischen Passwörtern auszugleichen,<br />
ist es sinnvoll, bei wiederholter falscher Eingabe der PIN, den Zugriff<br />
auf die <strong>TK</strong>-Applikation, zumindest temporär, zu sperren.<br />
M-<strong>TK</strong>-95 Einschränkung der Zugriffsrechte<br />
<strong>TK</strong>-Applikationen und Mehrwertdienste verbinden in vielen Fällen unterschiedliche<br />
Anwendungsdomänen wie z. B. Telefoniedienste mit Kundendatenbanken<br />
oder betriebswirtschaftlicher Software. Als konkretes Beispiel sei die Kopplung<br />
einer Telefonanlage mit einem Customer Relationship Management (CRM)-<br />
System über einen CTI-Server genannt. Diese Brückenfunktion kann das <strong>Sicherheit</strong>sniveau<br />
der <strong>TK</strong>-Lösung, der <strong>TK</strong>-Applikation sowie darüber hinausgehend<br />
auch anderer IT-Systeme beeinträchtigen.<br />
Abhängig vom geforderten Schutzbedarf sind daher die Zugriffsrechte der beteiligten<br />
Dienst- und Nutzerkonten geeignet einzuschränken, um einen unerlaubten<br />
bzw. unvorhergesehenen Durchgriff auf Informationen zu vermeiden.<br />
Die spezifischen Maßnahmen hängen dabei vom betrachteten Dienst bzw. auch<br />
vom Produkt ab. Folgende Aspekte sind bei erhöhtem Schutzbedarf zu beachten:<br />
• Wenn Zugriffsrechte auf Basis von Benutzerkonten definiert werden, so ist<br />
die Verwendung eines zentralen oder zumindest synchronisierten Benutzerverzeichnisses<br />
einer getrennten Rechteverwaltung <strong>für</strong> unterschiedliche An-<br />
166 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
wendungsdomänen vorzuziehen. Auf diese Weise kann eine unkoordinierte<br />
bzw. unkontrollierte Rechtevergabe vermieden werden.<br />
• Benötigen die betrachteten <strong>TK</strong>-Applikationen und Mehrwertdienste spezielle<br />
Dienstkonten, so sind deren Zugriffsrechte soweit einzuschränken, dass ausschließlich<br />
die <strong>für</strong> die Ausführung des Dienstes notwendigen Rechte zur Verfügung<br />
stehen. Auf diese Weise kann der Schaden, der durch eine unberechtigte<br />
Nutzung eines Dienstkontos (z. B. durch Schadsoftware)<br />
entstehen kann, minimiert werden.<br />
M-<strong>TK</strong>-96 Absicherung der Anbindung von Alarmservern<br />
Die Anbindung des Alarmservers an eine <strong>TK</strong>-Anlage entspricht der Rolle eines<br />
Endgeräts und muss daher denselben Schutzmaßnahmen unterzogen werden (siehe<br />
auch Kapitel 4.1.2). Zusätzlich ergibt sich <strong>für</strong> eventuelle Notrufnummern die<br />
Gefahr des Missbrauchs, weshalb man den Zugriff auf firmeninterne, vor Fremdzugriff<br />
geschützte Endgeräte beschränken sollte. Ist ein Zugriff von außerhalb erforderlich,<br />
so sollte dieser durch eine hinreichend komplexe PIN geschützt werden<br />
(siehe auch M-<strong>TK</strong>-94).<br />
Die Anbindung eines Alarmservers an IP-basierte Dienste wie beispielsweise<br />
VoIP oder E-Mail, sollte bei erhöhtem Schutzbedarf durch angemessene Verschlüsselungsmechanismen<br />
gesichert werden.<br />
Für eine Alarmauslösung mittels einer der oben genannten Dienste gelten darüber<br />
hinaus dieselben Gefährdungen, wie <strong>für</strong> eine auf klassischer Telefonie basierenden<br />
Notruf-Hotline. Hier ist insbesondere die Authentisierung der alarmauslösenden<br />
Partei notwendig (z. B. die Abfrage einer PIN oder eines Passworts bzw.<br />
die Vorlage eines Zertifikats).<br />
Zu schützen sind auch <strong>für</strong> die Benachrichtigung von Mitarbeitern verwendete<br />
SMS Large Accounts, welche <strong>für</strong> den massenhaften Versand von SMS vorgesehen<br />
sind. Die Kommunikation mit dem Anbieter des Dienstes findet in der<br />
Regel IP-basiert statt. Es liegt in der Natur eines solchen Providerangebots, dass<br />
die Verbindung die Grenzen des Unternehmensnetzwerks verlässt und somit besonderen<br />
Schutzes bedarf.<br />
Grundsätzlich ist im Kontext von Alarmservern die Vertraulichkeit oft weniger<br />
bedeutend als Integrität und Verfügbarkeit. Falls essenzielle oder sogar lebenswichtige<br />
Funktionen durch den Alarmserver realisiert werden, sind daher alle Anbindungen<br />
an Kommunikationsnetzwerke (mehrfach) redundant auszulegen, und<br />
zwar sowohl in Bezug auf die Kabelinfrastruktur als auch auf die Stromversorgung<br />
und die notwendigen Netzwerkkomponenten. Die Anbindung an Gebäudeinfrastruktur<br />
oder Produktionsanlagen muss, je nach Gefährdung und<br />
Wichtigkeit der realisierten Funktionen, ebenfalls geschützt werden. Grundlegende<br />
Aspekte sind der Schutz vor physischem Zugriff durch Dritte sowie die<br />
eventuell redundante Auslegung der Kabelanbindung (siehe auch Kapitel 4.7.1).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 167
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.5.2 Endgeräte<br />
M-<strong>TK</strong>-97 Absicherung von <strong>TK</strong>-Applikationen auf Ebene der<br />
Endgeräte<br />
Viele <strong>TK</strong>-Applikationen und Mehrwertdienste basieren<br />
darauf, dass sie Dienste, die typischerweise über einen PC<br />
oder über eine spezielle Hardware bedient werden, auch sprachgesteuert über das<br />
Telefon anbieten. Als Beispiel sei hier der Zugriff auf das E-Mail-Postfach per<br />
Telefon genannt. Umgekehrt lassen sich viele Dienste, die üblicherweise über das<br />
Telefon bzw. die <strong>TK</strong>-Anlage genutzt werden, auch per PC zugreifen. Anrufjournale<br />
und die Web-basierte Konfiguration von Telefonen sind Beispiele <strong>für</strong><br />
solche Dienste. Eine dritte Kategorie wiederum verwendet die Browser-Funktion<br />
moderner Telefone, um beliebige Dienste (z. B. Zeiterfassung, Lagerverwaltung)<br />
bereitzustellen.<br />
Die Tatsache, dass solche Dienste auf mehreren Wegen erreicht und gesteuert<br />
werden können, hat <strong>für</strong> die Benutzer praktische Vorteile, stellt jedoch auch eine<br />
Gefährdung eines <strong>TK</strong>- und IT-Systems dar. Ein Dienst kann nur so sicher sein wie<br />
der am schwächsten geschützte Zugang.<br />
Für den erhöhten Schutzbedarf muss daher jedes Endgerät geeignet gesichert sein,<br />
um eine unbefugte Nutzung von <strong>TK</strong>-Applikationen und Mehrwertdiensten zu vermeiden.<br />
Für PC-Applikationen gelten hier die Empfehlungen der IT-Grundschutz-<br />
Kataloge. Der Zugang zu Telefonen und anderen Endgeräten mit eingeschränkten<br />
Eingabemöglichkeiten und Rechenleistungen sollte zumindest über einen mehrstelligen<br />
Zahlencode abgesichert sein. Ein auf diese Weise gesichertes Endgerät<br />
sollte nach mehrfacher Falscheingabe des Codes ohne administrativen Eingriff<br />
nicht mehr zu verwenden sein. <strong>Sichere</strong>re Authentisierungsmechanismen wie<br />
Smartcards sind zu bevorzugen.<br />
M-<strong>TK</strong>-98 Schulung der Nutzer<br />
Die Bedienung von <strong>TK</strong>-Applikationen und Mehrwertdiensten ist in den vergangenen<br />
Jahren bedeutend leichter geworden. Andererseits ist die Zahl der in der<br />
Praxis eingesetzten Applikationen und Dienste erheblich gewachsen. Diese<br />
Situation kann dazu führen, dass Benutzer überfordert sind, Dienste nicht ihrer<br />
Bestimmung entsprechend nutzen oder fehlbedienen und sich möglicher <strong>Sicherheit</strong>srisiken<br />
nicht bewusst sind. Hierdurch können die Vertraulichkeit und möglicherweise<br />
auch die Verfügbarkeit gefährdet sein.<br />
Es ist daher erforderlich die Nutzer von <strong>TK</strong>-Applikationen und Mehrwertdiensten<br />
zum richtigen Umgang mit den jeweiligen Diensten zu schulen und Hinweise auf<br />
mögliche <strong>Sicherheit</strong>srisiken zu geben.<br />
168 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.5.3 Netzwerk<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
M-<strong>TK</strong>-99 Netztrennung zwischen <strong>TK</strong>-Applikationen und IT-<br />
Systemen<br />
Die Server <strong>für</strong> <strong>TK</strong>-Applikationen sollten in von anderen<br />
IT-Systemen getrennten Netzen liegen. Der Zugang zu diesen<br />
Netzen sollte – sofern technisch möglich – durch ACLs kontrolliert werden.<br />
Für den erhöhten Schutzbedarf sollte eine Firewall zur Trennung der <strong>TK</strong>-<br />
Applikationen eingesetzt werden. Je nach geforderter Verfügbarkeit muss die<br />
Firewall redundant ausgelegt werden. Weiterhin muss die geforderte Leistung bei<br />
der Dimensionierung des Systems berücksichtigt werden. In Abhängigkeit von der<br />
Gefährdungslage ist der zusätzliche Einsatz eines IPS zu empfehlen. Das IPS kann<br />
dabei eine Komponente der Firewall oder eine separate Appliance sein.<br />
Abbildung 36: Trennung zwischen <strong>TK</strong>-Applikationen und IT-Systemen durch eine Firewall<br />
<strong>TK</strong>-Applikationen stellen sowohl eine Verbindung zur <strong>TK</strong>-Anlage als auch zu IT-<br />
Systemen her. Bei einer IP-basierten Anbindung zwischen <strong>TK</strong>-Anlage und <strong>TK</strong>-<br />
Applikationen ist es daher sinnvoll, wie in Abbildung 36 exemplarisch <strong>für</strong> ein<br />
VoIP-System gezeigt, die Server <strong>für</strong> die <strong>TK</strong>-Applikationen in eine DMZ der Firewall,<br />
die <strong>TK</strong>-Systeme und IT-Systeme trennt, zu positionieren.<br />
Da manche Protokolle (z. B. DCOM) dynamisch die <strong>für</strong> die Kommunikation verwendeten<br />
TCP- bzw. UDP-Ports aushandeln, kann eine ACL aber auch eine Firewall<br />
basierend auf einem dynamischen Paketfilter diese Protokolle nicht geeignet<br />
filtern und es müssten große Port-Bereiche permanent freigeschaltet werden. In<br />
diesem Fall muss eine Firewall mit entsprechender Applikationsintelligenz eingesetzt<br />
werden, die in der Lage ist, die Anwendungsprotokolle zu analysieren und<br />
Ports dynamisch freizuschalten und bei Beendigung der Kommunikation wieder<br />
zu schließen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 169
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.5.4 Netz- und Systemmanagement<br />
M-<strong>TK</strong>-100 <strong>Sichere</strong> Administration der Server <strong>für</strong> <strong>TK</strong>-<br />
Applikationen und Mehrwertdienste<br />
Die Administration von Servern <strong>für</strong> <strong>TK</strong>-Applikationen und<br />
Mehrwertdienste muss durch <strong>Sicherheit</strong>smechanismen angemessen<br />
geschützt werden. Hierzu sind allgemein die Maßnahmen M-<strong>TK</strong>-142,<br />
M-<strong>TK</strong>-143, M-<strong>TK</strong>-144, M-<strong>TK</strong>-145 und M-<strong>TK</strong>-146 umzusetzen.<br />
Für die sichere Administration von Anwendungs- und Management-Servern sind<br />
die allgemeinen Maßnahmen M-<strong>TK</strong>-142 bis M-<strong>TK</strong>-146 sowie M-<strong>TK</strong>-148 und M-<br />
<strong>TK</strong>-149 angemessen umzusetzen.<br />
Bei Applikations-Servern mit VoIP-Mehrwertdiensten gilt meistens „<strong>Sicherheit</strong><br />
vor Verfügbarkeit“. Beispiel: Eine vorübergehend nicht verfügbare Voice-Mail-<br />
Funktionalität ist oft besser als ein nicht sicherer (kompromittierbarer) Voice-<br />
Mail-Dienst. Anwendungs- und Management-Servern müssen vor schadenstiftender<br />
Software geschützt werden (siehe Maßnahme M-<strong>TK</strong>-147). Dies gilt insbesondere<br />
bei Verwendung von Standard-Betriebssystemen.<br />
M-<strong>TK</strong>-101 Schulung der Administratoren<br />
<strong>TK</strong>-Systeme und integrierte Applikationen und Mehrwertdienste können nicht<br />
isoliert betrachtet werden. Änderungen an einem Teilsystem (z. B. die Einrichtung<br />
einer Fernwartungsmöglichkeit) können sicherheitsrelevante Auswirkungen auf<br />
andere Teilsysteme haben. Es ist daher erforderlich die Administratoren der jeweiligen<br />
<strong>TK</strong>-Applikationen und Mehrwertdienste zu den Wechselwirkungen mit dem<br />
Gesamtsystem zu schulen und auf mögliche <strong>Sicherheit</strong>srisiken hinzuweisen.<br />
M-<strong>TK</strong>-102 Absicherung der Management-Schnittstellen einer <strong>TK</strong>-Applikation<br />
Um die Management-Schnittstelle von <strong>TK</strong>-Applikationen vor Manipulation und<br />
Ausspähen zu schützen, müssen eine Reihe von Maßnahmen ergriffen werden.<br />
Oftmals wird die administrative Bedienoberfläche einer Appliance als Web-<br />
Interface realisiert. Da unverschlüsselte HTTP-Verbindungen keinerlei Schutz<br />
bieten, ist hier unbedingt auf HTTPS zurückzugreifen. HTTPS bietet mittels<br />
SSL/TLS eine Verschlüsselung und Authentisierung der zu übertragenden Daten<br />
(siehe auch Kapitel 7.2). Nicht geeignet gesicherte Management-Schnittstellen<br />
sind unbedingt zu deaktivieren.<br />
Eine zweite wichtige Management-Schnittstelle ist das Simple Network Management<br />
Protocol (SNMP), welches die Fernwartung von Netzinfrastruktur und Serverapplikationen<br />
ermöglicht. Hier ist die allgemeine Maßnahme M-<strong>TK</strong>-149 umzusetzen.<br />
170 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.5.5 Übergreifende Aspekte<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
M-<strong>TK</strong>-103 Koordination der Planung und Administration von<br />
<strong>TK</strong>-Anlage und <strong>TK</strong>-Applikation<br />
Um die möglichen <strong>Sicherheit</strong>srisiken eines integrierten<br />
IT- und <strong>TK</strong>-Systems zu erkennen, ist eine Übersicht<br />
über das Gesamtsystem erforderlich. Die Risiken<br />
können nicht allein aufgrund der isolierten Betrachtung<br />
von Teilsystemen abgeschätzt werden; sie sind sozusagen mehr bzw.<br />
größer als die Summe der Einzelrisiken.<br />
Vor diesem Hintergrund ist es erforderlich sowohl die Planung als auch den Betrieb<br />
der Teilsysteme zu koordinieren. Die an diesen Prozessen beteiligten Personen<br />
und Organisationseinheiten müssen mittels geeigneter Maßnahmen über alle<br />
sicherheitsrelevanten Vorgänge informiert werden. Hierzu sind u. a. Vorgänge der<br />
folgenden Art zu zählen:<br />
• Aufspielen von Patches bzw. Updates auf ein Teilsystem<br />
• Einführung neuer Benutzergruppen<br />
• Änderungen der Rechte von Benutzergruppen<br />
• Änderungen der Zusammensetzung von Benutzergruppen<br />
• Aktivierung neuer Funktionen der <strong>TK</strong>-Anlage und <strong>TK</strong>-Applikationen<br />
• Konfigurationsänderungen, die über eine einfache Benutzerverwaltung hinausgehen<br />
M-<strong>TK</strong>-104 Auswahl von <strong>TK</strong>-Applikationen unter Berücksichtigung von <strong>Sicherheit</strong>saspekten<br />
Viele Applikationen lassen sich durch eine umsichtige Planung und entsprechende<br />
technische Maßnahmen hinreichend absichern. Steht der Sensibilität der Daten jedoch<br />
nur ein schwacher realisierbarer Schutz gegenüber, so muss dies bei der<br />
Auswahl einer <strong>TK</strong>-Applikation berücksichtigt und im Zweifelsfall auf die Nutzung<br />
der entsprechenden Anwendung verzichtet werden.<br />
4.6 Mobile und drahtlose Systeme<br />
In diesem Kapitel werden <strong>für</strong> die einzelnen betrachteten<br />
mobilen und drahtlosen Systeme <strong>Sicherheit</strong>smaßnahmen<br />
erarbeitet:<br />
• Wireless LAN (WLAN), siehe Kapitel 4.6.1<br />
• Fixed Mobile Convergence, siehe Kapitel 4.6.2<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 171
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• DECT, siehe Kapitel 4.6.3<br />
• Bluetooth, siehe Kapitel 4.6.4<br />
4.6.1 Wireless LAN<br />
Die Maßnahmen, die in der technischen Richtlinie <strong>Sichere</strong>s WLAN des BSI (siehe [BSI05b])<br />
<strong>für</strong> den normalen und den erhöhten Schutzbedarf festgelegt sind, gelten uneingeschränkt auch<br />
<strong>für</strong> die Anwendung von WLAN im Bereich der Telekommunikation (d. h. primär <strong>für</strong> VoIP<br />
über WLAN). Weiterhin behalten diverse Maßnahmen, die in Kapitel 4.2.2 <strong>für</strong> kabelbasierte<br />
Clients beschrieben sind, auch <strong>für</strong> WLAN ihre Gültigkeit.<br />
Im Folgenden werden die wesentlichen Maßnahmen kurz beschrieben bzw. <strong>für</strong> die spezielle<br />
Nutzungsform der drahtlosen Telekommunikation entsprechend adaptiert. Die Struktur des<br />
Maßnahmenkatalogs orientiert sich dabei wieder an der Systemarchitektur:<br />
• Maßnahmen auf Ebene der Server und Anwendungen, siehe Kapitel 4.6.1.1<br />
• Maßnahmen zur Absicherung der Endgeräte, siehe Kapitel 4.6.1.2<br />
• Maßnahmen im Bereich des Netzwerks, siehe Kapitel 4.6.1.3<br />
• Maßnahmen zum Netz- und Systemmanagement, siehe Kapitel 4.6.1.4<br />
4.6.1.1 Server und Anwendungen<br />
M-<strong>TK</strong>-105 Verschlüsselung, Integritätsschutz und Authentisierung<br />
auf der Luftschnittstelle<br />
Auf der Luftschnittstelle müssen Verschlüsselung und Integritätsschutz<br />
möglichst gemäß IEEE 802.11i bzw. WPA2<br />
erfolgen. Im Ausnahmefall (z. B. zur Unterstützung älterer Systeme) kann WPA<br />
eingesetzt werden. Bevorzugt sollte CCMP aktiviert werden, anderenfalls müssen<br />
zumindest <strong>TK</strong>IP-Verschlüsselung und Michael-Integritätsschutz genutzt werden.<br />
Die Authentisierung sollte möglichst über IEEE 802.1X (WPA2-Enterprise bzw.<br />
WPA-Enterprise) erfolgen. Dabei muss eine dem erhöhten Schutzbedarf angemessene<br />
Authentisierungsmethode eingesetzt werden, bevorzugt EAP-TLS<br />
oder EAP-FAST. Bei einem Zellwechsel während eines Telefonats (Handover)<br />
kann eine Authentisierung per IEEE 802.1X zu einer kurzzeitigen Leistungseinbuße<br />
verbunden mit hörbaren Beeinträchtigungen der Übertragungsqualität<br />
führen. Mögliche Maßnahmen sind an dieser Stelle:<br />
• Verwendung eines Controller-basierten WLAN-Designs<br />
• Einsatz von IEEE 802.11r, d. h. einer <strong>für</strong> die Mobilität optimierten Schlüsselverwaltung<br />
In kleineren en WLANs, in denen nur eine geringe Anzahl von WLAN-Stationen zu<br />
verwalten ist (SOHO-Bereich) können Pre-Shared Keys (d. h. WPA2-Personal<br />
bzw. WPA-Personal) eingesetzt werden.<br />
172 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
M-<strong>TK</strong>-106 Ende-zu-Ende-Verschlüsselung <strong>für</strong> Medienströme<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
Für den erhöhten Schutzbedarf muss Maßnahme M-<strong>TK</strong>-105 möglichst durch eine<br />
Ende-zu-Ende-Verschlüsselung der Medienströme ergänzt werden. Auf diese<br />
Weise wird die Übertragung auf der Luftschnittstelle zweifach abgesichert und ein<br />
Ausfall eines einzelnen Mechanismus (z. B. wenn durch eine Fehlkonfiguration<br />
am Access Point auf der Luftschnittstelle unverschlüsselt übertragen wird) führt<br />
nicht zwangsläufig zu einem unsicheren WLAN. Weiterhin wird durch diese<br />
Maßnahme da<strong>für</strong> gesorgt, dass die Kommunikation über die Luftschnittstelle hinaus<br />
geschützt wird.<br />
Für die Ende-zu-Ende-Verschlüsselung der Medienströme sollten möglichst<br />
SRTP und SRTCP eingesetzt werden. Alternativ können VPN-Techniken (basierend<br />
auf IPsec oder TLS) eingesetzt werden, sofern eine dem erhöhten Schutzbedarf<br />
angemessene Verschlüsselung mit einer Schlüssellänge von mindestens<br />
128 Bit eingesetzt wird.<br />
M-<strong>TK</strong>-107 Absicherung Authentication Server<br />
Über den Authenticator (Access Point bzw. WLAN Controller) findet ein indirekter<br />
Dialog zwischen Supplicant (d. h. einem Client) und dem Authentication<br />
Server statt. Dabei kann ein Supplicant in einer EAP-Methode an einen<br />
Authenticator potenziell schadenstiftende Daten übertragen. Der Authentication<br />
Server (typischerweise ein RADIUS-Server) muss also entsprechend gehärtet sein<br />
(siehe Maßnahme M-<strong>TK</strong>-142). Dabei sind insbesondere ungenutzte RADIUSspezifische<br />
Funktionen und EAP-Methoden zu deaktivieren.<br />
4.6.1.2 Endgeräte<br />
Bei einem erhöhten Schutzbedarf ist außerdem zu empfehlen, die Qualität des<br />
RADIUS-Servers und der Implementierung der eingesetzten EAP-Methoden im<br />
Rahmen von Penetrationstests eingehend zu prüfen.<br />
Für WLAN-Endgeräte inklusive Softphones gelten allgemein die in<br />
Kapitel 4.2.2 gelisteten Maßnahmen. Die im Folgenden spezifizierten<br />
zusätzlichen Maßnahmen adressieren speziell Gefährdungen, die sich<br />
aus der Mobilität der Endgeräte ergeben.<br />
M-<strong>TK</strong>-108 Absicherung von gespeicherten Daten<br />
Die Speicherung von Daten mit erhöhtem Schutzbedarf auf mobilen Endgeräten<br />
sollte generell vermieden werden. Daten mit erhöhtem Schutzbedarf, die auf dem<br />
internen Speicher des Endgeräts oder auf einer Speicherkarte abgelegt werden,<br />
müssen verschlüsselt werden. Dies wird auch <strong>für</strong> Daten mit normalem Schutzbedarf<br />
empfohlen. Wenn <strong>für</strong> Daten mit erhöhtem Schutzbedarf keine Möglichkeit<br />
zur Verschlüsselung auf einer Speicherkarte besteht, muss auf eine Speicherkarte<br />
verzichtet werden.<br />
Für den Umgang mit Daten auf mobilen Endgeräten muss eine organisatorische<br />
Regelung geschaffen und der Nutzer entsprechend aufgeklärt werden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 173
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
M-<strong>TK</strong>-109 Sperrung des WLAN-Endgeräts <strong>für</strong> Nutzereingaben<br />
Für den erhöhten Schutzbedarf muss ein Endgerät die Möglichkeit bieten, dass ein<br />
Nutzer das Gerät <strong>für</strong> Nutzereingaben sperren kann. Bei einem gesperrten Gerät<br />
steht nur ein eingeschränkter Dienstumfang (Annahme von Rufen, Absetzen von<br />
Notrufen) zur Verfügung. Eine solche Sperre muss (sofern technisch möglich) automatisch<br />
nach einer gewissen Zeitspanne ohne Nutzereingabe erfolgen.<br />
4.6.1.3 Netzwerk<br />
Wenn dieser automatische Sperrvorgang nicht möglich ist bzw. der Nutzer diese<br />
Funktion deaktivieren kann, muss der Umgang des Nutzers mit der Sperrfunktion<br />
organisatorisch geregelt werden.<br />
Das Entsperren muss über die Eingabe einer PIN oder eines Passworts hinreichender<br />
Komplexität erfolgen. Das Gerät sollte so konfiguriert werden, dass<br />
nach einer gewissen, festlegbaren Anzahl von fehlgeschlagenen<br />
Authentisierungsversuchen weitere Anmeldeversuche blockiert werden.<br />
Authentisierungsversuche (zumindest fehlgeschlagene Versuche) sollten<br />
protokolliert werden.<br />
M-<strong>TK</strong>-110 Trennung von LAN und WLAN<br />
LAN und WLAN müssen durch ein <strong>Sicherheit</strong>selement mit<br />
VoIP-tauglicher Firewall- und ggf. Intrusion-Prevention-<br />
Funktion entkoppelt werden. Dabei muss der Verkehr der<br />
WLAN-Endgeräte vom kabelbasierten Netz so getrennt werden, dass ein Zugriff<br />
auf eine Ressource in der kabelbasierten LAN-Infrastruktur nur über das <strong>Sicherheit</strong>selement<br />
möglich ist.<br />
Diese Trennung kann auf logische Weise durch VLAN (ggf. in Verbindung mit<br />
einer Trennung auf Layer 3 durch ACLs bzw. VRF) oder wie in einem Controllerbasierten<br />
WLAN-Design durch IP-Tunnel erfolgen. Bei einem Controllerbasierten<br />
Design kann bei entsprechend hohem Schutzbedarf der LAN-<br />
Infrastruktur weiterhin in Betracht gezogen werden, die Access Points über ein<br />
separates Netz anzubinden, über das ausschließlich WLAN Controller erreichbar<br />
sind. Im Einzelfall kann auch eine physikalische Netztrennung von LAN und<br />
WLAN durch Verwendung eigener aktiver Komponenten <strong>für</strong> das WLAN angemessen<br />
sein.<br />
Bei Nutzung eines Controller-basierten Designs muss bei einem erhöhten Schutzbedarf<br />
eine gegenseitige Authentisierung von Access Points und WLAN Controller<br />
erfolgen und die Übertragung zwischen Access Points und WLAN Controller<br />
möglichst verschlüsselt werden.<br />
M-<strong>TK</strong>-111 Absicherung des LAN-Zugangs <strong>für</strong> Access Points<br />
Der Ethernet-Anschluss eines Access Point an das kabelbasierte LAN muss bei<br />
einem erhöhten Schutzbedarf abgesichert werden, da ein Angreifer an dieser<br />
Schnittstelle einerseits versuchen kann, den WLAN-Verkehr zu belauschen und<br />
andererseits auf Infrastruktur-Ressourcen zuzugreifen. Hierzu ist eine auf den je-<br />
174 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
weiligen Schutzbedarf abgestimmte Kombination folgender Maßnahmen umzusetzen:<br />
• Sofern technisch möglich, können Access Points mit einem IEEE 802.1X<br />
Supplicant ausgestattet werden und IEEE 802.1X auf den entsprechenden<br />
Ports am Access Switch aktiviert werden. Die Access Points erhalten auf diese<br />
Weise erst nach erfolgreicher Authentisierung einen LAN-Zugang.<br />
• Bei einem Controller-basierten Design kann Port Security auf den entsprechenden<br />
Ports des Access Switch konfiguriert werden und der Port an die<br />
MAC-Adresse des Access Point gebunden werden.<br />
• Die Anbringung von Access Points sollte so durchgeführt werden, dass Access<br />
Points möglichst unsichtbar montiert und gegen einen unberechtigten<br />
Zugriff geschützt sind (beispielsweise durch eine Montage oberhalb einer<br />
Zwischendecke).<br />
M-<strong>TK</strong>-112 Berücksichtigung der Anforderungen einer Sprachübertragung bei der Planung<br />
der Funkzellen<br />
Funkzellen müssen in ihrer Ausdehnung und ihrer Überlappung so geplant werden,<br />
dass die WLAN-Ausleuchtung den Anforderungen einer Sprachübertragung<br />
hinsichtlich Mobilität und Verfügbarkeit gerecht wird.<br />
4.6.1.4 Netz- und Systemmanagement<br />
M-<strong>TK</strong>-113 Kontinuierliche Überwachung der Luftschnittstelle<br />
Die Luftschnittstelle muss über ein geeignetes Werkzeug<br />
zumindest an allen kritischen Stellen des mit WLAN versorgten<br />
Gebiets überwacht werden (siehe Abbildung 37).<br />
Die Überwachung beinhaltet unter anderem die regelmäßige Prüfung aller Funkkanäle<br />
(bei 2,4 GHz bzw. bei 5 GHz), die Messung von Leistungsparametern inklusive<br />
der Feststellung der Qualität, mit der andere WLAN-Stationen (insbesondere<br />
andere Access Points) empfangen werden, sowie die Analyse der<br />
Übertragungen hinsichtlich Fehlern oder Angriffsmustern.<br />
Hierzu sollte das WLAN-Management auch eine Funktion zur Lokalisierung von<br />
WLAN-Geräten (insbesondere von fremden Access Points) unterstützen.<br />
Dabei muss beachtet werden, dass der Einsatz einer solchen Überwachungsfunktion<br />
auf den produktiv genutzten Access Points die Leistung des WLAN und<br />
insbesondere die Sprachübertragung spürbar beeinträchtigen kann 51 .<br />
51 Hierzu schaltet ein Access Point regelmäßig vom Normalbetrieb <strong>für</strong> eine gewisse Zeitspanne in einen<br />
Messbetrieb um. Während dieses Messbetriebs kann der Access Point keine Nutzdaten mehr transportieren<br />
und es kommt zu entsprechenden Verzögerungen (ggf. sogar zu Verlusten) bei der Übertragung von<br />
Sprachdaten. Häufigkeit und Dauer des Messbetriebs können herstellerspezifisch konfiguriert werden. Es<br />
gibt auch Lösungen, welche den Messbetrieb durch eine eigene Zusatz-Hardware in den Access Points realisieren.<br />
Bei solchen Lösungen kommt es nicht zu Beeinträchtigungen der Datenübertragung durch Mes-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 175
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Meldungen zu Fehlern und zu sicherheitsrelevanten Ereignissen sollten an eine<br />
zentrale Fehlerkonsole geschickt werden. Hier können SNMP Traps sowie Syslog-Meldungen<br />
(siehe [RFC3164] und [BSI07]) genutzt werden.<br />
Abbildung 37: Überwachung der Luftschnittstelle durch Access Points in einem Controller-basierten<br />
WLAN-Design<br />
Zwischenspeicherung<br />
und Vorauswertung<br />
Messergebnisse<br />
WLAN<br />
Controller<br />
Messung<br />
Thin<br />
Access<br />
Point<br />
Ereignis<br />
IP-Netz<br />
Abfrage<br />
Thin<br />
Access<br />
Point<br />
Störungen,<br />
Angriffe<br />
WLAN Management:<br />
Alarming,<br />
Grafische Darstellung,<br />
(statistische) Auswertung,<br />
Verdichtung und Reporting<br />
M-<strong>TK</strong>-114 Kontinuierliche Überwachung der WLAN-Infrastruktur<br />
Die Netzelemente der WLAN-Infrastruktur (insbesondere Access Points, WLAN<br />
Controller und RADIUS-Server) müssen kontinuierlich hinsichtlich ihrer Verfügbarkeit<br />
überwacht werden. Meldungen zu Fehlern und zu sicherheitsrelevanten<br />
Ereignissen sollten an eine zentrale Fehlerkonsole geschickt wird. Hier können<br />
SNMP Traps sowie Syslog-Meldungen genutzt werden.<br />
M-<strong>TK</strong>-115 Fernadministration der WLAN-Endgeräte<br />
WLAN-Endgeräte sollten bei einem erhöhten Schutzbedarf zentral über das<br />
WLAN verwaltet werden können. Dabei sollte die Konfiguration des Geräts (insbesondere<br />
die <strong>Sicherheit</strong>seinstellungen) geprüft und möglichst auch den Vorgaben<br />
entsprechend angepasst werden können. Zumindest sollte die Möglichkeit bestehen,<br />
ein Endgerät zu sperren und alle relevanten Daten zu löschen. Diese Fern-<br />
sungen. Grundsätzlich können auch zusätzliche Access Points installiert werden, die eine reine Überwachungsfunktion<br />
<strong>für</strong> die produktiv genutzten Access Points haben.<br />
176 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
administration darf nur über eine sichere Kommunikationsverbindung (d. h. abgesichert<br />
durch eine angemessene Authentisierung und Verschlüsselung, siehe<br />
Maßnahme M-<strong>TK</strong>-69) erfolgen.<br />
4.6.2 Fixed Mobile Convergence<br />
Die Anbindung von GSM/UMTS-Mobilstationen an eine <strong>TK</strong>-Anlage erfordert die im Folgenden<br />
beschriebenen Maßnahmen. Allgemeine Hinweise zur Nutzung mobiler Endgeräte und<br />
mobiler Applikationen gibt [BSI06a]. Die Struktur des Maßnahmenkatalogs orientiert sich an<br />
den <strong>für</strong> den Nutzer solcher Systeme relevanten Teilen der Systemarchitektur:<br />
• Maßnahmen auf Ebene der Server und Anwendungen (siehe Kapitel 4.6.2.1)<br />
• Maßnahmen zur Absicherung der Endgeräte (siehe Kapitel 4.6.2.2)<br />
• Maßnahmen im Bereich des Netzwerks (siehe Kapitel 4.6.2.3)<br />
• Maßnahmen zum Netz- und Systemmanagement (siehe Kapitel 4.6.2.4)<br />
4.6.2.1 Server und Anwendungen<br />
M-<strong>TK</strong>-116 Gegenseitige Authentisierung von mobilen Endgeräten<br />
und einer zentralen Komponente der FMC-Lösung<br />
Mobile Endgeräte und eine zentrale Server-Komponente<br />
der FMC-Lösung (die Bestandteil der lokalen <strong>TK</strong>-Anlage<br />
sein kann oder als GANC bei einem Mobilfunkbetreiber implementiert ist) müssen<br />
sich gegenseitig authentisieren. Nur authentisierte Endgeräte dürfen über die<br />
FMC-Lösung kommunizieren. Für die Authentisierung kommen beispielsweise<br />
zertifikatsbasierte Verfahren in Betracht bzw. die in Kapitel 2.6.2.2.2 beschriebenen<br />
EAP-Methoden.<br />
M-<strong>TK</strong>-117 Schutz von Servern <strong>für</strong> mobile Endgeräte<br />
Die zentrale Server-Komponente der FMC-Lösung (die Bestandteil der lokalen<br />
<strong>TK</strong>-Anlage sein kann oder als GANC bei einem Mobilfunkbetreiber implementiert<br />
ist) muss einen Zugriff der mobilen Endgeräte gestatten. Hierzu ist die zentrale<br />
Server-Komponente entsprechend zu härten und der Zugang entsprechend zu<br />
kontrollieren (siehe Maßnahmen M-<strong>TK</strong>-142 bis M-<strong>TK</strong>-144). Dies gilt allgemein<br />
<strong>für</strong> Server <strong>für</strong> mobile Endgeräte (z. B. Server <strong>für</strong> die Synchronisation mit E-Mail,<br />
Kalender). Solche Systeme dürfen im Normalfall nicht direkt an das Internet angebunden<br />
werden, sondern nur über <strong>Sicherheit</strong>s-Gateways (je nach <strong>Sicherheit</strong>sanforderungen<br />
eine Kombination aus Firewalls, Application Layer Gateways und Intrusion-Prevention-Systemen).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 177
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
M-<strong>TK</strong>-118 Verwendung einer Ende-zu-Ende-Verschlüsselung <strong>für</strong> die Telekommunikation<br />
Für die Telekommunikation bei erhöhtem Schutzbedarf muss eine Ende-zu-Ende-<br />
Verschlüsselung zwischen den beteiligten Endgeräten oder zumindest zwischen<br />
dem verwendeten mobilen Endgerät und einem Gateway bzw. einer Verschlüsselungsbox<br />
im <strong>Sicherheit</strong>sbereich der privaten lokalen <strong>TK</strong>-Anlage erfolgen.<br />
Dies gilt unabhängig davon, ob ein Endgerät gerade über GSM/UMTS oder<br />
WLAN verbunden ist.<br />
Die Schlüssellänge muss mindestens 128 Bit betragen. Als zu Grunde liegendes<br />
Verschlüsselungsverfahren kommt AES in Frage. Ein sicheres, dynamisches<br />
Schlüsselmanagement z. B. basierend auf Zertifikaten oder das Diffie-Hellman-<br />
Verfahren muss unterstützt werden. Wenn die Sprachübertragung über IP erfolgt,<br />
ist möglichst SRTP und SRTCP zu verwenden.<br />
M-<strong>TK</strong>-119 Verschlüsselung von Nachrichten<br />
Nachrichten mit einem erhöhten Schutzbedarf, die per SMS oder MMS übertragen<br />
werden sollen, müssen Ende-zu-Ende verschlüsselt werden. Hierzu ist auf<br />
den Endgeräten eine entsprechende Anwendung erforderlich.<br />
Die Schlüssellänge muss mindestens 128 Bit betragen. Als zu Grunde liegendes<br />
Verschlüsselungsverfahren kommt AES in Frage. Ein sicheres, dynamisches<br />
Schlüsselmanagement z. B. basierend auf Zertifikaten oder das Diffie-Hellman-<br />
Verfahren muss unterstützt werden.<br />
4.6.2.2 Endgeräte<br />
M-<strong>TK</strong>-120 Absicherung aller Kommunikationsschnittstellen des<br />
Endgeräts<br />
Neben der GSM/UMTS-Funkschnittstelle (die automatisch<br />
über die in den GSM/UMTS-Standards spezifizierten Mitteln<br />
abgesichert wird) verfügt ein Endgerät über weitere Kommunikationsschnittstellen,<br />
die – sofern sie nicht deaktiviert sind – abgesichert werden müssen. Dies<br />
beinhaltet die Absicherung einer WLAN-Schnittstelle gemäß Kapitel 4.6.1 und<br />
einer Bluetooth-Schnittstelle gemäß Kapitel 4.6.4. In diesem Zusammenhang<br />
sollten zur Härtung des Endgeräts auch alle nicht benötigten bzw. sicherheitskritischen<br />
Dienste und Leistungsmerkmale deaktiviert werden.<br />
M-<strong>TK</strong>-121 Absicherung von gespeicherten Daten auf GSM/UMTS-Mobilstationen<br />
Zur Absicherung von gespeicherten Daten auf GSM/UMTS-Mobilstationen muss<br />
zunächst Maßnahme M-<strong>TK</strong>-108 angewandt werden. Die Schlüssel zur Entschlüsselung<br />
sollten dabei getrennt vom Endgerät in einem sicheren Speicher,<br />
z. B. auf einer Smartcard oder der SIM-Karte, aufbewahrt werden.<br />
Als Speicherort <strong>für</strong> personenbezogene Daten (und generell anderen Daten mit erhöhtem<br />
Schutzbedarf) kann - sofern technisch möglich - ebenfalls die SIM-Karte<br />
verwendet werden.<br />
178 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
M-<strong>TK</strong>-122 Sperrung der GSM/UMTS-Mobilstation <strong>für</strong> Nutzereingaben<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
Für den erhöhten Schutzbedarf muss ein Endgerät analog zu Maßnahme M-<strong>TK</strong>-<br />
109 die Möglichkeit bieten, dass ein Nutzer das Gerät <strong>für</strong> Nutzereingaben sperren<br />
kann. Bei einem gesperrten Gerät steht nur ein eingeschränkter Dienstumfang<br />
(Annahme von Rufen, Absetzen von Notrufen) zur Verfügung.<br />
Bei erhöhtem Schutzbedarf muss eine solche Sperre automatisch nach einer gewissen<br />
Zeitspanne ohne Nutzereingabe erfolgen können. Der Nutzer sollte diese<br />
Funktion nicht deaktivieren dürfen. Andernfalls muss der Umgang des Nutzers<br />
mit der Sperrfunktion organisatorisch geregelt werden.<br />
Zum Entsperren muss der Nutzer sich am Endgerät gemäß Maßnahme M-<strong>TK</strong>-123<br />
authentisieren.<br />
M-<strong>TK</strong>-123 Benutzerauthentisierung am mobilen Endgerät<br />
Für einen erhöhten Schutzbedarf muss das Endgerät, über die Eingabe einer PIN<br />
zur Freischaltung der SIM-Karte hinausgehend, die Möglichkeit einer Nutzerauthentisierung<br />
bieten. Hierzu ist entweder ein Passwort hinreichender Komplexität,<br />
ein Verfahren auf Smartcard-Basis oder eine Authentisierung mittels biometrischer<br />
Merkmale zu verwenden.<br />
Das Gerät muss weiterhin so konfiguriert werden, dass nach einer gewissen, festlegbaren<br />
Anzahl von fehlgeschlagenen Authentisierungsversuchen weitere Anmeldeversuche<br />
blockiert werden. Authentisierungsversuche (insbesondere fehlgeschlagene<br />
Versuche) müssen protokolliert werden.<br />
M-<strong>TK</strong>-124 Rollenbasierte Zugriffsberechtigungen auf Objekte des mobilen Endgeräts<br />
Der Zugriff auf Objekte des Endgeräts (d. h. Dienste, Funktionen, Anwendungen,<br />
Parameter und gespeicherte Daten), <strong>für</strong> die ein erhöhter Schutzbedarf besteht,<br />
muss durch Zugriffsrechte kontrolliert werden können. Der Zugriff auf ein solches<br />
Objekt darf nur <strong>für</strong> einen (gemäß seiner Rolle) autorisierten und gemäß Maßnahme<br />
M-<strong>TK</strong>-123 authentisierten Benutzer gestattet werden. Dabei muss zumindest<br />
zwischen der Rolle eines Administrators und der Rolle eines normalen<br />
Nutzers unterschieden werden. Ein feiner strukturierbares Berechtigungskonzept<br />
ist wünschenswert.<br />
M-<strong>TK</strong>-125 Schutz des mobilen Endgeräts vor schadenstiftender Software<br />
Für mobile Endgeräte, die <strong>für</strong> schadenstiftende Software (z. B. Viren, Würmer,<br />
Trojanische Pferde und Spyware) anfällig sind, ist der Einsatz einer entsprechenden<br />
Schutzsoftware unumgänglich. Die entsprechende Kombination von<br />
Funktionen aus den Bereichen Personal Firewall, Virenschutz und Host-basiertem<br />
IPS muss <strong>für</strong> das jeweilige System abgestimmt werden.<br />
M-<strong>TK</strong>-126 Deaktivierung der automatischen Rufannahme<br />
Die automatische Rufannahme muss <strong>für</strong> Endgeräte, die Daten mit einem erhöhten<br />
Schutzbedarf verarbeiten, sofern möglich, deaktiviert werden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 179
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
M-<strong>TK</strong>-127 Schutz vor unerwünschter Konfigurationsänderung über die GSM/UMTS-<br />
Funkschnittstelle<br />
Mit Hilfe spezieller Kurznachrichten lassen sich Konfigurationseinstellungen an<br />
mobile Endgeräte übermitteln – sogenanntes Over the Air (OTA) Provisioning.<br />
OTA Provisioning erlaubt außerdem die Übertragung von Firmware an ein mobiles<br />
Endgerät (Firmware Over the Air, FOTA). Weiterhin unterstützen moderne<br />
SIM-Karten die Speicherung von Programmen, die per SMS auf die SIM-Karte<br />
übertragen werden können (als SIM-Toolkit bezeichnet).<br />
Gegen den Empfang von OTA Provisioning SMS (und verwandter Techniken sowie<br />
gegen SMS Toolkit) gibt es keine unmittelbaren Schutzmaßnahmen. Die Betriebssysteme<br />
der Endgeräte müssen die Manipulation von Konfigurationsdaten<br />
von außen durch den Netzbetreiber nur auf ausdrückliche Betätigung des Anwenders<br />
hin zulassen. Hier muss der Nutzer entsprechend informiert werden.<br />
M-<strong>TK</strong>-128 Schutzmaßnahmen <strong>für</strong> das Herunterladen von Inhalten<br />
Eine Verbindung über das Internet darf erst nach Bestätigung durch den Nutzer<br />
aufgebaut werden. Eine Ausnahme bilden geeignet authentisierte Computer, die<br />
dem Vertrauensbereich der lokalen IT-Infrastruktur (bzw. <strong>TK</strong>-Anlage) zugeordnet<br />
sind und zu denen eine verschlüsselte Verbindung aufgebaut wird.<br />
Weiterhin muss das mobile Endgerät so konfiguriert werden, dass eine Bestätigung<br />
durch den Nutzer vor dem Herunterladen von Inhalten (inklusive MMS)<br />
erforderlich ist. Beim Zugriff auf aktive Inhalte gelten dabei allgemein die Schutzmaßnahmen<br />
der IT-Grundschutz-Kataloge.<br />
Beim Zugriff auf Inhalte mit erhöhtem Schutzbedarf muss darauf geachtet werden,<br />
dass eine Absicherung gemäß der in Kapitel 4.5.1 auf den jeweiligen Anwendungstyp<br />
zutreffenden Maßnahmen verwendet wird.<br />
M-<strong>TK</strong>-129 Prozess zur Behandlung des Verlusts eines mobilen Endgeräts<br />
Werden auf mobilen Endgeräten vertrauenswürdige Daten gespeichert, muss ein<br />
Prozess zur Behandlung des Verlusts eines mobilen Endgeräts implementiert werden,<br />
der den Umgang mit diesen Daten bei Beeinträchtigung von Vertraulichkeit<br />
und Integrität regelt. Dies beinhaltet beispielsweise, dass Zugangsberechtigungen<br />
gesperrt werden und Zertifikate sowie Passworte sofort zurückgezogen werden.<br />
4.6.2.3 Netzwerk<br />
M-<strong>TK</strong>-130 Berücksichtigung der <strong>Sicherheit</strong> bei der Vertragsgestaltung<br />
mit einem Diensteanbieter<br />
Durch die Integration mobiler und privater Telekommunikation<br />
ist die Grenze zwischen internen und externen<br />
Dienstleistungen manchmal nur schwer zu ziehen. Es ist daher besonders<br />
wichtig, die aus einem erhöhten Schutzbedarf resultierenden Anforderungen in<br />
Verträgen mit Diensteanbietern angemessen zu berücksichtigen. Dies beinhaltet<br />
neben den Festlegungen zur Verfügbarkeit auch Vereinbarungen zur Absicherung<br />
von Kundendaten sowie Informationspflichten des Diensteanbieters bei Sicher-<br />
180 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
heitsvorfällen. Außerdem sind Regelungen zur Überwachung der Umsetzung der<br />
Vereinbarungen zu treffen.<br />
Bei der Auswahl eines Diensteanbieters ist eine Einschätzung der Vertrauenswürdigkeit<br />
gemäß Maßnahme M-<strong>TK</strong>-153 zu empfehlen.<br />
4.6.2.4 Netz- und Systemmanagement<br />
M-<strong>TK</strong>-131 Fernadministration der mobilen Endgeräte<br />
Analog zu Maßnahme M-<strong>TK</strong>-115 müssen bei einem erhöhten<br />
Schutzbedarf mobile Endgeräte zentral über<br />
GSM/UMTS verwaltet werden können.<br />
4.6.3 DECT<br />
Maßnahmen zur Absicherung von DECT-Systemen <strong>für</strong> den normalen Schutzbedarf sind in<br />
der Broschüre „Drahtlose Kommunikationssysteme und ihre <strong>Sicherheit</strong>saspekte“ des BSI<br />
beschrieben (siehe [BSI06b]). Bei einem erhöhten Schutzbedarf ist der Einsatz von weitergehenden<br />
<strong>Sicherheit</strong>smechanismen zwingend erforderlich, da die vom DECT-Standard unterstützten<br />
<strong>Sicherheit</strong>smechanismen hinsichtlich der Stärke von Verschlüsselung und Authentisierung<br />
nicht <strong>für</strong> einen erhöhten Schutzbedarf angemessen sind. Andernfalls muss bei einem<br />
erhöhten Schutzbedarf von der Nutzung von DECT abgeraten werden.<br />
4.6.3.1 Endgeräte<br />
M-<strong>TK</strong>-132 Einsatz von DECT-Endgeräten mit zusätzlicher Verschlüsselung<br />
Bei erhöhtem Schutzbedarf müssen die eingesetzten Geräte<br />
neben der DECT-Standardverschlüsselung zusätzlich eine Ende-zu-Ende-<br />
Verschlüsselung zwischen DECT-Endgeräten oder zwischen DECT-Endgeräten<br />
und einer an gesicherter Stelle im Festnetz installierten Verschlüsselungsbox<br />
unterstützen. Die Schlüssellänge muss mindestens 128 Bit betragen. Als zu<br />
Grunde liegendes Verschlüsselungsverfahren kommt AES in Frage. Ein sicheres,<br />
möglichst dynamisches Schlüsselmanagement z. B. basierend auf Zertifikaten<br />
oder das Diffie-Hellman-Verfahren muss unterstützt werden. Der Einsatz von Pre-<br />
Shared Keys ist nur bei einer geringen Anzahl von Endgeräten sinnvoll.<br />
Die Endgeräte müssen so konfiguriert werden können, dass die zusätzliche Verschlüsselung<br />
grundsätzlich aktiviert ist. Wenn die zusätzliche Verschlüsselung bei<br />
Bedarf aktiviert wird, muss ein eindeutiger Hinweis den Benutzer auf den Fall<br />
aufmerksam machen, dass die zusätzliche Verschlüsselung <strong>für</strong> ein Gespräch nicht<br />
aktiviert ist (siehe auch Maßnahme M-<strong>TK</strong>-43). Für den Nutzer muss die zusätzliche<br />
Verschlüsselung ohne Aufwand aktivierbar sein, d. h. per Knopfdruck oder<br />
einem vergleichbar einfachen Schritt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 181
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.6.3.2 Netzwerk<br />
M-<strong>TK</strong>-133 Absicherung bei Anschluss von Radio Fixed Parts an<br />
ein LAN<br />
Sofern Radio Fixed Parts verwendet werden, die über eine<br />
Ethernet-Schnittstelle an eine VoIP-Infrastruktur angebunden sind, muss der Zugriff<br />
auf Komponenten und Geräte im LAN kontrolliert werden. Hierzu ist analog<br />
zu der <strong>für</strong> WLAN beschriebenen Maßnahme M-<strong>TK</strong>-110 eine Trennung zwischen<br />
dem Netz, über das Fixed Parts angeschlossen werden, und dem Rest der LAN-<br />
Infrastruktur zu schaffen. Weiterhin muss analog zu Maßnahme M-<strong>TK</strong>-111 der<br />
LAN-Zugang <strong>für</strong> Radio Fixed Parts abgesichert werden.<br />
4.6.3.3 Netz- und Systemmanagement<br />
M-<strong>TK</strong>-134 Protokollierung des Einsatzes zusätzlicher Verschlüsselung<br />
Für den erhöhten Schutzbedarf sollte in den Verbindungsdaten<br />
aufgezeichnet werden, ob ein Gespräch gemäß Maßnahme M-<strong>TK</strong>-132 zusätzlich<br />
verschlüsselt wurde oder nicht. Diese Maßnahme dient der Ursachenforschung<br />
bei einem <strong>Sicherheit</strong>svorfall. Es besteht hierbei ein potenzieller Zielkonflikt<br />
mit dem Datenschutz, der eine entsprechende Sorgfalt in Speicherung<br />
und Auswertung der Verbindungsdaten erfordert.<br />
M-<strong>TK</strong>-135 Verzicht auf den Einsatz von DECT bei erhöhtem Schutzbedarf<br />
Bei erhöhtem Schutzbedarf (insbesondere falls Maßnahme M-<strong>TK</strong>-132 nicht umgesetzt<br />
werden kann) ist der Verzicht auf den Einsatz von DECT eine Option, die<br />
in Betracht gezogen werden muss.<br />
4.6.4 Bluetooth<br />
Für den normalen Schutzbedarf bilden die in der Broschüre „Drahtlose Kommunikationssysteme<br />
und ihre <strong>Sicherheit</strong>saspekte“ des BSI beschrieben Maßnahmen die Grundlage (siehe<br />
[BSI06b]). Für den erhöhten Schutzbedarf sind ergänzend folgende Maßnahmen vorgesehen.<br />
4.6.4.1 Endgeräte<br />
M-<strong>TK</strong>-136 <strong>Sichere</strong> Konfiguration und Verwendung des Bluetooth-<br />
Adapters<br />
Da bei Bluetooth die Absicherung der Kommunikation<br />
nicht erzwungen wird, liegt die Verantwortung <strong>für</strong> den Einsatz von <strong>Sicherheit</strong>smechanismen<br />
beim Nutzer. Die sichere Konfiguration und der umsichtiger Um-<br />
182 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
gang mit der Technik sind also wesentliche Elemente. Für die Verwendung eines<br />
Bluetooth-Adapters sind folgende Einstellungen zu beachten (siehe auch<br />
[BSI06b]):<br />
• Die Bluetooth-Schnittstellen der Geräte sollten bei Nichtbenutzung deaktiviert<br />
werden.<br />
• Bluetooth-Geräte sollten möglichst wenig „offen“ konfiguriert werden. Es<br />
sind nach Möglichkeit die Betriebsmodi non-discoverable, non-connectable<br />
und non-pairable einzustellen.<br />
• Verwendung starker PINs: Die Komplexität der PIN ist ein entscheidendes<br />
Element der Absicherung von Bluetooth. Die PIN muss mit maximal möglicher<br />
Komplexität gewählt werden. Eine PIN sollte also eine möglichst zufällige<br />
Folge maximal möglicher Länge (möglichst 128 Bit, mindestens aber<br />
64 Bit) aus dem gerätespezifisch verwendbaren Zeichenvorrat sein.<br />
• Authentisierung und Verschlüsselung: Der Adapter ist so zu konfigurieren,<br />
dass generell eine Authentisierung beim Verbindungsaufbau durchgeführt<br />
wird und die Kommunikation verschlüsselt wird. Zu beachten ist dabei, dass<br />
die Länge des Schlüssels (maximal 128 Bit und minimal nur 8 Bit) zwischen<br />
den Geräten ausgehandelt wird und normalerweise der Nutzer hier keinen direkten<br />
Einfluss nehmen kann. Daher ist im Vorfeld der Nutzung sicherzustellen,<br />
dass die verwendeten Geräte tatsächlich die maximale mögliche<br />
Schlüssellänge von 128 Bit nutzen.<br />
• Verwendung semi-permanenter Verbindungsschlüssel 52 : Wird bei einem solchen<br />
Paar zu einem unerwarteten Zeitpunkt vom Benutzer eine PIN-Eingabe<br />
verlangt, sollte dieser nach Möglichkeit darauf verzichten, bis er sich in abhörsicherer<br />
Umgebung befindet. Dies erfordert eine entsprechende Einweisung<br />
des Nutzers.<br />
• Das Pairing darf nur mit vertrauenswürdigen Geräten, die im Vorfeld entsprechend<br />
den in dieser Maßnahme beschriebenen Vorgaben geprüft wurden,<br />
erfolgen.<br />
• Bei Verlust/Diebstahl eines mobilen (bzw. stationären) Gerätes müssen alle<br />
zugehörigen Verbindungsschlüssel in den verbliebenen Geräten gelöscht<br />
werden.<br />
M-<strong>TK</strong>-137 Einsatz von Bluetooth-Endgeräten mit zusätzlicher Verschlüsselung<br />
Für den erhöhtem Schutzbedarf müssen die eingesetzten Geräte neben der Bluetooth-Standardverschlüsselung<br />
ergänzend einen weiteren Verschlüsselungsmechanismus<br />
unterstützen, der zusätzlich aktiviert werden kann. Ein Grund hierzu<br />
liegt in der vergleichsweise schwachen Verschlüsselung von Bluetooth, <strong>für</strong> die<br />
bereits 2001 gezeigt wurde, dass die erreichbare <strong>Sicherheit</strong>, obwohl Schlüssellängen<br />
bis 128 Bit möglich sind, je nach Stärke des Angreifers 73 bzw. 84 Bit<br />
nicht übersteigt (siehe [FLUH01]).<br />
52 Die Nutzung temporärer Schlüssel erfordert eine Schlüsselaushandlung pro Verbindung. Hier ist das<br />
System vergleichsweise verwundbar, und diese Phase ist in der Vergangenheit immer wieder zu Angriffen<br />
ausgenutzt worden. Daher wird bewusst zu semi-permanenten Schlüsseln geraten!<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 183
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4.6.4.2 Netzwerk<br />
Die effektive Schlüssellänge sollte mindestens 128 Bit betragen. Als Verschlüsselungsverfahren<br />
kommt AES in Frage. Dabei ist auch der Einsatz von<br />
Mechanismen wie IPsec (siehe Kapitel 7.3.3) und TLS/SSL (siehe Kapitel 7.2 und<br />
Kapitel 7.3.4) möglich.<br />
Die Endgeräte müssen so konfiguriert werden können, dass die zusätzliche Verschlüsselung<br />
grundsätzlich aktiviert ist. Wenn die zusätzliche Verschlüsselung bei<br />
Bedarf aktiviert wird, muss ein eindeutiger Hinweis den Benutzer auf den Fall<br />
aufmerksam machen, dass die zusätzliche Verschlüsselung <strong>für</strong> ein Gespräch nicht<br />
aktiviert ist (siehe auch Maßnahme M-<strong>TK</strong>-43). Für den Nutzer muss die zusätzliche<br />
Verschlüsselung ohne Aufwand aktivierbar sein, d. h. per Knopfdruck oder<br />
einem vergleichbar einfachen Schritt.<br />
M-<strong>TK</strong>-138 Absicherung von Bluetooth Access Points bei Anschluss<br />
an ein LAN<br />
Werden Bluetooth Access Points über eine Ethernet-<br />
Schnittstelle an eine VoIP-Infrastruktur angebunden, muss der Zugriff auf Komponenten<br />
und Geräte im LAN kontrolliert werden. Hierzu ist analog zu der <strong>für</strong><br />
WLAN beschriebenen Maßnahm M-<strong>TK</strong>-110 eine Trennung zwischen dem Netz,<br />
über das Bluetooth Access Points angeschlossen werden, und dem Rest der LAN-<br />
Infrastruktur zu schaffen. Weiterhin muss analog zu Maßnahme M-<strong>TK</strong>-111 der<br />
LAN-Zugang <strong>für</strong> Radio Fixed Parts abgesichert werden.<br />
4.6.4.3 Netz- und Systemmanagement<br />
M-<strong>TK</strong>-139 Verzicht auf den Einsatz von Bluetooth bei erhöhtem<br />
Schutzbedarf<br />
Bei erhöhtem Schutzbedarf (insbesondere falls Maßnahme<br />
M-<strong>TK</strong>-137 nicht umgesetzt werden kann) ist der Verzicht auf den Einsatz von<br />
Bluetooth eine Option, die in Betracht gezogen werden muss.<br />
184 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4.7 Systemübergreifende Aspekte<br />
4 <strong>Sicherheit</strong>smaßnahmen<br />
In diesem Kapitel werden systemübergreifende Aspekte beschrieben, die <strong>für</strong> die betrachteten<br />
Telekommunikationssysteme gleichermaßen gelten. Dies beinhaltet die folgenden Punkte:<br />
• Auslegung der passiven Netzinfrastruktur bei erhöhtem Schutzbedarf, siehe Kapitel 4.7.1<br />
• Absicherung von Servern des Telekommunikationssystems, siehe Kapitel 4.7.2<br />
• <strong>Sichere</strong>s Netz- und Systemmanagement, siehe Kapitel 4.7.3<br />
• Aspekte des Datenschutzes, siehe Kapitel 4.7.4<br />
• Auswahl von Diensteanbietern, siehe Kapitel 4.7.5<br />
4.7.1 Auslegung der passiven Netzinfrastruktur bei erhöhtem Schutzbedarf<br />
Im Falle erhöhten Schutzbedarfs ist auch bei der Auslegung der passiven Netzinfrastruktur<br />
(Verkabelung, Rangierfelder, u. Ä.) besondere Sorgfalt hinsichtlich Verhinderung unbefugten<br />
Zugangs zum Netzwerk (Vertraulichkeit, Integrität von Telefonie-Kommunikation) bzw.<br />
Minimierung des Verfügbarkeitsrisikos <strong>für</strong> die genutzten Kabelstrecken zu üben.<br />
Hierzu sind die folgenden Maßnahmen herauszuheben:<br />
M-<strong>TK</strong>-140 <strong>Sichere</strong> Kabelführung<br />
In dieser Maßnahme werden keine <strong>TK</strong>-spezifischen Aspekte erläutert, sondern<br />
allgemeine Hinweise zur sicheren Verlegung von Kabeln gegeben. Grundlegende<br />
Maßnahmen zur Umsetzung des normalen Schutzbedarfs befinden sich in dem<br />
Baustein „B 2.12 IT-Verkabelung“ der IT-Grundschutz-Kataloge. „<strong>Sichere</strong> Kabelführung“<br />
bedeutet die Minimierung von versehentlicher oder vorsätzlicher Beschädigung<br />
von Kabelinstallationen, sowie Eingriffe in die Verkabelung zur<br />
Schaffung von Abhörmöglichkeiten.<br />
Für erhöhten Schutzbedarf bei der Verkabelung sollten die folgenden Aspekte realisiert<br />
werden:<br />
• Grundsätzlich sollte die Zahl der Stellen, an denen verlegte Kabel zugänglich<br />
sind, auf das betriebsnotwendige Maß beschränkt werden.<br />
• Kabelstrecken und Anschlussdosen sollten nicht öffentlich zugänglich sein.<br />
Insbesondere bei Backbone-Kabeln und Sekundärverkabelung sollte auf die<br />
Einhaltung dieser Maßnahme geachtet werden. Im Falle von öffentlich frequentierten<br />
Bereichen sollten die Kabel über abgehängten Decken, unter<br />
Doppelböden, in unzugänglichen Bereichen usw. verlegt werden.<br />
• Zugänge zu Kabelkanälen müssen verschlossen werden, um Manipulationen<br />
an den Kabeln zu erschweren.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 185
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Nicht genutzte Anschlussdosen sollten nicht rangiert sein, da ansonsten die<br />
Gefahr besteht, dass ein Unbefugter Zugang zum Netzwerk erhält.<br />
Der Rangierzustand der Dosen sollte konsequent dokumentiert werden, um<br />
immer eine aktuelle Übersicht der möglichen Zugänge zum Netzwerk vorliegen<br />
zu haben.<br />
• Kabelwege sind durch gezielte Maßnahmen gegen Beschädigung durch<br />
Brand zu schützen (Brandabschottung).<br />
M-<strong>TK</strong>-141 Redundante Kabelführung<br />
Bei erhöhtem Schutzbedarf hinsichtlich Verfügbarkeit von Telefonen sollte durch<br />
Aufteilung der Kabelführung auf verschiedene Wege der Wirkbereich etwaiger<br />
Schaden stiftender Ereignisse im Bereich solcher Kabelwege reduziert werden. Je<br />
nach Risikobewertung im Detail, Gebäudestruktur und Topologie der <strong>für</strong> Telefonie<br />
gewählten Vernetzung sind hier verschiedene Formen bzw. Stufen<br />
redundanter Kabelführung bei der Umsetzung zu berücksichtigen:<br />
• Zuführung der Tertiärverkabelung zu Anschlussdosen in einem Raum auf<br />
verschiedenen Wegen<br />
• Zuführung der Tertiärverkabelung zu Anschlussdosen auf einer Etage auf<br />
verschiedenen Wegen (bei sternförmiger Direktanbindung von Telefonie-<br />
Endgeräten an eine zentrale Anlage)<br />
• Zuführung der Sekundärverkabelung zu einer Etage auf verschiedenen Wegen<br />
• Zuführung der Primärverkabelung zu Gebäuden auf verschiedenen Wegen.<br />
Das <strong>für</strong> den Endgerätebereich zur Tertiärverkabelung Formulierte ist sinngemäß<br />
auch <strong>für</strong> die redundante Versorgung eines zentralen Server- oder Technikraums<br />
mit Netzwerk-Anschlüssen <strong>für</strong> die dort untergebrachten Systeme umzusetzen. An<br />
die Stelle von Anschlussdosen treten hier zumeist Rangierfelder in den Schränken/Racks.<br />
4.7.2 Absicherung von Servern des Telekommunikationssystems<br />
Ein Server muss unabhängig von seinem Einsatzbereich in einem Telekommunikationssystem<br />
angemessen geschützt werden. Allgemein sind hierzu die jeweils zutreffenden Maßnahmen<br />
der IT-Grundschutz-Kataloge umzusetzen. Insbesondere wird auf folgende Maßnahmen<br />
hingewiesen.<br />
M-<strong>TK</strong>-142 Härtung von Servern des Telekommunikationssystems<br />
Server des Telekommunikationssystems basieren oft auf Standardbetriebssystemen<br />
mit den einschlägig bekannten <strong>Sicherheit</strong>sschwächen und -lücken. Diese<br />
Systeme sind durch eine „Härtung“ abzusichern, die die folgenden Prüf- bzw.<br />
Aktionspunkte umfasst:<br />
• Nicht benötigte Administrationsschnittstellen müssen deaktiviert werden<br />
(z. B. Deaktivierung der Web-Schnittstelle, wenn die Administration nur über<br />
ein Command Line Interface erfolgen soll).<br />
186 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
• Jeder nicht benötigte IP-Service und Netzdienst auf einem Server des Telekommunikationssystems<br />
ist zu deaktivieren, um zu vermeiden, dass <strong>Sicherheit</strong>sschwachstellen<br />
dieser Dienste ausgenutzt werden können.<br />
• Zur Prüfung, ob ein Server <strong>Sicherheit</strong>sschwachstellen aufweist, sollten Security-Scanner<br />
eingesetzt werden, die den Server von innen und außen (über das<br />
Netz) überprüfen.<br />
• Zur Prüfung von Systemdateien und anderen kritischen, jedoch keinen<br />
schnellen Änderungen unterliegenden Dateien und Verzeichnissen sollten<br />
prüfsummenbildende Programme eingesetzt werden, die die Integrität der Dateien<br />
sicherstellen.<br />
• <strong>Sicherheit</strong>s-Patches <strong>für</strong> das Betriebssystem der Server des Telekommunikationssystems<br />
und den darauf verwendeten Programmen müssen<br />
getestet und anschließend so schnell wie möglich installiert werden.<br />
Wenn Linux als Betriebssystem eingesetzt wird, so müssen unter anderem die folgenden<br />
Punkte beachtet werden:<br />
• Durchführung einer Minimalinstallation bzw. Deinstallation nicht benötigter<br />
Pakete<br />
• Deaktivierung nicht benötigter Dienste, wie z. B. NFS, SMB, X Window System,<br />
rcp, rlogin and rexec<br />
• Minimierung der Zugangsprivilegien <strong>für</strong> Dateien und Verzeichnisse<br />
Eine manuelle und automatische Log-Auswertung ist zwingender Bestandteil der<br />
<strong>Sicherheit</strong>smechanismen auf den Systemen.<br />
Weitere Einzelmaßnahmen, die zur Härtung beitragen, sind in Maßnahme M-<strong>TK</strong>-<br />
147 zu finden.<br />
Eine wichtige Grundlage zur effektiven Härtung ist die Vertrauenswürdigkeit der<br />
verwendeten Server-Plattform bzw. des Server-Betriebssystems. Hierzu sollte eine<br />
Zertifizierung nach Common Criteria vorliegen. Bei erhöhtem Schutzbedarf<br />
sollte die Vertrauensstufe EAL4 oder besser EAL4+ erreicht werden<br />
M-<strong>TK</strong>-143 Einschränkung und Kontrolle von Berechtigungen <strong>für</strong> die Administration<br />
eines Servers des Telekommunikationssystems<br />
Administrationskonten müssen personalisiert sein, um eine Zuordnung von Tätigkeit<br />
und Administrator sicherzustellen. Gruppen- oder Funktionskonten sind möglichst<br />
zu vermeiden.<br />
Administrationskonten dürfen nur so viele Rechte erhalten, wie zum Arbeiten benötigt<br />
werden. Dabei sollte eine gezielte Unterscheidung zwischen den Zugriffsberechtigungen<br />
„Lesen und Schreiben“ und „nur Lesen“ vorgenommen werden.<br />
Hierzu ist ein Berechtigungskonzept zu erstellen, das rollenbasierte Berechtigungsprofile<br />
zu verschiedenen Administrationsfunktionen spezifiziert.<br />
Dabei können beispielsweise unterschiedliche Berechtigungen <strong>für</strong> einen internen<br />
Administrator mit Vollzugriff und einen externen Wartungspartner mit eingeschränkten<br />
Administrationsrechten <strong>für</strong> die Remote-Wartung festgelegt werden.<br />
Das Berechtigungskonzept sollte möglichst hierarchisch aufgebaut werden. Über<br />
die höchste Berechtigungsebene müssen alle Funktionen zugreifbar sein; die zu-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 187
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
greifbaren Funktionen der darunter liegenden Ebenen werden durch die höchste<br />
Berechtigungsebene zugewiesen.<br />
M-<strong>TK</strong>-144 Einschränkung und Kontrolle des Zugangs zu einem Server des Telekommunikationssystems<br />
Der Zugriff auf Managementfunktionen muss <strong>für</strong> alle Administrationsschnittstellen<br />
durch eine angemessene Authentisierung abgesichert werden. Die<br />
Authentisierung muss mindestens über Nutzername und Passwort erfolgen, wobei<br />
eine entsprechende Passwortrichtlinie konsequent umzusetzen ist. Für den erhöhten<br />
Schutzbedarf kann der Einsatz stärkerer Authentisierungsmechanismen<br />
(z. B. Zertifikate in Verbindung mit Smartcards) in Betracht gezogen werden.<br />
Wenn die Telefonie und IT aus strategischer Sicht zusammenwachsen sollen, wird<br />
aus einer <strong>Sicherheit</strong>sperspektive empfohlen, diesen Weg auch <strong>für</strong> die Datenhaltung<br />
konsequent umzusetzen. Hierzu sollte eine Integration der Telefonie in<br />
den vorhandenen unternehmensweiten Verzeichnisdienst (Corporate Directory<br />
Service) vorgenommen werden.<br />
Wenn die zulässige Anzahl fehlgeschlagener Authentisierungsversuche überschritten<br />
wird, sollte das entsprechende Konto <strong>für</strong> eine bestimmte Zeit gesperrt<br />
werden.<br />
Es dürfen ausschließlich sicherere Protokolle (Secure Shell (SSHv2), HTTPS, Secure<br />
Copy (SCP), SNMPv3) <strong>für</strong> den administrativen Zugriff auf das System verwendet<br />
werden.<br />
Nach einer bestimmten Zeit der Inaktivität sollten Administrationssitzungen soweit<br />
möglich automatisch geschlossen werden.<br />
Für den erhöhten Schutzbedarf gelten folgende zusätzliche Einzelmaßnahmen:<br />
• Über die durchgeführten Administrationstätigkeiten muss eine nicht manipulierbare<br />
Logbuchdatei (je Berechtigungsebene) erstellt und nach Eingabe des<br />
Passworts der entsprechenden Ebene ausgegeben werden können. Zusätzlich<br />
sollten die Logdateien ausgedruckt und sicher verwahrt werden.<br />
• Die Benutzung von Remote-Zugängen sollte so weit möglich eingeschränkt<br />
werden. Weiterhin ist ein direkter Remote-Zugriff zur Administration des<br />
Servers zu vermeiden. Stattdessen sollte eine Middleware, wie z. B. ein Terminal<br />
Server oder Proxy Server eingesetzt werden. Die Lösung muss außerdem<br />
sicherstellen, dass alle Aktivitäten während einer Administrationssitzung<br />
protokolliert werden können.<br />
M-<strong>TK</strong>-145 Physikalische <strong>Sicherheit</strong> der Server<br />
Der Zugang zu zentralen Komponenten (VoIP-Server, Gateways, Application<br />
Server, Management Server usw.) ist physikalisch zu schützen, indem solche<br />
Komponenten in abgeschlossenen Technikräumen oder Serverräumen installiert<br />
werden.<br />
Im Falle erhöhten Schutzbedarfs ist diese Form von Schutz besonders konsequent<br />
auszulegen, z. B. durch Unterbringung in abschließbaren Schränken statt in (insbesondere<br />
bei Servern üblicheren) offenen Racks und Verwendung spezieller<br />
Schließsysteme <strong>für</strong> diese Schränke.<br />
188 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Um Sabotage zu verhindern, sollte als Zugangskontrollmechanismus bei erhöhtem<br />
Schutzbedarf eine elektronische Zugangskontrolle mit Protokollierung installiert<br />
werden. Bevorzugt sollte ein System verwendet werden, welches eine starke Authentisierung,<br />
wie z. B. mittels Karte und PIN, unterstützt.<br />
Im Serverraum sollte zudem eine Videoüberwachung installiert sein.<br />
Eine konsequente Auslegung des physikalischen Zugangsschutzes erhöht die Kosten<br />
und den Aufwand gegenüber einfacheren Formen zum Teil deutlich, sodass<br />
sie im Sinne der Verhältnismäßigkeit dem erhöhten Schutzbedarf vorbehalten sein<br />
sollte.<br />
Um eine möglichst hohe Verfügbarkeit sicherzustellen, sollten die VoIP-Server<br />
redundant an zwei örtlich getrennten Standorten betrieben werden. Diese Standorte<br />
müssen so ausgewählt sein, dass ein entsprechender Schutz vor Wasser- und<br />
Feuerschäden gewährleistet ist.<br />
M-<strong>TK</strong>-146 Mehrstufiges Backup-Konzept<br />
Wurde ein <strong>Sicherheit</strong>svorfall bei einem Server des Telekommunikationssystems<br />
entdeckt, so kommt den Möglichkeiten einer effizienten Wiederherstellung der<br />
vollen Verfügbarkeit und Integrität eine zentrale Bedeutung zu. Ein wesentliches<br />
Element stellen hier Backups mit einer Datensicherung sowie Sicherungen der<br />
Systemzustände dar. Entsprechend ergeben sich folgende Prüf- bzw. Aktionspunkte:<br />
• Alle Daten der Server des Telekommunikationssystems sind regelmäßig einem<br />
Daten-Backup zu unterziehen.<br />
• Die Regeln eines sachgerechten Backups sind einzuhalten, wie z. B. abwechselnde<br />
Nutzung von mehreren Bändern, Nutzung von Bändern nur bis<br />
zur maximal empfohlenen Anzahl von Überschreibungen, Durchführung von<br />
regelmäßigen Restore-Tests, physikalischer Schutz <strong>für</strong> Backup-Bänder, Auslagerung<br />
der Bänder auf einen anderen Standort als der Rechner-Standort, sicherer<br />
Transport der Bänder derart, dass nur vertrauenswürdiges Personal auf<br />
die Bänder Zugriff hat usw.<br />
• Die zu sichernden Daten sind über einen gesicherten Kanal zum Backup-<br />
System zu übertragen.<br />
• Konfigurationen sind in elektronischer Form so vorzuhalten, dass sie leicht<br />
auf ein grundinstalliertes Gerät aufgebracht werden können.<br />
• Darüber hinaus sind Papier-Ausdrucke wichtiger Konfigurationsdateien vorzuhalten.<br />
• Die Sicherung von personenbezogenen Daten muss konform zu den gesetzlichen<br />
Bestimmungen erfolgen.<br />
M-<strong>TK</strong>-147 Schutz vor schadenstiftender Software<br />
Alle Infektionswege <strong>für</strong> die Ausbreitung von Viren und sonstiger schadenstiftender<br />
Software sind auch auf Servern des Telekommunikationssystems zu<br />
kontrollieren. Dazu gehören Datenträger, Mail-Services usw.<br />
Zum Schutz vor Malware, wie z. B. Viren, Würmern und Trojanern, muss auf den<br />
Servern des Telekommunikationssystems ein Virenschutz-Programm installiert<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 189
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
werden. Der Virenschutz ist regelmäßig und entsprechend der Bedrohungslage zu<br />
aktualisieren.<br />
Ergänzende Punkte <strong>für</strong> erhöhten Schutzbedarf sind in diesem Zusammenhang:<br />
• Einsatz einer lokalen („host based“) Firewall-Lösung auf den Servern des Telekommunikationssystems,<br />
sofern der Server nicht bereits in einem entsprechend<br />
geschützten Netzsegment liegt.<br />
• Einsatz eines Host-basierten IPS, sofern der Server nicht bereits in einem entsprechend<br />
geschützten Netzsegment liegt.<br />
• Einsatz einer TCP-Wrapper-Lösung: Eine solche Lösung prüft und verwaltet<br />
auf Diensteebene, welche Clients mit auf einem Server laufenden Diensten<br />
Verbindung aufnehmen dürfen. Derartige Dienste werden somit mit einem<br />
gezielten Schutz umgeben (englisch “to wrap” = umhüllen). TCP-Wrapper<br />
sind im Wesentlichen auf UNIX-Betriebssystemen üblich und <strong>für</strong> diese verfügbar.<br />
Ein TCP-Wrapper ist dabei nicht als Alternative zu einer lokalen Firewall<br />
anzusehen, sondern kann diese sinnvoll ergänzen.<br />
M-<strong>TK</strong>-148 Software-<strong>Sicherheit</strong> inkl. Patch-Management<br />
Die Aktualisierung von Software insbesondere zwecks Schließen von <strong>Sicherheit</strong>slücken<br />
erfordert die ständige Verfolgung der entsprechenden Meldungen und<br />
Hinweise. Quellen sind beispielsweise der CERT-Bund, auf Security spezialisierte<br />
Unternehmen und die Hersteller der eingesetzten Produkte.<br />
Die Möglichkeiten zur Automatisierung des Patch-Managements sind unterschiedlich,<br />
abhängig von der Betriebssystem-Basis der konkret verwendeten Produkte<br />
und der vorhandenen Verteilungslösungen wie z. B. Windows Server Update<br />
Services (WSUS) o. Ä.<br />
Die Netzelemente eines Telekommunikationssystems können eine heterogene<br />
Umgebung bilden, die aus verschiedenen Plattformen bzw. Betriebssystemen oder<br />
Betriebssystem-Versionen und unterschiedlichen Anwendungen (oft von verschiedenen<br />
Herstellern stammend) zusammengesetzt ist. Die Dauer von vorbereitenden<br />
Tests und die potenziellen Stabilitätsrisiken bei Einspielen neuer<br />
Patches müssen gegenüber dem Zugewinn an <strong>Sicherheit</strong> abgewogen werden.<br />
Hier ist eine besondere Abstimmung des Patch-Managements erforderlich. Ein<br />
Patch einer Komponente kann Auswirkungen auf die Funktion anderer Komponenten<br />
haben. Im schlimmsten Fall kommt es zu einem Dienstausfall im Telekommunikationssystem.<br />
Folgende Aspekte sind bei erhöhtem Schutzbedarf zu beachten:<br />
• Abstimmung im Vorfeld: Eine Änderung der Software eines Elements des<br />
Telekommunikationssysteme (z. B. einer <strong>TK</strong>-Applikation oder eines Mehrwertdiensts)<br />
muss im Vorfeld mit den verantwortlichen Betreibern anderer<br />
(Teil-)Systeme, zu denen Schnittstellen bestehen, abgestimmt werden. Hierzu<br />
müssen entsprechend formalisierte Prozesse eingerichtet werden.<br />
• Überprüfung der Herstellerangaben zur Kompatibilität der eingesetzten Produkte:<br />
In manchen Fällen wird durch einen Patch oder Update die Kompatibilität<br />
zu anderen Produkten bzw. Teilsystemen eingeschränkt. Dies ist insbesondere<br />
bei sogenannten Major Releases, also grundlegend überarbeiteter<br />
190 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Software, der Fall, kann jedoch auch bei kleineren Änderungen vorkommen.<br />
Es ist daher erforderlich die Herstellerangaben zum Patch bzw. Update genau<br />
zu überprüfen und gegebenenfalls Rücksprache mit den Herstellern zu halten.<br />
• Test unter Laborbedingungen: Für Systeme mit erhöhtem Schutzbedarf ist es<br />
generell sehr zu empfehlen, eine Testumgebung zu schaffen, die der Produktivumgebung<br />
hinsichtlich der verwendeten Produkte und deren Konfiguration<br />
weitestgehend entspricht. Ein Change, d. h. eine Konfigurationsänderung, ein<br />
Patch oder eine neue Version eines Produkts, wird zunächst in der Testumgebung<br />
eingespielt und die Funktion und Stabilität der Dienste geprüft 53 .<br />
Dies ist die Grundlage <strong>für</strong> die weitere Planung.<br />
• Planung: Die Schritte, die bei der Installation und Produktivschaltung einer<br />
Konfigurationsänderun, eines Patches oder einer neuen Version durchzuführen<br />
sind, müssen geplant und dokumentiert werden. Dabei ist insbesondere<br />
festzulegen, wie bei Problemen vorgegangen werden soll, welche Dienstausfallzeiten<br />
bei der Konfigurationsänderung toleriert werden und wie im Notfall<br />
die vorhergehende Systemkonfiguration wiederhergestellt werden kann<br />
(Rollback).<br />
4.7.3 <strong>Sichere</strong>s Netz- und Systemmanagement<br />
M-<strong>TK</strong>-149 <strong>Sichere</strong> Konfiguration des Netzwerkmanagement-Protokolls<br />
Als Standardprotokoll <strong>für</strong> das Netzmanagement gilt das Simple Network Management<br />
Protocol (SNMP), welches in den RFCs [RFC3411] bis [RFC3418] beschrieben<br />
wird. SNMP liegt derzeit in drei verschiedenen Versionen vor, wobei<br />
die beiden älteren SNMP-Versionen keine starke Authentisierung und Verschlüsselung<br />
unterstützen. In der dritten Version des SNMP Protokolls (SNMPv3)<br />
wurden diese Schwächen beseitigt und ein ausreichender Schutz zur Wahrung der<br />
Vertraulichkeit und Integrität implementiert. Aus diesem Grund sollte möglichst<br />
SNMPv3 benutzt werden.<br />
Falls SNMP generell nicht zur Konfiguration oder zum Netzmanagement der Geräte<br />
benötigt wird, sollte es auf den Geräten deaktiviert werden.<br />
Kann auf eine Nutzung von SNMPv1 oder SNMPv2 nicht verzichtet werden, so<br />
sind zumindest grundlegende Maßnahmen wie die Einschränkung der zugriffsberechtigten<br />
IP-Adressen und die Verwendung von abgeschotteten Management-<br />
Subnetzen zu ergreifen. Um zu verhindern, dass nicht jeder Nutzer per SNMP auf<br />
die Netzwerk-Komponenten zugreifen kann, können ACLs verwendet werden, die<br />
den Zugriff mittels SNMP beschränken. Des Weiteren können ACLs zur Limitierung<br />
des Zugriffs auf Management-Stationen implementiert werden.<br />
53 In Change-Management-Prozessen wird hier auch zweistufig vorgegangen. Dabei wird zwischen der<br />
Testumgebung und einer sogenannten Staging-Umgebung unterschieden. Die Staging-Umgebung ist dabei<br />
ein möglichst getreues Abbild der Produktivumgebung. Ein Change wird zuerst in der Testumgebung vorgenommen<br />
und getestet. Bei Erfolg wird der Change auf der Staging-Umgebung eingespielt, und erst in einem<br />
dritten Schritt wird der Change in die produktive Telekommunikations- bzw. IT-Umgebung übernommen.<br />
Diese Vorgehensweise wird als Staging bezeichnet.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 191
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
SNMP unterscheidet zwischen Lese- und Schreib-Zugriffen. Um einen möglichst<br />
hohen Schutz sicherzustellen, sollten bei Nutzung von SNMPv1 oder SNMPv2<br />
ausschließlich Lese-Zugriffe erlaubt werden.<br />
Alle sicherheitsrelevanten Vorfälle eines Telefonie-Servers sollten zur Sicherung<br />
und Auswertung verschlüsselt auf einen gehärteten Syslog-Server übertragen<br />
werden. Bei erhöhtem Schutzbedarf sollte der Syslog-Server nur von autorisierten<br />
Servern Log-Nachrichten akzeptieren.<br />
Zur Authentisierung der Management-Station sollte ein RADIUS-Server verwendet<br />
werden.<br />
Zur Administration muss so weit wie möglich auf Telnet verzichtet werden, da<br />
Telnet keine Verschlüsselung bietet. Stattdessen sollte SSHv2 eingesetzt werden.<br />
M-<strong>TK</strong>-150 Überwachung der Komponenten des Telekommunikationssystems<br />
Die Komponenten des Telekommunikationssystems (z. B. Server und Gateways)<br />
müssen kontinuierlich zentral überwacht werden. Dies beinhaltet zunächst die<br />
Überwachung der Verfügbarkeit der Komponenten. Dies kann durch regelmäßige<br />
Anfragen über die Kommunikationsschnittstellen der Komponenten (z. B. per<br />
SNMP-basierten Polling oder per Ping) erfolgen. Die Polling-Intervalle müssen<br />
im Einzelfall festgelegt werden und richten sich nach der geforderten Verfügbarkeit<br />
der Dienste des Telekommunikationssystems.<br />
Weiterhin sollten die Komponenten so konfiguriert werden, dass bei Fehlersituationen<br />
und bei Überschreiten von (anwendungsabhängigen) Schwellwerten<br />
ein Alarm zu einer zentralen Fehlerkonsole geschickt wird. Hier können SNMP<br />
Traps sowie Syslog-Meldungen genutzt werden.<br />
Bei einem erhöhten Schutzbedarf sollte die Überwachung auf die Verfügbarkeit<br />
der notwendigen Dienste erweitert werden. Dabei kann beispielsweise überwacht<br />
werden, ob auf einer Komponente gewisse Prozesse laufen und ob ein Dienst auf<br />
eine Anfrage reagiert.<br />
4.7.4 Datenschutz<br />
M-<strong>TK</strong>-151 Schutz von Verbindungsdaten<br />
Die <strong>für</strong> Abrechnung und Gebührenerfassung zu ermittelnden Daten werden aus<br />
den sogenannten Call Detail Records54 (CDRs) extrahiert. In diesen Datensätzen<br />
werden Verbindungsdaten, wie z. B. Quelle, Ziel und die Dauer des Gesprächs<br />
gespeichert.<br />
Für die dabei erfassten personenbezogenen Daten gelten besondere Schutzanforderungen,<br />
die sich unmittelbar aus den anwendbaren Gesetzen und<br />
Regelungen beispielsweise zum Datenschutz55 und aus dem Telekommunikationsgesetz<br />
ergeben.<br />
54 Auch als Call Data Records bezeichnet<br />
55 Zu nennen sind hier insbesondere das Bundesdatenschutzgesetz (BDSG) sowie die Datenschutzgesetze der<br />
Länder<br />
192 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
4 <strong>Sicherheit</strong>smaßnahmen<br />
Auswertung, Archivierung und Verarbeitung personenbezogener Daten müssen<br />
den gesetzlichen Richtlinien zum Datenschutz entsprechen. Hierzu dienen folgende<br />
Maßnahmen:<br />
• Damit keine Person einen alleinigen Zugang zu Verbindungsdaten erhält,<br />
kann eine technische Durchsetzung des Vier-Augen-Prinzip eingerichtet werden.<br />
• Eine Zuordnung zu einem einzelnen Anschluss kann durch Anonymisierung<br />
der letzten 3 Ziffern einer Telefonnummer in den Aufzeichnungen verhindert<br />
werden.<br />
Bei als privat markierten Gesprächen müssen in Aufzeichnungen und Auswertungen<br />
von CDRs alle Telefonnummern anonymisiert werden.<br />
M-<strong>TK</strong>-152 <strong>Sichere</strong> Außerbetriebnahme von Komponenten des Telekommunikationssystems<br />
Auf den Komponenten von Telekommunikationssystemen fallen während des Betriebs<br />
personenbezogene Daten, wie beispielsweise Verbindungsdaten, die zur<br />
Gebührenabrechnung benötigt werden, an. Gespeichert werden diese Daten auf<br />
den eingebauten Datenträgern (Festplatte) dieser Systeme.<br />
Bei der Außerbetriebnahme dieser Komponenten ist darauf zu achten, dass die<br />
Datenträger, auf denen personenbezogenen Daten gespeichert werden, sicher entsorgt<br />
werden. Sicher entsorgen bedeutet, dass die Datenträger entweder physisch<br />
durch Zerstörung unlesbar gemacht werden oder das die Daten auf dem Datenträger<br />
so gelöscht werden, dass eine Rekonstruktion der Daten nicht möglich ist.<br />
4.7.5 Auswahl von Diensteanbietern<br />
Bei einem erhöhten Schutzbedarf sollte beim Einkauf von Telekommunikationsdienstleistungen<br />
generell der Baustein B 1.11 „Outsourcing“ der IT-Grundschutz-Kataloge angewendet<br />
werden. Dabei ist die Einschätzung der Vertrauenswürdigkeit eines Diensteanbieters<br />
ein wichtiges Element.<br />
M-<strong>TK</strong>-153 Nachweis der Vertrauenswürdigkeit des Diensteanbieters<br />
Durch eine Zertifizierung beispielsweise nach ISO 27001 auf Basis von IT-<br />
Grundschutz kann ein Diensteanbieter dokumentieren, dass er (<strong>für</strong> die zertifizierten<br />
Bereiche) ein <strong>Sicherheit</strong>smanagement in einer gewissen Tiefe umsetzt.<br />
Eine solche Zertifizierung oder ein vergleichbarer Nachweis kann bei der Auswahl<br />
des Diensteanbieters zur Einschätzung von dessen Vertrauenswürdigkeit<br />
herangezogen werden. Ein Diensteanbieter könnte beispielsweise einem Kunden<br />
Informationen über die eingesetzten Mechanismen zum Schutz der Kundendaten<br />
geben und in einem gewissen Rahmen dem Kunden einen Einblick in die Umsetzung<br />
dieser Maßnahmen gewähren.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 193
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
194 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
5 <strong>Sicherheit</strong>skonzepte <strong>für</strong> repräsentative<br />
Beispielszenarien<br />
Die in diesem Kapitel betrachteten Beispielszenarien illustrieren die konkrete Umsetzung des<br />
Maßnahmenkatalogs. Kapitel 5.1 beschreibt hierzu zunächst die grundsätzliche Vorgehensweise,<br />
die anschließend <strong>für</strong> die betrachteten Systeme angewandt wird:<br />
• ISDN <strong>TK</strong>-<strong>Anlagen</strong>, siehe Kapitel 5.2<br />
• VoIP-Systeme, siehe Kapitel 5.3<br />
• Hybrid-Systeme, siehe Kapitel 5.4<br />
• IP-<strong>Anlagen</strong>anschluss, siehe Kapitel 5.5<br />
• <strong>TK</strong>-Applikationen und Mehrwertdienste, siehe Kapitel 5.6<br />
• Mobile und drahtlose Systeme, siehe Kapitel 5.7<br />
Die Anwendung von systemübergreifenden Maßnahmen zeigt abschließend Kapitel 5.8.<br />
5.1 Vorgehensweise bei der Erarbeitung eines Konzepts<br />
5.1.1 Grundschutz als Ausgangsbasis<br />
Unabhängig von der Größe eines Szenarios darf ein <strong>Sicherheit</strong>sniveau nicht unterschritten<br />
werden, das einen fahrlässigen Umgang mit der grundsätzlich zu wahrenden Vertraulichkeit<br />
von Gesprächsinhalten verhindert.<br />
• Ein per Telefon kontaktierter Gesprächspartner muss sich prinzipiell darauf verlassen<br />
können, dass die Inhalte eines Informationsaustauschs nicht ohne weiteres Dritten zugänglich<br />
sind.<br />
Eine Abwehr gezielter Versuche zum Abhören von Telefonaten ist damit noch nicht verbunden,<br />
sehr wohl aber die Vermeidung von Nachlässigkeiten wie Nutzung der Freisprechmöglichkeit<br />
eines Telefons in einem öffentlich zugänglichen Bereich oder das<br />
achtlose Herumliegenlassen von Faxnachrichten mit vertraulichen Inhalten zu laufenden<br />
Geschäftsvorgängen bzw. laufenden behördlichen Verfahren.<br />
• Ein Angerufener muss sich grundsätzlich darauf verlassen können, dass Anrufe von<br />
Apparaten, deren ihm übermittelte Rufnummer auf eine bestimmte Institution schließen<br />
lassen, auch mit Billigung dieser Institution erfolgen.<br />
Öffentlich zugängliche, amtsberechtigte Apparate sollten daher ähnlich wie einfache öffentliche<br />
Fernsprechapparate keine Rufnummern übermitteln, <strong>für</strong> alle anderen Apparate<br />
mit Amtszugang ist der Zugang Dritter zur Tätigung externer Telefonate mit elementarem<br />
Zugangs- oder Zugriffsschutz zu verhindern.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 195
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Auch sind Kontaktinformationen wie Telefonnummern mit einer grundlegenden Sorgfalt<br />
zu behandeln, die wahlfreien Zugriff Dritter ausschließt. Eine Ausnahme hiervon bilden<br />
nur solche Telefonnummern, die ohnehin öffentlich zugänglich sind (z. B. Rufnummer<br />
einer Telefonzentrale, die im öffentlichen Telefonbuch, in einem öffentlichen Behördenverzeichnis<br />
oder an ähnlicher Stelle mit Billigung des Inhabers dieser Telefonnummer jedermann<br />
zugänglich gemacht worden sind).<br />
• Des Weiteren ist bei Telefonietechnik eine grundlegende, als „normal“ empfundene<br />
Mindestverfügbarkeit sicherzustellen.<br />
Zum Verständnis: Totalausfälle der Telefonie innerhalb normaler Bürozeiten beispielsweise<br />
sind dabei als unnormal anzusehen, selbstverschuldete Nichtverfügbarkeit zu solchen<br />
Zeiten, etwa als Folge von Änderungen an der zentralen Anlage zu vermeiden. Ein<br />
Wegfall der Möglichkeit zum Telefonieren zu externen Rufnummern, d. h. Ausfall des<br />
Zugangs zum PSTN, sollte innerhalb üblicher Bürozeiten ebenfalls nicht auf die zentrale<br />
Telefonielösung zurückzuführen sein. Der Verfügbarkeitswert dieser Lösung darf nicht<br />
schlechter sein als die vom PSTN-Betreiber realisierte Verfügbarkeit des Amtszugangs.<br />
Insbesondere sind Auflagen zu erfüllen hinsichtlich der Möglichkeit zum Absetzen von<br />
Notrufen.<br />
Das mit diesen Beispielen eingeordnete „normale“ Verfügbarkeitsniveau stellt sicher,<br />
dass Telefonie als grundlegende Kommunikationsmöglichkeit im Alltag einer Institution<br />
genutzt werden kann. Lediglich gezielte Angriffe auf die Verfügbarkeit der Telefonie<br />
werden hiermit noch nicht oder nur als Begleiteffekt verfügbarkeitssichernder Basismaßnahmen<br />
abgewehrt.<br />
Das Erreichen des so geforderten Mindestniveaus bzgl. der <strong>Sicherheit</strong>sgrundwerte Vertraulichkeit/Integrität<br />
und Verfügbarkeit ist nicht Schwerpunkt der folgenden Ausführungen. Ein<br />
solches grundlegendes <strong>Sicherheit</strong>sniveau entspricht vielmehr dem Schutzbedarf „normal“.<br />
Seine Erreichung ist vorrangig Gegenstand der vom <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik<br />
veröffentlichten IT-Grundschutz-Kataloge.<br />
Konformität zu den darin an einem betrachteten Standort einer Institution eingesetzten Technik<br />
passenden Bausteinen und Maßnahmen wird im Weiteren vorausgesetzt:<br />
Ansatz IT-Grundschutz als vorauszusetzende Ausgangsbasis.<br />
Sofern im Rahmen des vorliegenden Dokuments und insbesondere den nachfolgenden Szenarien-bezogenen<br />
Empfehlungen anteilig Maßnahmeninhalte erwähnt werden, die bereits vom<br />
Grundschutz abgedeckt sind,<br />
• soll dies die Unverzichtbarkeit solcher Maßnahmen unterstreichen, bzw.<br />
• sollen gezielt Erläuterungen und Hinweise zur Auslegung solcher Maßnahmen gegeben<br />
werden, um eine solche Maßnahme szenariengerecht abzurunden bzw. den Boden <strong>für</strong> Erreichung<br />
des <strong>Sicherheit</strong>sniveaus <strong>für</strong> erhöhten Schutzbedarf optimal zu bereiten.<br />
Schwerpunkt der nachfolgenden Ausführungen zur Erarbeitung von <strong>Sicherheit</strong>skonzepten <strong>für</strong><br />
die betrachteten typischen Szenarien ist das Erreichen eines <strong>Sicherheit</strong>sniveaus, dass erhöhtem<br />
Schutzbedarf gerecht wird. Die Ausführungen sollten daher insbesondere im Kontext<br />
ergänzender <strong>Sicherheit</strong>sanalysen herangezogen werden, in deren Rahmen im Falle erhöhten<br />
Schutzbedarfs gezielt bestimmte Gefährdungen mit Zusatzmaßnahmen mit Aufwand über<br />
Durchschnittsniveau behandelt werden (siehe auch [BSI05c]).<br />
196 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Im Sinne dieses Ansatzes verstehen sich die nachfolgenden Ausführungen als Hilfe, <strong>für</strong> unterschiedliche<br />
Szenarien, bei denen im Rahmen eines strukturierten Risikomanagement ein<br />
erhöhter Schutzbedarf erkannt wird, gezielt zu entsprechen.<br />
Aus den soeben angestellten Überlegungen und Ansätzen ergibt sich unmittelbar:<br />
1. Ausgangspunkt der Erarbeitung und Umsetzung einer <strong>Sicherheit</strong>skonzeption muss eine<br />
Risikoanalyse sein.<br />
2. Als grundlegendes Ergebnis einer solchen Risikoanalyse ist festzustellen, ob ein Schutzbedarf<br />
oberhalb „normaler“ Anforderungen an die Risikominimierung besteht.<br />
Ist dies der Fall, so sind zunächst die zur eingesetzten Technik gehörenden Maßnahmen<br />
der IT-Grundschutz-Kataloge zu ergreifen. Auf diesen aufbauend ist dann gezielt aus<br />
dem Katalog der im vorliegenden Dokument spezifizierten Maßnahmen auszuwählen.<br />
Die so getroffene Auswahl bildet die Grundlage <strong>für</strong> ein bedarfsgerechtes Telefonie-<br />
<strong>Sicherheit</strong>skonzept. Dieses konkretisiert <strong>für</strong> die Zielumgebung vor dem Hintergrund der<br />
grundlegend getroffenen Technologieentscheidungen die ausgewählten Maßnahmen.<br />
3. Die Erarbeitung des <strong>Sicherheit</strong>skonzepts beinhaltet die konkrete Festlegung, wie Maßnahmen<br />
gemäß IT-Grundschutz-Katalogen sowie nötigenfalls Zusatzmaßnahmen <strong>für</strong> erhöhten<br />
Schutzbedarf im Detail umzusetzen sind.<br />
Hierbei ist zu beachten, dass insbesondere die Maßnahmen <strong>für</strong> erhöhten Schutzbedarf<br />
spezielle Funktionalitäten und Administrationsmöglichkeiten seitens der eingesetzten<br />
Produkte erforderlich machen. Zum Teil ist Zusatzequipment notwendig, das bei normalem<br />
Schutzbedarf nicht anfällt (Beispiel: dedizierte Verschlüsselungsboxen).<br />
Sofern sich aus einer gewählten Maßnahme die Beschaffung von Zusatzequipment sofort<br />
ergibt, ist der Einsatz von solchem Zusatzequipment Teil der Konzeptfestlegungen. In einem<br />
solchen Fall sollte auch gezielt festgelegt werden, an welchen Stellen solches Zusatzequipment<br />
eingesetzt werden soll (Beispiele: grundsätzlich, nur in unsicheren Umgebungen<br />
eingesetzten Endgeräten vorgeschaltet, stationären Endgeräten in besonderen<br />
<strong>Sicherheit</strong>sbereichen vorgeschaltet o. ä. Detailfestlegungen).<br />
Auf diese Weise ergeben sich im Zuge der Konzepterarbeitung wichtige Anforderungen<br />
an die Beschaffung von Telefonieausstattung:<br />
• bestimmte Maßnahmen erfordern, wie beschrieben, spezielles Zusatzequipment<br />
• bestimmte Maßnahmen erfordern Funktionalitäten und Administrationsmöglichkeiten<br />
bei den zentralen Telefoniekomponenten<br />
• bestimmte Maßnahmen erfordern Funktionalitäten und Administrationsmöglichkeiten<br />
im Bereich der Telefonie-Endgeräte<br />
• bestimmte Maßnahmen erfordern im Bereich der Telefonie-Endgeräte Realisierungsformen<br />
zu Funktionalitäten, die speziellen Einsatzformen gerecht werden (z. B. Lösungen<br />
<strong>für</strong> mobilen Einsatz, die entsprechend handlich und damit transportabel ausgelegt<br />
sind; Realisierung <strong>für</strong> Endgeräte erforderlicher Funktionalitäten in speziell <strong>für</strong><br />
Softphones geeigneter Ausprägung).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 197
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
4. Die Erarbeitung des <strong>Sicherheit</strong>skonzepts beinhaltet Vorgaben an die Konfiguration bzw.<br />
den sicheren Betrieb von Telefonie.<br />
Konzeptelemente dieser Art ergeben sich zunächst aus gezielten Maßnahmen zu diesem<br />
Themenbereich, z. B. der Vorgabe zur Abschaltung als unsicher und damit als erhöhtes<br />
<strong>Sicherheit</strong>srisiko eingestufter Funktionalitäten.<br />
Mit dem Verzicht auf Funktionalitäten wird zugleich ein Rahmen geschaffen <strong>für</strong> die<br />
Wahrnehmung von Betriebsaufgaben, durch internes Personal wie auch durch externen<br />
Support. Entsprechend dem festgestellten Schutzbedarf sind durch das Telefonie-<br />
<strong>Sicherheit</strong>skonzept insbesondere zu regeln:<br />
• zulässige Formen der Remote-Administration an den Standorten der Institution<br />
Gemeint sind konfigurierende Zugriffe von Administrator-Arbeitsplätzen oder kontrollierende<br />
Zugriffe von Überwachungsplätzen aus. Diese sind entsprechend dem<br />
Schutzbedarf zu beschränken bzw. abzusichern.<br />
• zulässige Formen der Remote-Administration von außerhalb der Institutionsstandorte<br />
aus<br />
Typische, durch das <strong>Sicherheit</strong>skonzept gezielt zu behandelnde Aspekte dieser Art<br />
sind Support-Zugriffe durch Externe sowie ggf. Zugriffe von Administrator-<br />
Heimarbeitsplätzen, etwa im Rahmen von Bereitschaftsregelungen.<br />
• bewusste Reglementierung externer Leistungen<br />
Dieser Themenkomplex ist durch die Konzeption von Remote-Administration nur<br />
anteilig geregelt. Über die Absicherung des Remote-Zugriffs hinaus ist je nach<br />
Schutzbedarf und Funktionsumfang der Telefonie-Gesamtlösung nötigenfalls zu regeln,<br />
dass und inwiefern die Zugriffsmöglichkeiten Externer im Detail eingeschränkt<br />
werden. Bestimmte administrative Zugriffe können Externen grundsätzlich vorenthalten<br />
bzw. nur unter organisatorischen Zusatzauflagen wie vier Augen-Prinzip o. Ä.<br />
zugänglich gemacht werden.<br />
• dem Schutzbedarf angemessene Überwachungskonzeption<br />
Das <strong>Sicherheit</strong>skonzept muss festlegen, wie durch typische Mittel wie Permanentüberwachung<br />
und Logging sowie eventuell durch gezielte Zusatzhilfsmittel notwendige<br />
Beiträge zum <strong>Sicherheit</strong>sniveau zu treffen sind. Hierbei sind Aspekte des<br />
Datenschutzes und der Mitbestimmungspflicht ebenso zu berücksichtigen wie ggf.<br />
einzuhaltende Aufbewahrungspflichten <strong>für</strong> Daten als Basis von <strong>Sicherheit</strong>sanalysen<br />
im Verdachts- oder Revisionsfall.<br />
• gezielte Schulungskonzeption<br />
Gerade bei Telefonie kann die Technik nur die Voraussetzungen <strong>für</strong> das erreichbare<br />
<strong>Sicherheit</strong>sniveau schaffen, das tatsächlich erzielte <strong>Sicherheit</strong>sniveau ist stark vom<br />
Faktor Mensch abhängig.<br />
• Mangelnde Bediensicherheit seitens der Telefonienutzer kann einerseits zu versehentlicher<br />
Gefährdung von Vertraulichkeit und Integrität führen. Mangelnde<br />
Bediensicherheit seitens der Telefonienutzer kann andererseits dazu führen, dass<br />
eigentlich gegebene Nutzungsmöglichkeiten nicht verfügbar erscheinen, d. h. die<br />
Telefonielösung erreicht nicht den vorgesehenen Nutzwert.<br />
• Mangelnde Produkt- oder Konzeptkenntnis der Administratoren kann zur signifikanten<br />
Schwächung von ergriffenen <strong>Sicherheit</strong>smaßnahmen führen.<br />
198 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Solchen Fehlentwicklungen ist bereits im Rahmen der Konzeption durch Festlegungen<br />
zuvorzukommen,<br />
• wann und in welcher Form welche Kenntnisse geschult werden sollen sowie<br />
• in welcher Form die sichere Anwendung der geschulten Inhalte gezielt unterstützt<br />
werden soll (Handzettel zur Telefonienutzung <strong>für</strong> Anwender, Arbeitsanweisungen,<br />
zugehörige Checklisten <strong>für</strong> Administratoren, …). Derartige Hilfsmittel<br />
sollten bereits zum Schulungszeitpunkt gezielt einbezogen werden. Dies<br />
ist bei der Schulungskonzeption zu berücksichtigen.<br />
5. Die Umsetzung eines ausgearbeiteten <strong>Sicherheit</strong>skonzepts beginnt mit einer konzeptkonformen<br />
Beschaffung.<br />
Dies beinhaltet einerseits Beschaffung von Equipment konform zum <strong>Sicherheit</strong>skonzept.<br />
Je nach Ausgangssituation kann dies einem Austausch von Geräten bzw. Austausch von<br />
Software auf vorhandenen Geräten bzw. Beschaffung neuer, zusätzlicher Ausstattung bedeuten.<br />
Andererseits ist hier die Beschaffung von externen Dienstleistungen gemeint: Lieferanten<br />
müssen zur konzeptkonformen Detailkonzeption und Installation verpflichtet werden,<br />
Supportleistungen müssen so angefragt und beauftragt werden, dass die Konzeptelemente<br />
zum sicheren Betrieb verbindlich geregelt und damit umgesetzt sind.<br />
Hilfestellung bei diesem wichtigen Schritt gibt der Beschaffungsleitfaden in Teil 2 dieser<br />
<strong>Technische</strong>n <strong>Leitlinie</strong>.<br />
6. Die konzeptkonforme Installation und Inbetriebnahme ist insbesondere bei erhöhtem<br />
Schutzbedarf wesentlich.<br />
Einer Freigabe zur umfassenden produktiven Nutzung muss eine gezielte Qualitätssicherung<br />
der Installations- und Inbetriebnahme vorausgehen. Bei externen Installationsund<br />
Inbetriebnahmeleistungen ist eine formale Abnahme insbesondere mit Blick auf gezielte<br />
Vorgaben lt. <strong>Sicherheit</strong>skonzept wichtig, Verstöße gegen das <strong>Sicherheit</strong>skonzept<br />
sollten zur Abnahmeverweigerung führen (vorher gezielt so zu vereinbaren).<br />
Bei Produktivsetzung sollte weiterhin gezielt mit Blick auf die Vorgaben des <strong>Sicherheit</strong>skonzepts<br />
geprüft sein:<br />
• eindeutige, als Betriebsbasis brauchbare Dokumentation der Installationszustände<br />
Aus einer solchen Dokumentation muss insbesondere zweifelsfrei und vollständig ersichtlich<br />
sein, wie den Vorgaben des <strong>Sicherheit</strong>skonzepts entsprochen wurde (Konfigurationsdetails)<br />
und dass diese Vorgaben ausnahmslos erfüllt wurden.<br />
• Einbindung der Telefonielösung in vorgesehene Überwachungs- und Logging-<br />
Lösungen<br />
Im Sinne erhöhten Schutzbedarfs im <strong>Sicherheit</strong>skonzept gezielt geforderte Aspekte<br />
müssen vollständig realisiert sein. Soweit mit vertretbarem Aufwand möglich, ist das<br />
Funktionieren dieser Überwachungs- und Protokollierungsmaßnahmen durch gezielte<br />
Tests zu prüfen.<br />
Werden vorhandene Telefonielösungen nachträglich entsprechend einem erarbeiteten <strong>Sicherheit</strong>skonzept<br />
abgesichert, so gelten diese Ausführungen sinngemäß. Bis zur Umsetzung<br />
dieser Forderungen sollte bei der Nutzung der Telefonielösung entsprechend dem<br />
Schutzbedarf Zurückhaltung geübt werden (z. B. Besprechungstermine statt Telefonkonferenzen<br />
bei brisantem Gesprächsgegenstand).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 199
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
5.1.2 Unterscheidung nach Standortszenarien<br />
Die spezifischen Maßnahmen wurden in Kapitel 4 nach Wirkbereichen (zentrales System,<br />
Endgeräte, …) systematisiert dargelegt und soweit erläutert, dass ein grundsätzliches Verständnis<br />
gegeben ist, welche Maßnahme wie zu verstehen ist und worauf sie abzielt.<br />
Unterscheidungen werden zunächst nur nach Technologien getroffen, d. h. es wird nach Maßnahmen<br />
unterschieden, die <strong>für</strong> ISDN-Lösungen greifen, die <strong>für</strong> VoIP-Systeme greifen, usw.<br />
Hierauf aufbauend werden im Folgenden verschiedene grundsätzliche Szenarien mit einer<br />
jeweils typischen Gefährdungslage unterschieden und betrachtet, die sich aus der Praxiserfahrung<br />
ergeben:<br />
• Große Institutionen (GI)<br />
Gemeint sind Szenarien, bei denen an einem einzigen zentralen Standort große Anzahlen<br />
von Telefonieanwendern anfallen (> 1000). Lokales Personal mit IT-Know-How kann<br />
hier typisch vorausgesetzt werden, und die Teilnehmerzahl bringt <strong>für</strong> gewöhnlich bei allen<br />
Anbietern von Telefonielösungen eine Ausbaustufe der zentralen Systeme mit sich,<br />
die grundlegende funktionale Einschränkungen unwahrscheinlich macht.<br />
• Mittlere bzw. mittelständische Institution (MI)<br />
Die Größenordnung einer großen Institution wird an keinem Standort erreicht. Jedoch erreicht<br />
die Anzahl der Telefonienutzer mindestens an einem Standort eine Anzahl, die den<br />
Aufbau eigener IT-Kompetenz, insbesondere eigener Telefonie-Administratoren an diesem<br />
Standort sinnvoll macht. Auch rechtfertigt die Anwenderzahl in solchen Standorten<br />
mittlerer Anwenderzahl die Beschaffung einer Ausbaustufe zentraler Systeme bzw. deren<br />
gezielte Ergänzung durch Zusatzequipment, sodass grundlegend eine günstige Ausgangssituation<br />
auch <strong>für</strong> technisch anspruchsvolle <strong>Sicherheit</strong>smaßnahmen gegeben ist.<br />
Diese günstigen Voraussetzungen bzgl. Machbarkeit und Wirtschaftlichkeit treffen jedoch<br />
nicht unbedingt an allen Standorten der Institution gleichermaßen zu. Häufig werden<br />
in Summe mehrere hundert Telefonienutzer erreicht, von denen sich jedoch der größere<br />
Teil an einem oder wenigen Standorten konzentriert, während an anderen Standorten<br />
eher Gegebenheiten im Sinne kleiner Institutionen zu verzeichnen sind.<br />
Um solchen Mischkonstellationen gezielt mit differenzierter, verhältnismäßiger <strong>Sicherheit</strong>skonzeption<br />
begegnen zu können, wird <strong>für</strong> das MI-Szenario zwischen solchen Standortgegebenheiten<br />
unterschieden. Es werden Maßnahmenpriorisierungen vorgenommen<br />
werden, die unterscheiden zwischen<br />
• MI-zentral (Konzentration von Telefonie-Anwendern, höhere Ausbaustufe zentraler<br />
Telefonie-Systeme, IT-Personal vor Ort) bzw.<br />
• MI-filial (Gegebenheiten vergleichbar zum KI-Szenario).<br />
• Kleine Institutionen (KI)<br />
Hier handelt es sich um Fälle, bei denen jeder Standort <strong>für</strong> sich nicht die Anwenderzahl<br />
aufweist, um IT-kompetentes Personal sinnvoll vor Ort zu haben. Sind mehrere Standorte<br />
in Summe gegeben, so reicht die Anzahl zu betreuender Standorte bzw. Telefonienutzer<br />
immer noch nicht, um hier<strong>für</strong> eine sinnvolle Betreuungslösung mit eigenen Telefoniekompetenten<br />
Administratoren aufzubauen. Im Sinne der Machbarkeit bestimmter Maßnahmen<br />
sind hier also klare Grenzen gesetzt.<br />
200 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die Größe des einzelnen Standorts macht es zudem beim Szenario „kleine Institution“ <strong>für</strong><br />
alle Standorte unwirtschaftlich, größere Ausbaustufen von zentralen Telefonie-Systemen<br />
einzusetzen. Es können daher im Detail technische Einschränkungen <strong>für</strong> bestimmte <strong>Sicherheit</strong>smaßnahmen<br />
gegeben sein. Typische Beispiele <strong>für</strong> kleine Institutionen mit dennoch<br />
erhöhtem Schutzbedarf sind kleinere Anwaltskanzleien oder Arztpraxen.<br />
5.1.3 Klassifizierung der Maßnahmen nach Prioritäten<br />
Im Rahmen eines praxistauglichen Risikomanagement ist bei der Erarbeitung der <strong>Sicherheit</strong>skonzeption<br />
häufig auch die Verhältnismäßigkeit dadurch zu wahren, dass innerhalb eines<br />
Szenarios unterschiedlich hohem <strong>Sicherheit</strong>sbedarf Rechnung getragen wird.<br />
Beispiel: Besondere technische <strong>Sicherheit</strong>sanforderungen an die Telefonie-Endgeräte können<br />
leicht dazu führen, dass zu ihrer Umsetzung teurere Telefonmodelle verwendet werden müssen,<br />
als dies bei normalem Schutzbedarf der Fall wäre. Gerade in großen Institutionen kann<br />
der durch die hohe Anwenderzahl gegebene Multiplikator diese Preisdifferenz zu erheblichen<br />
Mehrkosten ausweiten. In einem solchen Fall ist es empfehlenswert, den Endgeräteeinsatz<br />
gestuft nach <strong>Sicherheit</strong>szonen zu konzipieren, d. h. den Schutzbedarf im Detail zu betrachten.<br />
Mengenaspekte bei der Umsetzung von Maßnahmen sind daher konzeptrelevant.<br />
Andererseits führt eine Diversifizierung im Rahmen von technischen Konzepten zu betriebs-<br />
und betreuungstechnisch aufwendigeren Gesamtlösungen, da verschiedene Geräteausprägungen<br />
parallel beherrscht werden müssen. Die hiermit verbundene Erhöhung der laufenden<br />
Kosten einer Telefonielösung ist gegen erhöhte Einmalkosten bei Anschaffung und<br />
Erstinstallation sinnvoll abzuwägen.<br />
Je mehr Funktionalitäten und damit Angriffspunkte eine Technologie bietet, umso mehr<br />
Maßnahmen <strong>für</strong> erhöhten Schutzbedarf kommen grundsätzlich in Frage. Wichtiger Teil einer<br />
angemessenen Risikomanagement-Entscheidung ist neben der Sichtung der überhaupt verfügbaren<br />
Maßnahmen auch die Berücksichtigung des Aspekts der Verhältnismäßigkeit. Die<br />
Unterscheidung nach Maßnahmen <strong>für</strong> normalen (IT-Grundschutz-Kataloge) und erhöhten<br />
Schutzbedarf (M-<strong>TK</strong>-Maßnahmen) trägt hierzu bei, ist aber noch nicht ausreichend. Unterschiedliche<br />
Standortgegebenheiten führen in der Praxis dazu, dass die gleiche Maßnahme bei<br />
gleichem Schutzbedarf dennoch unterschiedlich zu bewerten ist. Kriterien in diesem Zusammenhang<br />
sind:<br />
• Machbarkeit<br />
Der Einsatz bestimmter Maßnahmen setzt <strong>für</strong> effiziente Administration und kurze Wiederherstellungszeiten<br />
im Störungsfall voraus, dass vor Ort Personal vorhanden ist, das<br />
mindestens unterstützend mitwirkt. Eine solche Mitwirkung setzt dabei ein minimales IT-<br />
Know-How im Zusammenhang mit dem vor Ort installierten Equipment voraus.<br />
Während nun in größeren Standorten typisch Personal gegeben ist, das diese Voraussetzungen<br />
erfüllt bzw. effektiv dahin gebracht werden kann, ist <strong>für</strong> kleinere Umgebungen<br />
hiervon nicht in jedem Fall auszugehen.<br />
Die Standortgröße spielt daher eine Rolle bzgl. der Machbarkeit bestimmter Maßnahmen.<br />
• Wirtschaftlichkeit<br />
Bestimmte <strong>Sicherheit</strong>smaßnahmen <strong>für</strong> den erhöhten Schutzbedarf erfordern Funktionalitäten<br />
beim Equipment, die zu bestimmten Ausstattungsformen zwingen (Modellwahl<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 201
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
beim Equipment). Eine unreflektierte Grundsatzentscheidung <strong>für</strong> eine Maßnahme kann<br />
hier je nach Szenario zu unwirtschaftlichen, d. h. aus Sicht eines betrachteten Standorts<br />
unverhältnismäßigen Lösungen führen. Beispiel: Möglichkeiten zur Abstufung von administrativen<br />
Rechten erfordern oft erhöhte Ausbaustufen zentraler Systeme, da erst dann<br />
eine entsprechend konfigurierbare Software-Version eingesetzt werden kann. Der Einsatz<br />
einer solchen Ausbaustufe kann <strong>für</strong> einen kleinen Standort unwirtschaftlich sein.<br />
Eine Risikomanagement-Entscheidung <strong>für</strong> oder wider den Einsatz einer verfügbaren Maßnahme<br />
<strong>für</strong> erhöhten Schutzbedarf muss somit die Aspekte Machbarkeit und Wirtschaftlichkeit<br />
in Abhängigkeit vom jeweiligen konkreten Standort-Szenario bewerten.<br />
Hierbei ist allerdings darauf zu achten, dass nicht letztlich durch zu starken Maßnahmenverzicht<br />
das zu realisierende <strong>Sicherheit</strong>sniveau verfehlt, d. h. dem festgestellten Schutzbedarf<br />
nicht entsprochen wird.<br />
Von daher wird im Folgenden <strong>für</strong> die verschiedenen Szenarien mit typischer Gefährdungslage<br />
unterschieden, welche Maßnahmen bei erhöhtem Schutzbedarf <strong>für</strong> Vertraulichkeit und Integrität<br />
bzw. Verfügbarkeit unentbehrlich sind. Für ein betrachtetes Szenario und eine betrachtete<br />
Telefonie-Technologie werden die verbleibenden Maßnahmen weiter unterteilt. Die dabei je<br />
Szenario vorgenommene Priorisierung folgt Regeln, die bewusst am Ziel der Risikominimierung<br />
orientiert sind:<br />
1. Maßnahmen mit hoher Reduzierung des Restrisikos durch die einzelne Maßnahme werden<br />
zwingend vorgesehen, sofern sie grundsätzlich realisierbar sind (Priorität 1)<br />
Mit den so eingestuften Maßnahmen wird der Schritt vom normalen zum erhöhten<br />
Schutzbedarf vollzogen. Das verbleibende Restrisiko ist beim betrachten allgemeinen<br />
Szenario überschaubar. Es wird nicht riskiert, die Anforderungen des erhöhten Schutzbedarfs<br />
grundlegend zu verfehlen. Beispiele <strong>für</strong> solche Maßnahmen sind:<br />
• Verschlüsselung und starke Authentifizierung bei erhöhtem Schutzbedarf bzgl. Vertraulichkeit,<br />
bzw.<br />
• gezielte Überbrückungsmaßnahmen <strong>für</strong> den Fall des Ausfalls wichtiger zentraler<br />
Komponenten bei erhöhtem Schutzbedarf bzgl. Verfügbarkeit.<br />
2. Maßnahmen zur gezielten Reduzierung punktueller Risiken werden als ergänzende Optionen<br />
nach ihrer Wirksamkeit priorisiert (Priorität 2 und 3)<br />
Diese Priorisierung stellt die typische Realisierungsreihenfolge unterhalb der Priorität-1-<br />
Maßnahmen dar und ist als Entscheidungshilfe anzusehen, die die normale Bedrohungslage<br />
<strong>für</strong> ein betrachtetes allgemeingültiges Szenario zu Grunde legt. Selbstverständlich<br />
kann im konkreten Fall bei einer speziellen Gefährdungslage eine Maßnahme der Priorität<br />
3 einer Maßnahme der Priorität 2 vorgezogen werden, wenn die Priorität-3-Maßnahme<br />
sich gegen eine Gefährdung richtet, die am betrachteten Standort als besonders gravierend<br />
eingeschätzt wird.<br />
Zunächst sollten die Maßnahmen mit Priorität 1 möglichst vollständig umgesetzt werden. Im<br />
Anschluss daran werden typischerweise zunächst die Maßnahmen mit Priorität 2 und danach<br />
die Maßnahmen mit Priorität 3 zur Realisierung in Betracht gezogen. Kann die Gesamtheit<br />
der Maßnahmen mit Priorität 1 nicht umgesetzt werden, so müssen möglichst viele Maßnahmen<br />
der Prioritäten 2 und 3 hinzugenommen werden, um die so entstandenen <strong>Sicherheit</strong>slöcher<br />
zu schließen.<br />
202 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Priorität Realisierung<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Tabelle 3: Priorisierung von Maßnahmen<br />
1 Pflicht, sofern irgendwie realisierbar Best Current Practice<br />
2<br />
3<br />
5.2 ISDN <strong>TK</strong>-<strong>Anlagen</strong><br />
Typische Abarbeitungsreihenfolge Typical Practice<br />
unterhalb von Priorität 1<br />
Die Analyse der Szenarien ist <strong>für</strong> ISDN <strong>TK</strong>-<strong>Anlagen</strong> in<br />
die folgenden Blöcke aufgeteilt:<br />
• Zentrale Anlage, siehe Kapitel 5.2.1<br />
• Endgeräte, siehe Kapitel 5.2.2<br />
• Netzwerk, siehe Kapitel 5.2.3<br />
• Netz- und Systemmanagement, siehe Kapitel 5.2.4<br />
5.2.1 Zentrale Anlage<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 4: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Zentrale Anlage<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-1 Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale<br />
1 1 1 M-<strong>TK</strong>-2 Schaffung eines zusätzlichen <strong>TK</strong>-Ersatzanschlusses <strong>für</strong><br />
Notrufe<br />
3 2 2 M-<strong>TK</strong>-3 Katastrophenschaltung<br />
1 1 1 M-<strong>TK</strong>-4 Erhöhter Zutrittschutz<br />
2 1 1 M-<strong>TK</strong>-5 Geeignete Aufstellung der <strong>TK</strong>-Anlage<br />
2 2 2 M-<strong>TK</strong>-6 <strong>Sichere</strong> Ablage von Kontaktinformationen<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 203
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-7 <strong>Sichere</strong>r Umgang mit Daten zur <strong>Anlagen</strong>nutzung<br />
3 2 1 M-<strong>TK</strong>-8 Absicherung eines LAN-Anschlusses der ISDN <strong>TK</strong>-<br />
Anlage<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-1 Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale<br />
Hinweis: Diese Maßnahme ist bei KI-Szenarien typischerweise als Fremdleistung einzukaufen,<br />
um die nötige <strong>Sicherheit</strong> in der Administration der Lösung zu gewährleisten.<br />
Bei MI-filial-Standorten wird empfohlen, die Konfiguration vom selben Personal (intern<br />
oder extern) durchführen zu lassen, das diese Arbeiten auch <strong>für</strong> den zentralen Standort<br />
vornimmt.<br />
zu M-<strong>TK</strong>-2 Schaffung eines zusätzlichen <strong>TK</strong>-Ersatzanschlusses <strong>für</strong> Notrufe<br />
Für KI- und MI-filial-Standorte mit einem S0-PSTN-Anschluss kann ein manuelles Umstecken<br />
als Lösung akzeptabel sein (Anlage abziehen, Notruftelefon direkt anstecken),<br />
wenn<br />
• eine bebilderte Kurzanleitung vorhanden ist und<br />
• die folgende empfohlene Ausstattung bereitliegt<br />
• geeigneter Apparat (Endgerät)<br />
• zusätzlicher, funktionierender NTBA (Reserveteil)<br />
• alle notwendigen Kabel <strong>für</strong> den Notanschluss.<br />
Die Bevorratung mit Ersatzausstattung muss so ausgelegt sein, dass zusätzlich nur noch<br />
der funktionsfähige Zugang zum PSTN benötigt wird, um die Notschaltung aufzubauen.<br />
Bei Standorten der Kategorien MI-zentral und GI ist darauf zu achten, dass derartige Notrufmöglichkeiten<br />
von allen Räumen aus auf ausreichend kurzen Wegen erreichbar ist. Eine<br />
einzige zentrale Lösung kann dazu führen, dass Notrufe nicht rechtzeitig abgesetzt<br />
werden können, um Schaden zu minimieren bzw. Gefahr <strong>für</strong> Leib und Leben geeignet<br />
abzuwenden.<br />
zu M-<strong>TK</strong>-3 Katastrophenschaltung<br />
Bei Installationen der Größenordnung KI bzw. MI-filial ist der Zweck dieser Maßnahme<br />
oft schon mit M-<strong>TK</strong>-2 und organisatorischer Festlegung zum Nutzungsrecht <strong>für</strong> den Ersatzanschluss<br />
erfüllt. Die Maßnahme M-<strong>TK</strong>-3 kann die Anlage sonst <strong>für</strong> solche Szenarien<br />
unverhältnismäßig verteuern.<br />
Im Gegensatz dazu ist bei MI-zentral- und GI-Standorten darauf zu achten, dass<br />
• die mit Inkraftsetzung der Katastrophenschaltung weiterhin zur <strong>Anlagen</strong>nutzung berechtigten<br />
Apparate bedarfsgerecht auf die Organisationseinheiten verteilt werden<br />
und<br />
204 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
• die entsprechenden Festlegungen regelmäßig auf Aktualität geprüft werden (bereits<br />
durch Umzüge können die ursprünglichen Festlegungen berechtigter Telefone ungeeignet<br />
werden).<br />
zu M-<strong>TK</strong>-4 Erhöhter Zutrittschutz<br />
Diese Maßnahme ist die wichtigste Basismaßnahme <strong>für</strong> Wahrung der Verhältnismäßigkeit<br />
bei vielen anderen Maßnahmen.<br />
Sie ist in den unterschiedlichen Szenarien mit den jeweils zur Verfügung stehenden Mitteln<br />
zu realisieren.<br />
Bei KI-Szenarien und MI-filial-Standorten sind häufig die bezahlbaren (bau-)technischen<br />
Möglichkeiten beschränkt. In solchen Umgebungen ist so weit wie möglich die Übersichtlichkeit<br />
der Umgebungsgröße gezielt <strong>für</strong> konsequente organisatorische Umsetzung<br />
auszunutzen:<br />
• Kein unbeaufsichtigter Zutritt Fremder zu Räumen mit <strong>TK</strong>-<strong>Anlagen</strong>installationen als<br />
Grundsatz,<br />
• Gezielte Aufstellung der Anlage in Räumen, <strong>für</strong> die eine solche Regelung auch aus<br />
anderen Gründen bereits Gültigkeit hat<br />
Erscheint im konkreten Fall die Wirksamkeit einer solch vorrangig organisatorischen Zutrittsschutzlösung<br />
nur sehr eingeschränkt, d. h. ist die konsequente Umsetzbarkeit fraglich,<br />
sollte in jedem Fall ein abschließbarer Schrank als minimaler technischer Schutz<br />
eingesetzt werden.<br />
In den Fällen MI-zentral und GI sind Räume zu wählen, die mindestens mit denselben<br />
Maßnahmen gegen unbefugten Zutritt gesichert sind wie die Aufstellungsorte kritischer<br />
zentraler IT-Systeme. Man vergleiche auch die in der Maßnahmenbeschreibung von M-<br />
<strong>TK</strong>-4 <strong>für</strong> den Fall von Umgebungen ohne separaten Raum <strong>für</strong> die <strong>TK</strong>-Lösung benannten<br />
Anforderungen: Bei gemeinsamer Unterbringung von <strong>TK</strong>-Anlage und sonstiger IT sind<br />
diese im Falle erhöhten Schutzbedarfs als Pflichtanforderungen zu behandeln.<br />
zu M-<strong>TK</strong>-5 Geeignete Aufstellung der <strong>TK</strong>-Anlage<br />
Die Maßnahme umfasst bei KI- und MI-filial-Szenarien im Wesentlichen den Zutrittschutz,<br />
siehe Ausführungen zu M-<strong>TK</strong>-4. Die Installation einer USV u. ä. kann <strong>für</strong> KI unverhältnismäßig<br />
sein, wenn diese nicht auch <strong>für</strong> andere IT-Systeme erfolgt; das damit zu<br />
entschärfende Risiko kann in solchen Szenarien zu einem großen Teil mit M-<strong>TK</strong>-2 abgesichert<br />
werden.<br />
Für MI-zentral- und GI-Standorte sind am Aufstellungsort der <strong>TK</strong>-Anlage mindestens<br />
dieselben Vorkehrungen zu treffen wie am selben Standort <strong>für</strong> kritische IT-Systeme realisiert<br />
sind (USV, Klimatisierung, Brandschutz, …). Dabei ist die Möglichkeit zum Telefonieren<br />
gerade in Notfallsituationen wichtig. Entsprechend sollte kritisch geprüft werden,<br />
inwieweit die gemeinsame Nutzung derselben Versorgungslösungen durch <strong>TK</strong>-<br />
Anlage und anderen IT-Systemen sinnvoll ist (wichtigstes Beispiel: Eine separate USV<br />
<strong>für</strong> die <strong>TK</strong>-Anlage kann angezeigt sein).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 205
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
zu M-<strong>TK</strong>-6 <strong>Sichere</strong> Ablage von Kontaktinformationen<br />
Einem erhöhten Schutzbedarf <strong>für</strong> Vertraulichkeit kann bei KI- und MI-filial-Szenarien im<br />
Zweifel durch den Verzicht der Speicherung in der ISDN-Anlage (je nach Anzahl der<br />
häufigsten Gesprächspartner) entsprochen werden. Wird so verfahren, müssen hinsichtlich<br />
der <strong>TK</strong>-Anlage keine Schutzvorkehrungen zur sicheren Ablage getroffen werden.<br />
Im Falle von MI-filial-Standorten besteht ergänzend die Möglichkeit, derartige Kontaktinformationen<br />
über einen zentralen Standort verwalten zu lassen. So wird die Schutzaufgabe<br />
in die mit günstigeren Voraussetzungen versehene Zentrale verlagert, statt vollständig<br />
auf die Nutzung von Kontaktinformationen direkt über die Telefonie-Endgeräte<br />
verzichten zu müssen. Voraussetzung ist ein Zugriff auf eine solche zentrale Ablage über<br />
geeignet gesicherte Kommunikation.<br />
zu M-<strong>TK</strong>-7 <strong>Sichere</strong>r Umgang mit Daten zur <strong>Anlagen</strong>nutzung<br />
Gerade bei KI-Szenarien ist auf eine gezielte Minimierung der überhaupt erfassten Daten<br />
zu achten (Datenvermeidung statt Schutzmaßnahmen). Aufwendigere Maßnahmen zur<br />
Absicherung des Zugriffs zur Anlage sind in solchen Umgebungen oft nicht praktikabel<br />
(Alter der Anlage, Funktionalitäten einer <strong>für</strong> die Umgebungsgröße angemessenen Anlage,<br />
vorhandene Kenntnisse).<br />
Bei in KI-Szenarien häufiger eingesetzten preisgünstigen <strong>Anlagen</strong> können solche Daten<br />
auf der Anlage selbst oft nur schwach geschützt werden. In einem solchen Fall bietet es<br />
sich an, ergänzend zur Datenvermeidung eine automatisierte Überführung solcher Daten<br />
von der Anlage auf eine separate, bereits gut geschützte Ablage einrichten zu lassen.(z. B.<br />
vorhandene Fileserver). So wird eine möglichst kurze Verweildauer der Daten auf der<br />
Anlage erreicht.<br />
zu M-<strong>TK</strong>-8 Absicherung eines LAN-Anschlusses der ISDN <strong>TK</strong>-Anlage<br />
Das Risiko <strong>für</strong> KI-Umgebungen kann primär über den Zugangsschutz (M-<strong>TK</strong>-4) minimiert<br />
werden, sofern ein solcher Zugangsschutz auch auf Räume mit Netzanschlüssen<br />
zum Standort-LAN so ausgedehnt werden kann, dass unbemerkte Angriffe aus dem LAN<br />
bzw. vorbereitende Manipulationen an LAN-Anschlüssen verhindert werden können.<br />
In manchen KI-Umgebungen kann weder diese Voraussetzung realisiert werden, noch<br />
besteht die Möglichkeit zu den im Maßnahmentext benannten technischen Vorkehrungen.<br />
Gründe hier<strong>für</strong> sind fehlendes Know-how, fehlende Funktionalitäten oder eine <strong>für</strong> die<br />
Maßnahme ungeeignete Struktur der LAN-Technik. In solchen Fällen sollte auf die Nutzung<br />
des LAN-Anschlusses der Anlage verzichtet werden. Konkret bedeutet dies den<br />
Verzicht auf Verkabelung des Anschlusses, evtl. zusätzlich Deaktivierung des Ports bei<br />
Lieferung und Erstkonfiguration der Anlage, siehe M-<strong>TK</strong>-1.<br />
In GI-Szenarien ist diese Maßnahme als verpflichtend anzusehen: Die Umgebungsgröße<br />
bringt typisch ein hohes Restrisiko <strong>für</strong> mögliche, nicht sofort auffallende Angriffsversuche<br />
aus dem LAN heraus mit sich. Entsprechend ist die LAN-Schnittstelle der ISDN<br />
<strong>TK</strong>-Anlage verpflichtend abzusichern, wenn dies nicht gezielt durch Verzicht auf ihre<br />
Nutzung entbehrlich gemacht wird.<br />
206 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5.2.2 Endgeräte<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 5: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-9 Sperrung bestimmter Fax-Rufnummern<br />
1 1 1 M-<strong>TK</strong>-10 Gesicherte Aufstellung der Faxlösung<br />
1 1 1 M-<strong>TK</strong>-11 Ungeschützte Multifunktionsgeräte: Verhinderung der<br />
Faxfunktionsnutzung<br />
2 2 2 M-<strong>TK</strong>-12 <strong>Sichere</strong> Nutzung von Fax-Geräten und Multifunktionsgeräten<br />
mit Faxfunktion<br />
2 2 2 M-<strong>TK</strong>-13 <strong>Sichere</strong> Aufbewahrung eingegangener Faxnachrichten<br />
3 3 3 M-<strong>TK</strong>-14 Sicherung von Telefonie-Endgeräten in frei zugänglichen<br />
Räumen<br />
2 2 2 M-<strong>TK</strong>-15 Einsatz „sicherheitsintelligenter“ Endgeräte<br />
3 2 1 M-<strong>TK</strong>-16 Aktivierung einer Warnung bei Nutzung unsicherer Merkmale<br />
1 1 1 M-<strong>TK</strong>-17 <strong>Sichere</strong>r Umgang mit Schnittstellen am Telefonie-<br />
Endgerät<br />
3 2 2 M-<strong>TK</strong>-18 Geschützte Übertragung von Sprachdaten<br />
1 1 1 M-<strong>TK</strong>-19 Verzicht auf Einsatz von Wartungsapparaten bei erhöhtem<br />
Schutzbedarf<br />
1 1 1 M-<strong>TK</strong>-20 Sperrung der Wartungsmöglichkeit per Wartungsapparat<br />
an der Anlage<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-9 Sperrung bestimmter Fax-Rufnummern<br />
Diese Maßnahme sollte bei KI-Szenarien nur bei akutem Bedarf realisiert werden. Die<br />
Wahrscheinlichkeit <strong>für</strong> die Faxnutzung behindernde Fehler sowie <strong>für</strong> häufigen, dabei<br />
mangels geeigneten Personals nicht bewältigbaren Änderungsbedarf ist hier größer als<br />
das pauschale Restrisiko.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 207
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
zu M-<strong>TK</strong>-10 Gesicherte Aufstellung der Faxlösung<br />
Im Falle von KI-Szenarien und MI-filial-Standorten mit überschaubaren Verhältnissen<br />
kann die Umsetzung dieser Maßnahme im Wesentlichen über organisatorischen Zutrittsschutz<br />
(kein unbeaufsichtigter Zugang <strong>für</strong> Dritte) entsprochen werden.<br />
zu M-<strong>TK</strong>-11 Ungeschützte Multifunktionsgeräte: Verhinderung der Faxfunktionsnutzung<br />
Im Falle von KI-Szenarien besteht der einfachste Weg zum Umgang mit dieser Maßnahme<br />
darin, gezielt Geräte ohne Faxfunktion zu beschaffen. Andernfalls muss die vorgesehene<br />
Abschaltung der Faxfunktion nötigenfalls mit externer Hilfe (z. B. Lieferant)<br />
erfolgen, sofern ein Multifunktionsgerät einschließlich Faxfunktion wegen Kostenvorteilen<br />
oder aus ähnlichen Gründen beschafft wird.<br />
zu M-<strong>TK</strong>-12 <strong>Sichere</strong> Nutzung von Fax-Geräten und Multifunktionsgeräten mit Faxfunktion<br />
Für KI-Szenarien ist diese Maßnahme oft entbehrlich mit geeigneter Zutrittsregelung zum<br />
Aufstellungsort der Geräte.<br />
Der zu realisierende Umfang der im Maßnahmentext beschriebenen Ansätze ist abhängig<br />
von dem Grundwert, <strong>für</strong> den erhöhter Schutzbedarf gegeben ist (Vertraulichkeit bzw. Integrität).<br />
Insofern sind nicht alle im Maßnahmentext beschriebenen Ansätze in jeder Umgebung<br />
relevant.<br />
Aus diesem Grunde wurde der Maßnahme nicht die Priorität 1 gegeben.<br />
Die zum konkret gesehenen Risiko inhaltlich passenden Ansätze sollten jedoch dringend<br />
umgesetzt werden. Eine gezielte Abwägung möglicher organisatorischer Regelungen<br />
sollte in jedem Fall erfolgen.<br />
zu M-<strong>TK</strong>-13 <strong>Sichere</strong> Aufbewahrung eingegangener Faxnachrichten<br />
Die Maßnahme kann bei KI-Szenarien und vergleichbaren MI-filial-Standorten im Wesentlichen<br />
organisatorisch umgesetzt werden, ohne hier<strong>für</strong> spezielle Faxgeräte zu beschaffen.<br />
Wird auf Versand und Empfang erhöht schützenswerter Informationen per Fax<br />
verzichtet, fällt die Maßnahme nicht an, daher keine Zuordnung der Priorität 1.<br />
zu M-<strong>TK</strong>-18 Geschützte Übertragung von Sprachdaten<br />
Im Falle von KI-Szenarien und MI-filial-Standorten vergleichbarer Größe ist hier vorrangig<br />
der Aspekt einer Anbindung von externen Telefonen (Heimarbeitsplatz, evtl.<br />
Reisender aus Hotel) zu betrachten. Dabei bietet es sich an, zwecks geeigneter Auslegung<br />
der zu beschaffenden Verschlüsselungslösung sofort M-<strong>TK</strong>-21 mit zu betrachten<br />
(Kompatibilität zu Partnern).<br />
Bei Szenarien dieser Größenordnung ist der Aspekt geschützter Kommunikation zwischen<br />
internen Telefonen am selben Standort im Vergleich nachrangig zu betrachten. Nur<br />
zum Schutz derartiger Telefonate ist die Beschaffung von Verschlüsselungsequipment in<br />
solchen Umgebungen typischerweise unverhältnismäßig: Telefonate vertraulichen Inhalts<br />
können hier leicht durch kurze Besprechungen (vier Augen-Gespräch) vermieden werden.<br />
208 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5.2.3 Netzwerk<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 6: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-21 Gesicherte Übertragung der Sprachdaten zwischen<br />
Partnerstandorten durch Leitungsverschlüsselung<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-21 Gesicherte Übertragung der Sprachdaten zwischen Partnerstandorten durch<br />
Leitungsverschlüsselung<br />
Es kann vorkommen, dass die Maßnahme auf Partnerseite nicht umsetzbar ist. In KI-<br />
Szenarien kann man außerdem zu der Einschätzung kommen, dass diese Maßnahme nicht<br />
beherrschbar ist. In solchen Fällen muss bei erhöhtem Schutzbedarf bzgl. Vertraulichkeit<br />
zumindest durch organisatorische Regelungen und entsprechende gezielte Sensibilisierung<br />
der Telefonie-Nutzer eine Selektierung der Informationen erfolgen, die auf telefonischem<br />
Wege ausgetauscht werden.<br />
5.2.4 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 7: Maßnahmen-Klassifizierung ISDN <strong>TK</strong>-<strong>Anlagen</strong> – Netz- und<br />
Systemmanagement Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-22 Restriktive Einbindung externer Wartung<br />
3 1 1 M-<strong>TK</strong>-23 <strong>Sichere</strong> Aufstellung von Administrationsendgeräten<br />
3 1 1 M-<strong>TK</strong>-24 <strong>Sichere</strong> Konfiguration von Administrationsendgeräten<br />
3 1 1 M-<strong>TK</strong>-25 Regelungen <strong>für</strong> sichere <strong>TK</strong>-Administration<br />
3 1 1 M-<strong>TK</strong>-26 <strong>Sichere</strong> Konfiguration des Management-Zugangs zur<br />
ISDN <strong>TK</strong>-Anlage<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 209
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 1 1 M-<strong>TK</strong>-27 Protokollierung und regelmäßige Kontrolle von Fernwartungszugriffen<br />
3 2 1 M-<strong>TK</strong>-28 Verfügbarkeitssicherung durch (automatisierte) Zustandsüberwachung<br />
3 2 1 M-<strong>TK</strong>-29 Abschluss eines Support-Vertrags inklusive externer<br />
Beratungskompetenz<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-22 Restriktive Einbindung externer Wartung<br />
Häufig kann im Falle von KI-Szenarien mangels Personalkapazitäten mit entsprechendem<br />
Know-how weder die geeignete Absicherung von externen Fernwartungszugriffen regelmäßig<br />
überprüft noch eine Kontrolle von Log-Informationen auf solche Zugriffsversuche<br />
realisiert werden. In diesem Fall sollte auf Fernwartungszugriffe durch Externe verzichtet<br />
werden. Der typische Bedarf an Konfigurationsänderungen in einer solchen Umgebung<br />
rechtfertigt das Risiko eines schlecht gesicherten oder unbemerkt angegriffenen Fernwartungszugangs<br />
nicht. Störungsbehandlung und Änderungsdurchführung können i.d.R.<br />
sinnvoller vor Ort durchgeführt werden.<br />
Bei MI-filial-Standorten mit erhöhtem Schutzbedarf ist die Wartungskonzeption <strong>für</strong> den<br />
Zentralstandort anzuwenden, wobei vorgesehene Kontrollen solcher Zugriffe durch entsprechend<br />
kundiges Personal der Zentrale erfolgen sollten, wenn in der Filiale kein solches<br />
ansässig ist.<br />
zu M-<strong>TK</strong>-23, M-<strong>TK</strong>-24, M-<strong>TK</strong>-25<br />
M-<strong>TK</strong>-23 bis M-<strong>TK</strong>-25 betreffen im ursprünglichen Sinne eigene Administrations-<br />
Endgeräte. Da entsprechend der Größenordnung im KI-Fall kein eigenes Administrationspersonal<br />
vorhanden ist, sind die Maßnahmen hier nur sehr eingeschränkt<br />
anwendbar und daher mit Priorität 3 versehen:<br />
• Im Wesentlichen können sie sinngemäß auf mobile Administrationsgeräte angewendet<br />
werden, die von Externen fallweise zu Wartungs- und Support-Einsätzen<br />
mitgebracht werden (Techniker-Notebook o. Ä.).<br />
Die Aufstellung ist somit nur temporär, der Zugriff auf solche Geräte erfolgt ohnehin<br />
nur unter Aufsicht (da durch externes Personal).<br />
• Denkbar ist im Wesentlichen die Aufstellung eines Konsol-Endgeräts bei der <strong>TK</strong>-<br />
Anlage; <strong>für</strong> dieses greifen automatisch die Maßnahmen zur sicheren Aufstellung der<br />
<strong>TK</strong>-Anlage (M-<strong>TK</strong>-4 bzw. M-<strong>TK</strong>-5), sodass im Sinne von M-<strong>TK</strong>-23 nichts hinzuzufügen<br />
ist.<br />
zu M-<strong>TK</strong>-26, M-<strong>TK</strong>-27, M-<strong>TK</strong>-28<br />
Die hier beschriebenen Maßnahmeninhalte setzen das Vorhandensein einer zentralen<br />
Management-Lösung und/oder eines Log-Servers voraus, sowie entsprechenden Personals,<br />
das die entsprechenden Protokollierungen kompetent prüfen kann. Diese Voraussetzungen<br />
sind in KI-Szenarien häufig nicht gegeben, weil unverhältnismäßig bzw.<br />
210 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
mangels entsprechend kompetenten Personals sinnlos. In diesen Fällen ist im Wesentlichen<br />
M-<strong>TK</strong>-26 zu beachten, in Form gezielter Abschaltung aller Management-<br />
Zugriffsmöglichkeiten (Extremvariante von „Abschaltung nicht zur Verwendung vorgesehener<br />
Zugriffsmöglichkeiten“). Statt einer Abschaltung der Management-<br />
Möglichkeiten per Konfiguration kann auch sofort auf eine Verschaltung einer LAN-<br />
Schnittstelle der Anlage verzichtet werden, vergleiche Ausführungen zu M-<strong>TK</strong>-8.<br />
Bei MI-filial-Standorten ist das unter Berücksichtigung der <strong>Sicherheit</strong>sanforderungen<br />
ausgelegte Management-Konzept der Zentrale umzusetzen, soweit sinnvoll möglich, und<br />
gezielt die zentrale Telefonie- und IT-Kompetenz mitzunutzen.<br />
zu M-<strong>TK</strong>-29 Abschluss eines Support-Vertrags inklusive externer Beratungskompetenz<br />
In KI-Szenarien ist der Abschluss eines Support-Vertrags inklusive Beratungskompetenz<br />
i.d.R. als unverhältnismäßig teuer einzustufen. Stattdessen kann bei konkretem Bedarf eine<br />
fallweise Beauftragung beratender Unterstützung erfolgt. Die mit dieser Zugriffsform<br />
auf externe Unterstützung meist verbundene längere Wartezeit im Störungsfall kann in<br />
überschaubaren KI-Fällen häufig problemlos über die Ersatzlösung <strong>für</strong> Notrufe (siehe M-<br />
<strong>TK</strong>-2) überbrückt werden.<br />
Ähnlich verhält es sich mit der Verhältnismäßigkeit einer vertraglich gesicherten Beratungskomponente<br />
<strong>für</strong> MI-Szenarien. Allerdings ist hier deutlich häufiger als im KI-Fall<br />
die Sinnfälligkeit von Hardware-Wartungsverträgen gegeben.<br />
Die Möglichkeit zum regelmäßigen Bezug von sicherheitsrelevanten Software-Updates<br />
muss in jedem Fall sichergestellt werden, unabhängig von der Szenariengröße.<br />
5.3 VoIP-Systeme<br />
Die Betrachtung der verschiedenen Szenarien wird <strong>für</strong><br />
VoIP-Systeme in die folgenden Blöcke aufgeteilt:<br />
• Server und Anwendungen, siehe Kapitel 5.3.1<br />
• Endgeräte, siehe Kapitel 5.3.2<br />
• Netzwerk, siehe Kapitel 5.3.3<br />
• Netz- und Systemmanagement, siehe Kapitel 5.3.4<br />
• Übergreifende Aspekte, die allgemein <strong>für</strong> VoIP-Systeme gelten, siehe Kapitel 5.3.5<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 211
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
5.3.1 Server und Anwendungen<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 8: Maßnahmen-Klassifizierung VoIP-Systeme – Server und Anwendungen<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-30 Ende-zu-Ende-Verschlüsselung des Medienstroms<br />
1 1 1 M-<strong>TK</strong>-31 Verschlüsselung der Signalisierung<br />
1 1 1 M-<strong>TK</strong>-32 Authentisierung zwischen Endgeräten und Servern des<br />
VoIP-Systems<br />
2 2 2 M-<strong>TK</strong>-33 Authentisierung zwischen Servern<br />
3 2 1 M-<strong>TK</strong>-34 Redundanz der Telefonie-Server<br />
3 2 1 M-<strong>TK</strong>-35 Verfügbarkeit der Server und Gateways von denen die<br />
Funktion des Telefonie-Servers und des Telefonie-<br />
Diensts unmittelbar abhängt<br />
3 2 1 M-<strong>TK</strong>-36 Schaffung eines zusätzlichen PSTN-Ersatzanschlusses<br />
<strong>für</strong> Notrufe<br />
3 2 2 M-<strong>TK</strong>-37 Automatische PSTN-Umschaltung <strong>für</strong> Filialen<br />
3 2 2 M-<strong>TK</strong>-38 Absicherung von Telefonie-Daten im Verzeichnisdienst<br />
3 2 1 M-<strong>TK</strong>-39 Verfügbarkeit kritischer Telefonie-Daten<br />
1 1 1 M-<strong>TK</strong>-40 Einschränkungen von DNS <strong>für</strong> VoIP<br />
1 1 1 M-<strong>TK</strong>-41 Einschränkung von ENUM<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-33 Authentisierung zwischen Servern<br />
In KI-Szenarien ist in der Regel nicht davon auszugehen, dass verschiedene <strong>Sicherheit</strong>szonen<br />
im LAN implementiert werden. Daher ist <strong>für</strong> erhöhten Schutzbedarf hier die Authentisierung<br />
in jedem Fall zu empfehlen. Die Einrichtung sollte bei KI-Szenarien typischerweise<br />
als Fremdleistung eingekauft werden, um die nötige <strong>Sicherheit</strong> in der<br />
Administration der Lösung zu gewährleisten.<br />
212 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Im Fall von GI- und MI-zentral-Standorten ist die Wahrscheinlichkeit einer separaten <strong>Sicherheit</strong>szone<br />
<strong>für</strong> zentrale Systeme und damit auch <strong>für</strong> die Telefonie-Server größer, daher<br />
wurde nicht Priorität 1 vergeben.<br />
Im Falle von MI-Szenarien muss zwischen etwaigen Servern in KI-filial-Standorten und<br />
MI-zentral-Standorten wiederum zwingend mit Authentisierung gearbeitet werden.<br />
zu M-<strong>TK</strong>-34 Redundanz der Telefonie-Server<br />
Im Falle von KI-Szenarien ist im Regelfall der Einsatz redundanter Server unverhältnismäßig.<br />
Das damit zu entschärfende Verfügbarkeitsrisiko kann in solchen Szenarien zu einem<br />
großen Teil mit M-<strong>TK</strong>-2 abgesichert werden.<br />
Im Falle von MI-filial-Standorten kann die Server-Redundanz über das Paar aus Server<br />
im MI-filial-Standort und dem MI-zentral-Standort realisiert werden, sodass in der einzelnen<br />
Filiale keine zwingende Server-Dopplung anfällt. Entsprechend erhöht sich allerdings<br />
die Bedeutung der Server im MI-zentral-Standort über dessen Standortgrenzen hinaus,<br />
d. h. hier ist bei einer derartigen Konstellation wie bei GI-Standorten zu verfahren.<br />
Andernfalls kann fallweise in MI-zentral-Standorten eine Server-Redundanz als entbehrlich<br />
eingestuft werden, wenn M-<strong>TK</strong>-36 in großzügigem Umfang umgesetzt wurde.<br />
zu M-<strong>TK</strong>-35 Verfügbarkeit der Server und Gateways von denen die Funktion des Telefonie-<br />
Servers und des Telefonie-Diensts unmittelbar abhängt<br />
Für KI- und MI-Szenarien ist die Redundanzthematik wie bei M-<strong>TK</strong>-34 lösbar.<br />
zu M-<strong>TK</strong>-36 Schaffung eines zusätzlichen PSTN-Ersatzanschlusses <strong>für</strong> Notrufe<br />
Im Falle von KI-Szenarien und MI-filial-Standorten vergleichbarer Größenordnung, die<br />
mit einem S0-PSTN-Anschluss als Primäranschluss hinreichend ausgestattet sind, ist im<br />
Regelfall ein separater S0-PSTN-Anschluss als unverhältnismäßig einzustufen. Als Minimalumfang<br />
einer Notrufmöglichkeit kann hier ein manuelles Umstecken als Lösung<br />
akzeptabel sein (Anlage abziehen, Notruftelefon direkt anstecken), wenn<br />
• eine bebilderte Kurzanleitung vorhanden ist und<br />
• die folgende empfohlene Ausstattung bereitliegt<br />
• geeigneter Apparat (Endgerät)<br />
• zusätzlicher, funktionierender NTBA (Reserveteil)<br />
• alle notwendigen Kabel <strong>für</strong> den Notanschluss.<br />
Die Bevorratung mit Ersatzausstattung muss so ausgelegt sein, dass zusätzlich nur noch<br />
der funktionsfähige Zugang zum PSTN benötigt wird, um die Notschaltung aufzubauen.<br />
Bei Standorten der Kategorien MI-zentral und GI ist darauf zu achten, dass derartige Notrufmöglichkeiten<br />
von allen Räumen aus auf ausreichend kurzen Wegen erreichbar ist. Eine<br />
einzige zentrale Lösung kann dazu führen, dass Notrufe nicht rechtzeitig abgesetzt<br />
werden können, um Schaden zu minimieren bzw. Gefahr <strong>für</strong> Leib und Leben geeignet<br />
abzuwenden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 213
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
zu M-<strong>TK</strong>-37 Automatische PSTN-Umschaltung <strong>für</strong> Filialen<br />
Im Falle von KI-Szenarien ist eine wörtliche Umsetzung dieser Maßnahmen nicht sinnvoll,<br />
da kein Filialstatus gegeben ist. Hier ist die gemäß M-<strong>TK</strong>-36 implementierte Lösung<br />
zu nutzen.<br />
Im Falle von MI- und GI-Szenarien ist die Sinnfälligkeit dieser Maßnahme davon abhängig,<br />
ob neben dem zentralen bzw. großen Standort überhaupt Filialen gegeben sind.<br />
Nur daher wurde hier nicht die Priorität 1 zugeordnet: Sofern Filialen vorhanden sind, ist<br />
die Maßnahme hier zwingend umzusetzen.<br />
zu M-<strong>TK</strong>-39 Verfügbarkeit kritischer Telefonie-Daten<br />
Die zur Verwaltung solcher Daten verwendeten Server sind im Sinne der Redundanzentscheidung<br />
bzgl. M-<strong>TK</strong>-34 und M-<strong>TK</strong>-35 zu behandeln.<br />
zu M-<strong>TK</strong>-40 Einschränkungen von DNS <strong>für</strong> VoIP<br />
In KI-Szenarien ist der Einsatz eines separaten, gemäß den Anforderungen dieser Maßnahme<br />
eingeschränkten DNS-Servers häufig unverhältnismäßig. In solchen Fällen wird<br />
dringend empfohlen, auf DNS <strong>für</strong> VoIP zu verzichten.<br />
In MI-filial-Standorten mit KI-vergleichbarer Größenordnung kann die Anforderung<br />
durch Mitnutzung eines <strong>für</strong> VoIP gezielt wie beschrieben abgesicherten DNS-Servers in<br />
der Zentrale realisiert werden. Andernfalls gilt auch hier die Empfehlung zum DNS-<br />
Verzicht <strong>für</strong> VoIP.<br />
zu M-<strong>TK</strong>-41 Einschränkung von ENUM<br />
Es gelten sinngemäß die Ausführungen zu M-<strong>TK</strong>-40.<br />
5.3.2 Endgeräte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 9: Maßnahmen-Klassifizierung VoIP-Systeme – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-42 Sicherung von IP-Telefonen in unübersichtlichen Umgebungen<br />
2 2 2 M-<strong>TK</strong>-43 Warnung bei unsicheren Einstellungen<br />
2 2 2 M-<strong>TK</strong>-44 Prozess zur Behandlung des Verlusts eines VoIP-Endgeräts<br />
2 2 2 M-<strong>TK</strong>-45 Absicherung der Firmware<br />
1 1 1 M-<strong>TK</strong>-46 Absicherung von Konfigurationsdateien<br />
1 1 1 M-<strong>TK</strong>-47 <strong>Sicherheit</strong> von Softphones<br />
214 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Priorität<br />
KI MI GI Maßnahmen<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
2 2 2 M-<strong>TK</strong>-48 <strong>Sichere</strong> Konfiguration von PC-Ports an IP-Telefonen<br />
1 1 1 M-<strong>TK</strong>-49 <strong>Sichere</strong> Konfiguration von IP und von IP-basierten Diensten<br />
1 1 1 M-<strong>TK</strong>-50 Einschränkung des lokalen Zugriffs auf die Konfiguration des<br />
IP-Telefons<br />
3 2 2 M-<strong>TK</strong>-51 Benutzerabhängige Berechtigungen<br />
1 1 1 M-<strong>TK</strong>-52 Schutz von Teilnehmer-spezifischen Daten auf einem IP-<br />
Telefon<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-44 Prozess zur Behandlung des Verlusts eines VoIP-Endgeräts<br />
Bei Telefonen, auf denen keine vertrauenswürdigen Daten gespeichert werden, fällt diese<br />
Maßnahme nicht an. Nur deshalb wurde nicht die Priorität 1 zugeordnet. Sobald die<br />
Maßnahme sinnvoll anwendbar ist, muss dies auch geschehen.<br />
Insofern bietet es sich <strong>für</strong> KI-Szenarien an, auf eine telefonbasierte Speicherung vertrauenswürdiger<br />
Daten zu verzichten. Andernfalls ist unverzüglich externe Unterstützung<br />
zur Durchführung der notwendigen technischen Maßnahmen abzurufen.<br />
zu M-<strong>TK</strong>-46 Absicherung von Konfigurationsdateien<br />
Für KI-Szenarien ist die Umsetzung dieser Maßnahme im Rahmen der Ersteinrichtung als<br />
Fremdleistung einzukaufen, um die nötige <strong>Sicherheit</strong> in der Administration zu gewährleisten.<br />
zu M-<strong>TK</strong>-49 <strong>Sichere</strong> Konfiguration von IP und von IP-basierten Diensten<br />
Für KI-Szenarien ist die Umsetzung dieser Maßnahme im Rahmen der Ersteinrichtung als<br />
Fremdleistung einzukaufen, um die nötige <strong>Sicherheit</strong> in der Administration zu gewährleisten.<br />
zu M-<strong>TK</strong>-51 Benutzerabhängige Berechtigungen<br />
In KI-Szenarien ist ein gestuftes Berechtigungskonzept typischerweise unverhältnismäßig.<br />
Die Unterscheidung zwischen Standard-Profil und einem einheitlichen Profil mit<br />
erweiterten Berechtigungen nach Authentisierung ist im Regelfall ausreichend.<br />
zu M-<strong>TK</strong>-52 Schutz von Teilnehmer-spezifischen Daten auf einem IP-Telefon<br />
Für KI-Szenarien ist die Umsetzung dieser Maßnahme im Rahmen der Ersteinrichtung als<br />
Fremdleistung einzukaufen, um die nötige <strong>Sicherheit</strong> in der Administration zu gewährleisten.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 215
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
5.3.3 Netzwerk<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 10: Maßnahmen-Klassifizierung VoIP-Systeme – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 1 M-<strong>TK</strong>-53 <strong>Sichere</strong> Konfiguration der Netzwerk-Komponenten<br />
3 2 1 M-<strong>TK</strong>-54 <strong>Sichere</strong>s Routing<br />
3 2 2 M-<strong>TK</strong>-55 Absicherung von Switch Ports<br />
3 2 2 M-<strong>TK</strong>-56 Absicherung der DHCP-Nutzung<br />
3 2 2 M-<strong>TK</strong>-57 Quality of Service im Netzwerk<br />
3 2 1 M-<strong>TK</strong>-58 Zugangskontrolle zum Netzwerk<br />
3 2 2 M-<strong>TK</strong>-59 MAC Security im Anschlussbereich <strong>für</strong> Endgeräte<br />
3 2 2 M-<strong>TK</strong>-60 Netztrennung <strong>für</strong> VoIP<br />
3 2 1 M-<strong>TK</strong>-61 Angemessene Verfügbarkeit des LAN <strong>für</strong> die Verwendung<br />
von VoIP<br />
3 2 1 M-<strong>TK</strong>-62 Angemessene Verfügbarkeit der vom VoIP-System<br />
genutzten Netzdienste<br />
3 2 1 M-<strong>TK</strong>-63 Angemessene Verfügbarkeit der Stromversorgung <strong>für</strong> IP-<br />
Telefone<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-54 <strong>Sichere</strong>s Routing<br />
Die Maßnahme ist insoweit relevant, wie im LAN Routing-Komponenten eingesetzt werden.<br />
Daher ist sie in KI-Szenarien und MI-filial-Standorten vergleichbarer Größenordnung<br />
häufig entbehrlich. In MI-zentral-Standorten hängt der Einsatz mehrerer interner<br />
Router von der Größe des Standorts ab.<br />
Die gestufte Prioritätenzuordnung ist ausschließlich mit diesen Rahmenbedingungen begründet.<br />
Soweit Router-Router-Abgleiche mittels dynamischen Routings erfolgen und erhöhter<br />
Schutzbedarf gegeben ist, sollte die Maßnahmenumsetzung in angemessenem Umfang<br />
erfolgen.<br />
216 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
zu M-<strong>TK</strong>-57 Quality of Service im Netzwerk<br />
In KI-Szenarien kommt die Maßnahme typischerweise nicht in Betracht, da sie im LAN<br />
das Vorhandensein mehrerer Routing-Komponenten voraussetzt und eine WAN-basierte<br />
Kommunikation bei nur einem einzelnen KI-Standort nicht vorkommt.<br />
Im Falle von MI-Szenarien ist die Anforderung vor allem dann relevant, wenn sich diese<br />
aus MI-zentral und mit diesen per WAN verbundenen MI-filial-Standorten zusammensetzen.<br />
Vergleichbares gilt <strong>für</strong> den GI-Fall: Ist nur ein zentraler Standort vorhanden, beschränkt<br />
sich die Maßnahmenumsetzung auf ausreichende LAN-Dimensionierung, die<br />
QoS überflüssig macht. Sind jedoch Außenstandorte mit dem GI-Standort verbunden, so<br />
sollte die QoS-Anforderungen <strong>für</strong> den WAN-Bereich beachtet werden.<br />
zu M-<strong>TK</strong>-58 Zugangskontrolle zum Netzwerk<br />
In KI-Standorten ist die Maßnahme von geringer Wichtigkeit, sofern im Rahmen der Übersichtlichkeit<br />
ein unbeaufsichtigter physikalischer Zugriff auf Netzanschlüsse verhindert<br />
werden kann.<br />
In MI-Szenarien müssen fallweise die Aspekte Übersichtlichkeit der Umgebung, Vorhandensein<br />
von LAN-Anschlüssen und VoIP-Telefonen in unübersichtlichen Umgebungen/Bereichen<br />
mit erhöhtem Publikumsverkehr sowie Verhältnismäßigkeit von im<br />
Maßnahmentext benannten Ansätzen bewertet werden.<br />
In GI-Umgebungen ist <strong>für</strong> VoIP-Telefonanschlüsse mindestens die <strong>für</strong> PC-Endgeräte<br />
vorgesehene Zugangskontrolle zu implementieren.<br />
zu M-<strong>TK</strong>-59 MAC Security im Anschlussbereich <strong>für</strong> Endgeräte<br />
In KI-Szenarien ist die Realisierung dieser Maßnahme häufig unverhältnismäßig, das Risiko<br />
eines unbefugten Anschlusses von Endgeräten kann über einen physikalischen Zugangsschutz<br />
zu den Räumen oder ausschließlich über einen beaufsichtigten Zutritt zu<br />
Räumen mit LAN-Anschlüssen i.d.R. ausreichend bewältigt werden. Für die Entscheidungsfindung<br />
in MI- bzw. GI-Szenarien gilt sinngemäß das <strong>für</strong> M-<strong>TK</strong>-58<br />
Formulierte.<br />
zu M-<strong>TK</strong>-60 Netztrennung <strong>für</strong> VoIP<br />
Mit Umsetzung der Verschlüsselungsansätze gemäß M-<strong>TK</strong>-30 und M-<strong>TK</strong>-31 ist ein<br />
Großteil der Risiken, gegen die sich M-<strong>TK</strong>-60 wendet, bereits wirkungsvoll entschärft.<br />
Das Restrisiko konzentriert sich vor allem auf Verfügbarkeit, insbesondere Denial of<br />
Service-Attacken. Insofern ist bei Einsatz von Verschlüsselung gemäß M-<strong>TK</strong>-30 und M-<br />
<strong>TK</strong>-31 diese Maßnahme als ergänzende Restrisikominimierung einzustufen und somit<br />
kein Muss.<br />
Wird Verschlüsselung nicht eingesetzt, ist eine Umsetzung von M-<strong>TK</strong>-60 dagegen als<br />
Muss anzusehen und mit weiteren Maßnahmen zu kombinieren. In KI-Szenarien ist die<br />
entsprechende Planungs- und Konzeptionsleistung extern einzukaufen, um das notwendige<br />
Know-how sicherzustellen.<br />
zu M-<strong>TK</strong>-62 Angemessene Verfügbarkeit der vom VoIP-System genutzten Netzdienste<br />
Im Falle von KI-Szenarien ist im Regelfall der Einsatz redundanter Server unverhältnismäßig.<br />
Das damit zu entschärfende Verfügbarkeitsrisiko kann in solchen Szenarien zu einem<br />
großen Teil mit M-<strong>TK</strong>-2 abgesichert werden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 217
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Im Falle von MI-filial-Standorten kann die Server-Redundanz über das Paar aus Server<br />
im MI-filial-Standort und dem MI-zentral-Standort realisiert werden, sodass in der einzelnen<br />
Filiale keine zwingende Server-Dopplung anfällt. Entsprechend erhöht sich allerdings<br />
die Bedeutung der Server im MI-zentral-Standort über dessen Standortgrenzen hinaus,<br />
d. h. hier ist bei einer derartigen Konstellation wie bei GI-Standorten zu verfahren.<br />
Andernfalls kann fallweise in MI-zentral-Standorten eine Server-Redundanz als entbehrlich<br />
eingestuft werden, wenn M-<strong>TK</strong>-36 in großzügigem Umfang umgesetzt wurde.<br />
zu M-<strong>TK</strong>-63 Angemessene Verfügbarkeit der Stromversorgung <strong>für</strong> IP-Telefone<br />
Im Falle von MI-Szenarien wurde die Priorität 1 im Wesentlichen mit Blick auf MI-filial-<br />
Standorte nicht vergeben, die KI-Größenordnung aufweisen können.<br />
5.3.4 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 11: Maßnahmen-Klassifizierung VoIP-Systeme – Netz- und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-64 <strong>Sichere</strong> Administration des Telefonie-Servers<br />
2 1 1 M-<strong>TK</strong>-65 <strong>Sichere</strong> Administration von PSTN-Gateways<br />
3 2 1 M-<strong>TK</strong>-66 <strong>Sichere</strong> Administration von Anwendungs- und Management-Servern<br />
2 1 1 M-<strong>TK</strong>-67 <strong>Sichere</strong> Administration von Abrechnungs- und Gebührenerfassungssystemen<br />
2 1 1 M-<strong>TK</strong>-68 <strong>Sichere</strong> Verwaltung von Teilnehmerprofilen<br />
2 1 1 M-<strong>TK</strong>-69 <strong>Sichere</strong> Administration von Endgeräten<br />
2 1 1 M-<strong>TK</strong>-70 <strong>Sichere</strong> Administration von Netzkomponenten<br />
2 1 1 M-<strong>TK</strong>-71 Überwachung der Komponenten des VoIP-Systems<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-65 bis M-<strong>TK</strong>-71<br />
Die hier beschriebenen Maßnahmeninhalte setzen das Vorhandensein einer zentralen<br />
Management-Lösung voraus sowie entsprechendes Personals, das die entsprechenden<br />
Protokollierungen kompetent prüfen kann. Diese Voraussetzungen sind in KI-Szenarien<br />
häufig nicht gegeben, weil unverhältnismäßig bzw. mangels entsprechend kompetenten<br />
Personals sinnlos. Für ein KI-Szenario konzentriert sich die Umsetzung der genannten<br />
Maßnahmen daher auf das im Einzelfall sinnvoll Machbare, was aber grundsätzlich Här-<br />
218 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
tungsmaßnahmen, wie die gezielte Deaktivierung aller nicht benötigten Dienste beinhalten<br />
sollte. Diese Maßnahmen sind bei der Erstkonfiguration zu ergreifen und können<br />
Bestandteil einer entsprechenden Dienstleistung sein.<br />
5.3.5 Übergreifende Aspekte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen<br />
typischen Szenarien priorisiert umgesetzt werden:<br />
Tabelle 12: Maßnahmen-Klassifizierung VoIP-Systeme – Übergreifende<br />
Aspekte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-72 Produktauswahl von VoIP-Lösungen unter <strong>Sicherheit</strong>sgesichtspunkten<br />
1 1 1 M-<strong>TK</strong>-73 Datensicherung <strong>für</strong> die Elemente des VoIP-Systems<br />
1 1 1 M-<strong>TK</strong>-74 Notfallvorsorge <strong>für</strong> das VoIP-System<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-73 Datensicherung <strong>für</strong> die Elemente des VoIP-Systems<br />
Für KI-Szenarien ist die Umsetzung dieser Maßnahme im Rahmen der Ersteinrichtung<br />
sowie bei jeder Änderung als Fremdleistung einzukaufen, um die nötige <strong>Sicherheit</strong> in der<br />
Durchführung sicherzustellen.<br />
zu M-<strong>TK</strong>-74 Notfallvorsorge <strong>für</strong> das VoIP-System<br />
Bei Installationen der Größenordnung KI bzw. MI-filial ist der Zweck dieser Maßnahme<br />
oft schon mit M-<strong>TK</strong>-36 und organisatorischer Festlegung zum Nutzungsrecht <strong>für</strong> den<br />
PSTN-Ersatzanschluss erfüllt.<br />
5.4 Hybrid-Systeme<br />
Grundsätzlich ergeben sich die Maßnahmen und Szenarien-spezifischen<br />
Erläuterungen aus den entsprechenden<br />
Ausführungen in Kapitel 5.2 und 5.3. Allerdings ist auf<br />
Grund der Addition von Gefährdungen <strong>für</strong> zwei technologische<br />
Ansätze (ISDN-<strong>Anlagen</strong>- und Telefontechnik,<br />
VoIP) stellenweise eine höhere Maßnahmenpriorisierung<br />
angezeigt.<br />
Die Anwendung der Maßnahmen <strong>für</strong> die betrachteten Szenarien ist <strong>für</strong> Hybrid-Systeme in die<br />
folgenden Blöcke aufgeteilt:<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 219
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Zentrale Anlage, Server und Anwendungen, siehe Kapitel 5.4.1<br />
• Endgeräte, siehe Kapitel 5.4.2<br />
• Netzwerk, siehe Kapitel 5.4.3<br />
• Netz- und Systemmanagement, siehe Kapitel 5.4.4<br />
• Übergreifende Aspekte, die allgemein <strong>für</strong> Hybrid-Systeme gelten, siehe Kapitel 5.4.5<br />
5.4.1 Zentrale Anlage, Server und Anwendungen<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 13: Maßnahmen-Klassifizierung Hybrid-Systeme – zentrale Anlage,<br />
Server und Anwendungen<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-1<br />
1 1 1 M-<strong>TK</strong>-2<br />
3 2 2 M-<strong>TK</strong>-3 Katastrophenschaltung<br />
1 1 1 M-<strong>TK</strong>-4 Erhöhter Zutrittschutz<br />
Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale<br />
Schaffung eines zusätzlichen <strong>TK</strong>-Ersatzanschlusses <strong>für</strong><br />
Notrufe<br />
2 1 1 M-<strong>TK</strong>-5 Geeignete Aufstellung der <strong>TK</strong>-Anlage<br />
2 2 2 M-<strong>TK</strong>-6 <strong>Sichere</strong> Ablage von Kontaktinformationen<br />
3 2 2 M-<strong>TK</strong>-7 <strong>Sichere</strong>r Umgang mit Daten zur <strong>Anlagen</strong>nutzung<br />
1 1 1 M-<strong>TK</strong>-8<br />
Absicherung eines LAN-Anschlusses der ISDN <strong>TK</strong>-<br />
Anlage<br />
1 1 1 M-<strong>TK</strong>-30 Ende-zu-Ende-Verschlüsselung des Medienstroms<br />
1 1 1 M-<strong>TK</strong>-31 Verschlüsselung der Signalisierung<br />
1 1 1 M-<strong>TK</strong>-32 Authentisierung zwischen Endgeräten und Servern des<br />
VoIP-Systems<br />
1 2 2 M-<strong>TK</strong>-33 Authentisierung zwischen Servern<br />
3 2 1 M-<strong>TK</strong>-34 Redundanz der Telefonie-Server<br />
3 2 1 M-<strong>TK</strong>-35 Verfügbarkeit der Server und Gateways von denen die<br />
Funktion des Telefonie-Servers und des Telefonie-<br />
220 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Priorität<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
KI MI GI Maßnahmen<br />
Diensts unmittelbar abhängt<br />
3 2 1 M-<strong>TK</strong>-36 Schaffung eines zusätzlichen PSTN-Ersatzanschlusses<br />
<strong>für</strong> Notrufe<br />
3 2 2 M-<strong>TK</strong>-37 Automatische PSTN-Umschaltung <strong>für</strong> Filialen<br />
3 2 2 M-<strong>TK</strong>-38 Absicherung von Telefonie-Daten im Verzeichnisdienst<br />
3 2 1 M-<strong>TK</strong>-39 Verfügbarkeit kritischer Telefonie-Daten<br />
1 1 1 M-<strong>TK</strong>-40 Einschränkungen von DNS <strong>für</strong> VoIP<br />
1 1 1 M-<strong>TK</strong>-41 Einschränkung von ENUM<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-8 Absicherung eines LAN-Anschlusses der ISDN <strong>TK</strong>-Anlage<br />
Der im Falle einer reinen ISDN-Anlage <strong>für</strong> KI-Szenarien und MI-filial-Standorte vergleichbarer<br />
Größenordnung als Option vorgesehene Verzicht auf LAN-Vernetzung der<br />
Anlage fällt als Weg zum Umgang mit dieser Maßnahme häufig weg. Wegen der Notwendigkeit<br />
zur IP-Kommunikation zwischen Hybrid-Anlage und VoIP-Telefonen ist ein<br />
solcher Verzicht auf LAN-Vernetzung der Anlage oft nicht sinnfällig. Insofern ist die<br />
Maßnahme auch <strong>für</strong> KI- und MI-filial-Standorte verbindlich, was zu abweichender Priorisierung<br />
gegenüber der reinen ISDN-Anlage führt.<br />
5.4.2 Endgeräte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 14: Maßnahmen-Klassifizierung Hybrid-Systeme – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-9 Sperrung bestimmter Fax-Rufnummern<br />
1 1 1 M-<strong>TK</strong>-10 Gesicherte Aufstellung der Faxlösung<br />
1 1 1 M-<strong>TK</strong>-11 Ungeschützte Multifunktionsgeräte: Verhinderung der<br />
Faxfunktionsnutzung<br />
2 2 2 M-<strong>TK</strong>-12 <strong>Sichere</strong> Nutzung von Fax-Geräten und Multifunktionsgeräten<br />
mit Faxfunktion<br />
2 2 2 M-<strong>TK</strong>-13 <strong>Sichere</strong> Aufbewahrung eingegangener Faxnachrichten<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 221
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 3 3 M-<strong>TK</strong>-14 Sicherung von Telefonie-Endgeräten in frei zugänglichen<br />
Räumen<br />
2 2 2 M-<strong>TK</strong>-15 Einsatz „sicherheitsintelligenter“ Endgeräte<br />
2 2 2 M-<strong>TK</strong>-16 Aktivierung einer Warnung bei Nutzung unsicherer Merkmale<br />
1 1 1 M-<strong>TK</strong>-17 <strong>Sichere</strong>r Umgang mit Schnittstellen am Telefonie-<br />
Endgerät<br />
3 2 2 M-<strong>TK</strong>-18 Geschützte Übertragung von Sprachdaten<br />
1 1 1 M-<strong>TK</strong>-19 Verzicht auf Einsatz von Wartungsapparaten bei erhöhtem<br />
Schutzbedarf<br />
1 1 1 M-<strong>TK</strong>-20 Sperrung der Wartungsmöglichkeit per Wartungsapparat<br />
an der Anlage<br />
1 1 1 M-<strong>TK</strong>-42 Sicherung von IP-Telefonen in unübersichtlichen Räumen<br />
2 2 2 M-<strong>TK</strong>-43 Warnung bei unsicheren Einstellungen<br />
2 2 2 M-<strong>TK</strong>-44 Prozess zur Behandlung des Verlusts eines VoIP-<br />
Endgeräts<br />
2 2 2 M-<strong>TK</strong>-45 Absicherung der Firmware<br />
1 1 1 M-<strong>TK</strong>-46 Absicherung von Konfigurationsdateien<br />
1 1 1 M-<strong>TK</strong>-47 <strong>Sicherheit</strong> von Softphones<br />
2 2 2 M-<strong>TK</strong>-48 <strong>Sichere</strong> Konfiguration von PC-Ports an IP-Telefonen<br />
1 1 1 M-<strong>TK</strong>-49 <strong>Sichere</strong> Konfiguration von IP und von IP-basierten Diensten<br />
1 1 1 M-<strong>TK</strong>-50 Einschränkung des lokalen Zugriffs auf die Konfiguration<br />
des IP-Telefons<br />
3 2 2 M-<strong>TK</strong>-51 Benutzerabhängige Berechtigungen<br />
1 1 1 M-<strong>TK</strong>-52 Schutz von Teilnehmer-spezifischen Daten auf einem IP-<br />
Telefon<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-16 Aktivierung einer Warnung bei Nutzung unsicherer Merkmale<br />
Wegen der parallelen Gefährdung via ISDN und via IP-Kommunikation empfiehlt es sich<br />
auch in KI-Szenarien, sich hier <strong>für</strong> ISDN-Telefone genauso zu verhalten, wie <strong>für</strong> VoIP-<br />
Telefone bei der Anwendung von M-<strong>TK</strong>-43 „Warnung bei unsicheren Einstellungen“.<br />
Daher ist die Maßnahme <strong>für</strong> KI-Szenarien gegenüber der Einstufung bei reiner ISDN-<br />
Anlage in der Priorität anzuheben.<br />
222 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5.4.3 Netzwerk<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 15: Maßnahmen-Klassifizierung Hybrid-Systeme – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-21 Gesicherte Übertragung der Sprachdaten zwischen<br />
Partnerstandorten durch Leitungsverschlüsselung<br />
3 2 1 M-<strong>TK</strong>-53 <strong>Sichere</strong> Konfiguration der Netzwerk-Komponenten<br />
3 2 1 M-<strong>TK</strong>-54 <strong>Sichere</strong>s Routing<br />
3 2 2 M-<strong>TK</strong>-55 Absicherung von Switch Ports<br />
3 2 2 M-<strong>TK</strong>-56 Absicherung der DHCP-Nutzung<br />
3 2 2 M-<strong>TK</strong>-57 Quality of Service im Netzwerk<br />
3 2 1 M-<strong>TK</strong>-58 Zugangskontrolle zum Netzwerk<br />
3 2 2 M-<strong>TK</strong>-59 MAC Security im Anschlussbereich <strong>für</strong> Endgeräte<br />
3 2 2 M-<strong>TK</strong>-60 Netztrennung <strong>für</strong> VoIP<br />
3 2 1 M-<strong>TK</strong>-61 Angemessene Verfügbarkeit des LAN <strong>für</strong> die Verwendung<br />
von VoIP<br />
3 2 1 M-<strong>TK</strong>-62 Angemessene Verfügbarkeit der vom VoIP-System<br />
genutzten Netzdienste<br />
3 2 1 M-<strong>TK</strong>-63 Angemessene Verfügbarkeit der Stromversorgung <strong>für</strong> IP-<br />
Telefone<br />
Erläuterungen:<br />
Siehe Erläuterungen zu reinen ISDN- bzw. reinen VoIP-Lösungen<br />
5.4.4 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 223
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Tabelle 16: Maßnahmen-Klassifizierung Hybrid-Systeme – Netz- und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-22 Restriktive Einbindung externer Wartung<br />
3 1 1 M-<strong>TK</strong>-23 <strong>Sichere</strong> Aufstellung von Administrationsendgeräten<br />
3 1 1 M-<strong>TK</strong>-24 <strong>Sichere</strong> Konfiguration von Administrationsendgeräten<br />
3 1 1 M-<strong>TK</strong>-25 Regelungen <strong>für</strong> sichere <strong>TK</strong>-Administration<br />
1 1 1 M-<strong>TK</strong>-26<br />
3 1 1 M-<strong>TK</strong>-27<br />
3 2 1 M-<strong>TK</strong>-28<br />
3 2 1 M-<strong>TK</strong>-29<br />
<strong>Sichere</strong> Konfiguration des Management-Zugangs zur<br />
ISDN <strong>TK</strong>-Anlage<br />
Protokollierung und regelmäßige Kontrolle von Fernwartungszugriffen<br />
Verfügbarkeitssicherung durch (automatisierte) Zustandsüberwachung<br />
Abschluss eines Support-Vertrags inklusive externer<br />
Beratungskompetenz<br />
1 1 1 M-<strong>TK</strong>-64 <strong>Sichere</strong> Administration des Telefonie-Servers<br />
3 2 1 M-<strong>TK</strong>-65 <strong>Sichere</strong> Administration von PSTN-Gateways<br />
3 2 2 M-<strong>TK</strong>-66 <strong>Sichere</strong> Administration von Anwendungs- und Management-Servern<br />
3 2 1 M-<strong>TK</strong>-67 <strong>Sichere</strong> Administration von Abrechnungs- und Gebührenerfassungs¬systemen<br />
2 2 2 M-<strong>TK</strong>-68 <strong>Sichere</strong> Verwaltung von Teilnehmerprofilen<br />
2 2 1 M-<strong>TK</strong>-69 <strong>Sichere</strong> Administration von Endgeräten<br />
2 1 1 M-<strong>TK</strong>-70 <strong>Sichere</strong> Administration von Netzkomponenten<br />
2 1 1 M-<strong>TK</strong>-71 Überwachung der Komponenten des VoIP-Systems<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-26 <strong>Sichere</strong> Konfiguration des Management-Zugangs zur ISDN <strong>TK</strong>-Anlage<br />
Wegen der VoIP-Fähigkeit einer Hybrid-Anlage ist ein Verzicht auf LAN-Vernetzung<br />
häufig nicht sinnvoll möglich. Sobald eine solche Vernetzung erfolgt, müssen auch Vorkehrungen<br />
zur sicheren Konfiguration der Management-Schnittstellen getroffen werden.<br />
Entsprechend ist die Priorität dieser Maßnahme gegenüber einer reinen ISDN-Anlage bei<br />
KI-Szenarien anzuheben.<br />
224 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5.4.5 Übergreifende Aspekte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen<br />
typischen Szenarien priorisiert umgesetzt werden:<br />
Tabelle 17: Maßnahmen-Klassifizierung Hybrid-Systeme – Übergreifende<br />
Aspekte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
2 2 2 M-<strong>TK</strong>-72 Produktauswahl von VoIP-Lösungen unter <strong>Sicherheit</strong>sgesichtspunkten<br />
1 1 1 M-<strong>TK</strong>-73 Datensicherung <strong>für</strong> die Elemente des VoIP-Systems<br />
2 1 1 M-<strong>TK</strong>-74 Notfallvorsorge <strong>für</strong> das VoIP-System<br />
Erläuterungen:<br />
Siehe Erläuterungen zu reinen VoIP-Lösungen<br />
5.5 IP-<strong>Anlagen</strong>anschluss<br />
Die Analyse der verschiedenen Szenarien wird <strong>für</strong> einen<br />
IP-<strong>Anlagen</strong>anschluss in die folgenden Blöcke aufgeteilt:<br />
• Server und Anwendungen, siehe Kapitel 5.5.1<br />
• Netzwerk, siehe Kapitel 5.5.2<br />
• Netz- und Systemmanagement, siehe Kapitel 5.5.3<br />
5.5.1 Server und Anwendungen<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 225
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Tabelle 18: Maßnahmen-Klassifizierung IP-<strong>Anlagen</strong>anschluss – Server und Anwendungen<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 1 M-<strong>TK</strong>-75 Redundante Internet-Anbindung<br />
3 3 3 M-<strong>TK</strong>-76 Zusätzlicher IP-<strong>Anlagen</strong>anschluss<br />
2 2 2 M-<strong>TK</strong>-77 Zusätzlicher PSTN-Anschluss<br />
1 1 1 M-<strong>TK</strong>-78 Verwendung eines Session Border Controller<br />
1 1 1 M-<strong>TK</strong>-79 Absicherung von Signalisierungs- und Nutzdaten<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-75 Redundante Internet-Anbindung<br />
Für KI- und MI-filial-Szenarien ist dies in den meisten Fällen nicht realisierbar. Hier<br />
muss auf einem anderen Weg sichergestellt werden, dass eine Anbindung an das PSTN<br />
möglich ist, auch wenn die Internet-Anbindung und damit der IP-<strong>Anlagen</strong>anschluss nicht<br />
verfügbar ist. In jedem Fall ist auf eine ausreichende Dimensionierung zu achten, siehe<br />
auch Maßnahme M-<strong>TK</strong>-81.<br />
zu M-<strong>TK</strong>-76 Zusätzlicher IP-<strong>Anlagen</strong>anschluss<br />
Der zweite IP-<strong>Anlagen</strong>anschluss macht in der Regel nur Sinn, wenn eine redundante Internet-Anbindung<br />
vorhanden ist, da die Verfügbarkeit des ITSP als höher angesehen werden<br />
kann als die Verfügbarkeit der lokalen Internet-Anbindung. Entsprechend ist hier die<br />
Maßnahmen M-<strong>TK</strong>-77 mit höherer Priorität bewertet. Dennoch kann diese Maßnahme sicherstellen,<br />
dass wenn der ITSP nicht erreichbar ist, eine entsprechende Backup-Lösung<br />
vorhanden ist. In diesem Fall gilt es zwischen Kosten und Verfügbarkeit abzuwägen.<br />
zu M-<strong>TK</strong>-78 Verwendung eines Session Border Controller<br />
Insbesondere <strong>für</strong> KI-Szenarien können auch Kombigeräte eingesetzt werden, welche zugleich<br />
Firewall, SBC und Internet- bzw. WAN-Anbindung übernehmen können. Hierbei<br />
ist das Thema Verfügbarkeit angemessen zu berücksichtigen.<br />
5.5.2 Netzwerk<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
226 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Tabelle 19: Maßnahmen-Klassifizierung IP-<strong>Anlagen</strong>anschluss – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-80 Netztrennung zwischen IP-PBX und Session Border<br />
Controller<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-80 Netztrennung zwischen IP-PBX und Session Border Controller<br />
Namentlich bei KI-Szenarien und der Verwendung von Kombigeräten aus Firewall und<br />
SBC entfällt eine Netztrennung mit dedizierter Firewall, da diese Funktionen in einem<br />
Gerät integriert sind.<br />
5.5.3 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 20: Maßnahmen-Klassifizierung IP-<strong>Anlagen</strong>anschluss – Netz- und<br />
Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-81 VoIP-Tauglichkeit der IP-Infrastruktur<br />
3 2 1 M-<strong>TK</strong>-82 Überwachung der VoIP-Anbindung zum ITSP<br />
3 1 1 M-<strong>TK</strong>-83 <strong>Sichere</strong> Administration des Session Border Controller<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-82 und M-<strong>TK</strong>-83<br />
Die hier beschriebenen Maßnahmeninhalte setzen u. a. das Vorhandensein einer Netzwerk-Management-Lösung<br />
voraus, sowie entsprechenden Personals. Da entsprechend der<br />
Größenordnung im KI-Fall kein eigenes Administrationspersonal vorhanden ist, sind die<br />
Maßnahmen hier nur sehr eingeschränkt anwendbar und daher mit Priorität 3 versehen.<br />
In KI-Szenarien ist der Abschluss eines Support-Vertrags inklusive Beratungskompetenz<br />
<strong>für</strong> diese Maßnahmeninhalte in der Regel als unverhältnismäßig teuer einzustufen. Stattdessen<br />
kann bei konkretem Bedarf eine fallweise Beauftragung erfolgen. Dies ist insbesondere<br />
<strong>für</strong> die sichere Administration des SBC dringend zu empfehlen.<br />
Die mit dieser Zugriffsform auf externe Unterstützung meist verbundene längere Wartezeit<br />
im Störungsfall kann in überschaubaren KI-Fällen häufig problemlos über die Ersatzlösung<br />
<strong>für</strong> Notrufe, z. B. über Mobilfunk, überbrückt werden.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 227
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Die Möglichkeit zum regelmäßigen Bezug von sicherheitsrelevanten Software-Updates<br />
muss in jedem Fall sichergestellt werden, unabhängig von der Szenariengröße.<br />
5.6 <strong>TK</strong>-Applikationen und Mehrwertdienste<br />
Die Betrachtung der Anwendung der Maßnahmen <strong>für</strong> <strong>TK</strong>-<br />
Applikationen und Mehrwertdienste <strong>für</strong> die verschiedenen<br />
Szenarien ist in die folgenden Blöcke aufgeteilt:<br />
• Server und Anwendungen, siehe Kapitel 5.6.1<br />
• Endgeräte, siehe Kapitel 5.6.2<br />
• Netzwerk, siehe Kapitel 5.6.3<br />
• Netz- und Systemmanagement, siehe Kapitel 5.6.4<br />
• Übergreifende Aspekte, siehe Kapitel 5.6.5<br />
5.6.1 Server und Anwendungen<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 21: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste<br />
– Server und Anwendungen<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-840 Absicherung der E-Mail-Kommunikation einer <strong>TK</strong>-<br />
Applikation<br />
2 1 1 M-<strong>TK</strong>-85 Absicherung des Sprachkanals zwischen <strong>TK</strong>-Anlage und<br />
<strong>TK</strong>-Applikation<br />
2 1 1 M-<strong>TK</strong>-86 Absicherung von CTI-Verbindungen<br />
2 1 1 M-<strong>TK</strong>-87 Absicherung der Kommunikation zwischen <strong>TK</strong>-Applikation<br />
und IT-System<br />
2 1 1 M-<strong>TK</strong>-88 Absicherung der Kommunikation zwischen <strong>TK</strong>-Applikation<br />
und Datenbank<br />
3 2 2 M-<strong>TK</strong>-89 Absicherung der Kommunikation eines Präsenzsystems<br />
1 1 1 M-<strong>TK</strong>-90 Einschränkung der Sichtbarkeit von Präsenzinformationen<br />
228 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Priorität<br />
KI MI GI Maßnahmen<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
3 2 2 M-<strong>TK</strong>-91 Differenzierung der Zugriffsrechte auf Präsenzinformationen<br />
1 1 1 M-<strong>TK</strong>-92 Überprüfung von IVR-Applikationen unter <strong>Sicherheit</strong>saspekten<br />
1 1 1 M-<strong>TK</strong>-93 Sicherung von Audiokonferenzräumen<br />
1 1 1 M-<strong>TK</strong>-94 Absicherung des telefonischen Zugriffs auf <strong>TK</strong>-<br />
Applikationen durch eine PIN<br />
2 1 1 M-<strong>TK</strong>-95 Einschränkung der Zugriffsrechte<br />
2 1 1 M-<strong>TK</strong>-96 Absicherung der Anbindung von Alarmservern<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-84 Absicherung der E-Mail-Kommunikation einer <strong>TK</strong>-Applikation<br />
Die E-Mail-Kommunikation von <strong>TK</strong>-Applikationen bleibt in der Regel innerhalb der<br />
Grenzen eines <strong>Sicherheit</strong>sbereichs, sodass diese Maßnahme nicht der Priorität 1 zugeordnet<br />
wird. Geht die E-Mail-Kommunikation über einen <strong>Sicherheit</strong>sbereich hinaus,<br />
z. B. bei der Kopplung zweier Voicemail-Systeme über das WAN bzw. das Internet, so<br />
ist diese Maßnahme mit einer höheren Priorität umzusetzen.<br />
zu M-<strong>TK</strong>-85 Absicherung des Sprachkanals zwischen <strong>TK</strong>-Anlage und <strong>TK</strong>-Applikation<br />
Auch bei KI sollte dieser Maßnahme eine hohe Bedeutung zugemessen werden, jedoch<br />
ist eine entsprechende Implementierung häufig nicht wirtschaftlich umzusetzen, da Produkte<br />
<strong>für</strong> dieses Marktsegment selten eine Verschlüsselung des Sprachkanals unterstützen.<br />
zu M-<strong>TK</strong>-86 Absicherung von CTI-Verbindungen<br />
Einer wirtschaftlichen Umsetzung dieser Maßnahme im Kontext von KI steht in der Praxis<br />
die typischerweise eingeschränkte Unterstützung <strong>für</strong> eine Verschlüsselung des CTI-<br />
Links entgegen.<br />
zu M-<strong>TK</strong>-87 Absicherung der Kommunikation zwischen <strong>TK</strong>-Applikation und IT-System<br />
Auf KI ausgerichtete Produkte bieten häufig keine Unterstützung <strong>für</strong> eine Absicherung<br />
der Kommunikation zwischen <strong>TK</strong>-Applikation und IT-System.<br />
zu M-<strong>TK</strong>-88 Absicherung der Kommunikation zwischen <strong>TK</strong>-Applikation und Datenbank<br />
Auf KI ausgerichtete Produkte bieten häufig keine Unterstützung <strong>für</strong> eine Absicherung<br />
der Kommunikation zwischen <strong>TK</strong>-Applikation und Datenbank.<br />
zu M-<strong>TK</strong>-89 Absicherung der Kommunikation eines Präsenzsystems<br />
Dieser Maßnahme kommt quer über alle Szenarien hinweg nicht die höchste Priorität zu,<br />
da der Präsenzstatus einen vergleichsweise geringen Informationsgehalt besitzt. Die<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 229
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Maßnahme ist mit höherer Priorität umzusetzen, wenn das Präsenzsystem auch dem Instant<br />
Messaging dient oder über die Unternehmensgrenzen hinweg eingesetzt wird.<br />
zu M-<strong>TK</strong>-90 Einschränkung der Sichtbarkeit von Präsenzinformationen<br />
Diese Maßnahme ist leicht umzusetzen, da praktisch alle Präsenzsysteme die Möglichkeit<br />
bieten, vor Aufnahme einer Person in die Kontaktliste die Bestätigung des Nutzers zu erfordern.<br />
Es ist jedoch darauf zu achten, dass die Nutzer eine einmal gegebene Freigabe<br />
wieder entziehen können, d. h. nicht erwünschte Personen sollen aus der Kontaktliste entfernt<br />
werden können, um die Sichtbarkeit der eigenen Präsenzinformation einzuschränken.<br />
zu M-<strong>TK</strong>-91 Differenzierung der Zugriffsrechte auf Präsenzinformationen<br />
Nur wenige Produkte unterstützen derzeit eine differenzierte Behandlung der Zugriffsrechte<br />
auf die Präsenzinformationen eines Nutzers.<br />
zu M-<strong>TK</strong>-93 Sicherung von Audiokonferenzräumen<br />
Diese Maßnahme ist mit einfachen Dreierkonferenzen, wie sie typischerweise von <strong>TK</strong>-<br />
<strong>Anlagen</strong> bereitgestellt werden, nicht umzusetzen. Es ist in der Regel eine dedizierte Konferenzbrücke<br />
erforderlich.<br />
zu M-<strong>TK</strong>-94 Absicherung des telefonischen Zugriffs auf <strong>TK</strong>-Applikationen durch eine PIN<br />
Diese Maßnahme ist mit Priorität 1 umsetzen, sofern es sich bei den abrufbaren Informationen<br />
um schützenswerte Daten handelt. Ein Beispiel <strong>für</strong> einen zu sichernden Dienst ist<br />
die telefonische Abfrage von E-Mail-Posteingängen.<br />
zu M-<strong>TK</strong>-95 Einschränkung der Zugriffsrechte<br />
Diese Maßnahme erfordert detailliertes Wissen über das vorliegende IT- und <strong>TK</strong>-System,<br />
um die Rechte einzuschränken ohne die Verfügbarkeit zu gefährden bzw. die<br />
Funktionalität zu beeinträchtigen. Dieses Wissen ist bei KI häufig nicht im Detail vorhanden.<br />
zu M-<strong>TK</strong>-96 Absicherung der Anbindung von Alarmservern<br />
Bei KI werden in der Regel einfache Alarmanlagen eingesetzt, die im Alarmfall die Polizei<br />
oder einen <strong>Sicherheit</strong>sdienst benachrichtigen. Diese einfachen Systeme sind in der<br />
Regel nicht mit dem IT-System vernetzt, sodass in diesen Fällen keine besonderen Maßnahmen<br />
zu ergreifen sind.<br />
5.6.2 Endgeräte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
230 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Tabelle 22: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-97 Absicherung von <strong>TK</strong>-Applikationen auf Ebene der Endgeräte<br />
3 2 2 M-<strong>TK</strong>-98 Schulung der Nutzer<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-97 Absicherung von <strong>TK</strong>-Applikationen auf Ebene der Endgeräte<br />
Der Schwerpunkt der technischen Absicherung liegt allgemein im Server-Bereich. Für KI<br />
lässt sich eine Absicherung durch organisatorische Regelungen zur Zutrittskontrolle erreichen.<br />
zu M-<strong>TK</strong>-98 Schulung der Nutzer<br />
Diese Wertung gilt nur unter der Prämisse, dass bereits effektive technische Maßnahmen<br />
ergriffen worden sind.<br />
5.6.3 Netzwerk<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 23: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste<br />
– Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 2 1 M-<strong>TK</strong>-99 Netztrennung zwischen <strong>TK</strong>-Applikationen und IT-<br />
Systemen<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-99 Netztrennung zwischen <strong>TK</strong>-Applikationen und IT-Systemen<br />
Die Priorisierung entspricht <strong>für</strong> alle Szenarien der Maßnahme M-<strong>TK</strong>-60.<br />
5.6.4 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 231
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Tabelle 24: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste – Netz- und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-100 <strong>Sichere</strong> Administration der Server <strong>für</strong> <strong>TK</strong>-Applikationen<br />
und Mehrwertdienste<br />
2 1 1 M-<strong>TK</strong>-101 Schulung der Administratoren<br />
1 1 1 M-<strong>TK</strong>-102 Absicherung der Management-Schnittstellen einer <strong>TK</strong>-<br />
Applikation<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-101 Schulung der Administratoren<br />
Bei KI kann diese Maßnahme im Wesentlichen durch das Studium der entsprechenden<br />
Dokumentation und Handbücher umgesetzt werden. Das primäre Ziel ist dabei den Nutzer<br />
in die Lage zu versetzen, Administrationsleistungen gezielt einkaufen und bewerten<br />
zu können.<br />
5.6.5 Übergreifende Aspekte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 25: Maßnahmen-Klassifizierung <strong>TK</strong>-Applikationen und Mehrwertdienste<br />
– Übergreifende Aspekte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-103 Koordination der Planung und Administration von <strong>TK</strong>-<br />
Anlage und <strong>TK</strong>-Applikation<br />
1 1 1 M-<strong>TK</strong>-104 Auswahl von <strong>TK</strong>-Applikationen unter Berücksichtigung<br />
von <strong>Sicherheit</strong>s¬aspekten<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-104 Auswahl von <strong>TK</strong>-Applikationen unter Berücksichtigung von <strong>Sicherheit</strong>s¬aspekten<br />
Unabhängig vom Szenario sollte diese Maßnahme vor allem dann ergriffen werden, wenn<br />
das angestrebte <strong>Sicherheit</strong>sniveau nicht durch technische und organisatorische Maßnahmen<br />
zu erzielen ist.<br />
232 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Zudem sollte auf <strong>TK</strong>-Applikationen bewusst verzichtet werden, wenn diese nicht gefordert<br />
oder gewünscht sind, z. B. weil entsprechende Funktionalität als kostenlose Beigabe<br />
zu einem Produkt geliefert wird.<br />
5.7 Mobile und drahtlose Systeme<br />
Im Folgenden werden die Szenarien <strong>für</strong> die einzelnen<br />
betrachteten mobilen und drahtlosen Systeme analysiert:<br />
• Wireless LAN (WLAN), siehe Kapitel 5.7.1<br />
• Fixed Mobile Convergence, siehe Kapitel 5.7.2<br />
• DECT, siehe Kapitel 5.7.3<br />
• Bluetooth, siehe Kapitel 5.7.4<br />
5.7.1 Wireless LAN<br />
Die Struktur des Betrachtungen orientiert sich wieder an der Systemarchitektur:<br />
• Server und Anwendungen (siehe Kapitel 5.7.1.1)<br />
• Endgeräte (siehe Kapitel 5.7.1.2)<br />
• Netzwerk (siehe Kapitel 5.7.1.3)<br />
• Netz- und Systemmanagement (siehe Kapitel 5.7.1.4)<br />
5.7.1.1 Server und Anwendungen<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 26: Maßnahmen-Klassifizierung WLAN – Server und Anwendungen<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-105 Verschlüsselung, Integritätsschutz und Authentisierung<br />
auf der Luftschnittstelle<br />
1 1 1 M-<strong>TK</strong>-106 Ende-zu-Ende-Verschlüsselung <strong>für</strong> Medienströme<br />
3 1 1 M-<strong>TK</strong>-107 Absicherung Authentication Server<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 233
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-107 Absicherung Authentication Server<br />
Für eine kleine Institution ist meist von der Verwendung von PSKs auszugehen und es<br />
wird kein RADIUS-Server genutzt.<br />
5.7.1.2 Endgeräte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien umgesetzt werden:<br />
Tabelle 27: Maßnahmen-Klassifizierung WLAN – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-108 Absicherung von gespeicherten Daten<br />
1 1 1 M-<strong>TK</strong>-109 Sperrung des WLAN-Endgeräts <strong>für</strong> Nutzereingaben<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-108 Absicherung von gespeicherten Daten<br />
Die Gefährdung durch eine Speicherung ungesicherter Daten mit erhöhtem Schutzbedarf<br />
auf einem Endgerät gilt unabhängig vom Szenario. Für eine kleine Institution muss allerdings<br />
der Aufwand <strong>für</strong> die Verschlüsselung der auf dem Endgerät gespeicherten Daten<br />
beachtet werden. Eine organisatorische Maßnahme, verbunden mit der Vermeidung der<br />
Speicherung kritischer Daten, ist ggf. <strong>für</strong> eine kleine Institution die zu bevorzugende Lösung.<br />
5.7.1.3 Netzwerk<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 28: Maßnahmen-Klassifizierung WLAN – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-110 Trennung von LAN und WLAN<br />
3 1 1 M-<strong>TK</strong>-111 Absicherung des LAN-Zugangs <strong>für</strong> Access Points<br />
1 1 1 M-<strong>TK</strong>-112 Berücksichtigung der Anforderungen einer Sprachübertragung<br />
bei der Planung der Funkzellen<br />
234 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Erläuterungen:<br />
zu M-<strong>TK</strong>-110 Trennung von LAN und WLAN<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die Umsetzung der Verschlüsselungsansätze gemäß M-<strong>TK</strong>-105 und M-<strong>TK</strong>-106 entschärft<br />
einen Großteil der mit einem drahtlosen Netzzugang verbundenen Risiken. Das<br />
Restrisiko, das eine Trennung von LAN und WLAN erforderlich macht, ergibt sich primär<br />
aus heterogenen Nutzergruppen und Endgerätetypen mit eingeschränkten <strong>Sicherheit</strong>sfunktionen<br />
<strong>für</strong> die der Zugang zu LAN-Ressourcen streng reglementiert werden<br />
muss. Eine solche Situation ist <strong>für</strong> MI- und GI-Szenarien typisch, <strong>für</strong> eine kleine Institution<br />
eher die Ausnahme.<br />
zu M-<strong>TK</strong>-111 Absicherung des LAN-Zugangs <strong>für</strong> Access Points<br />
Die Absicherung des LAN-Zugangs <strong>für</strong> Access Points ist <strong>für</strong> flächendeckende größere<br />
WLAN-Installationen von besonderer Wichtigkeit, da die Gefährdungslage proportional<br />
zur Anzahl der Access Points wächst. Für KI-Standorte ist die Maßnahme daher von geringerer<br />
Wichtigkeit, sofern im Rahmen der Übersichtlichkeit ein unbeaufsichtigter physikalischer<br />
Zugriff auf Access Points und zugehörige Netzanschlüsse verhindert werden<br />
kann.<br />
5.7.1.4 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 29: Maßnahmen-Klassifizierung WLAN – Netz- und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-113 Kontinuierliche Überwachung der Luftschnittstelle<br />
3 1 1 M-<strong>TK</strong>-114 Kontinuierliche Überwachung der WLAN-Infrastruktur<br />
3 2 2 M-<strong>TK</strong>-115 Fernadministration der WLAN-Endgeräte<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-113 und M-<strong>TK</strong>-114<br />
Für das Filialszenario MI-filial muss die Überwachung der Luftschnittstelle und der Access<br />
Points von der Zentrale aus erfolgen. Bei der Festlegung der Polling-Intervalle und<br />
der zu überwachenden Parameter muss die verfügbare Kapazität der WAN-Verbindung<br />
zu den Filialen berücksichtigt werden.<br />
Für ein KI-Szenario ist die Überwachung der Luftschnittstelle und der Access Points von<br />
geringerer Wichtigkeit, sofern das mit WLAN versorgte Gebiet überschaubar und die<br />
Anzahl der Access Points gering ist. Dabei ist die Überwachung der Luftschnittstelle höher<br />
priorisiert, da die Luftschnittstelle die empfindlichste Ressource des Systems darstellt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 235
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
zu M-<strong>TK</strong>-115 Fernadministration der WLAN-Endgeräte<br />
Durch die Möglichkeit einer Fernadministration wird der Betrieb einer größeren Anzahl<br />
von WLAN-Endgeräten erheblich erleichtert, und das Risiko von Fehlkonfigurationen<br />
und der damit verbundenen Gefährdungen <strong>für</strong> die IT-<strong>Sicherheit</strong> kann reduziert werden.<br />
Daher ist die Umsetzung dieser Maßnahme <strong>für</strong> GI- und MI-Szenarien sehr zu empfehlen,<br />
sie ist aber nicht zwingend, sofern eine den Vorgaben entsprechende Konfiguration der<br />
Clients mit anderen Mitteln <strong>für</strong> den Schutzbedarf angemessen sichergestellt werden kann.<br />
5.7.2 Fixed Mobile Convergence<br />
Die Struktur orientiert sich an den <strong>für</strong> die Betrachtungen relevanten Teilen der Systemarchitektur:<br />
• Maßnahmen auf Ebene der Server und Anwendungen, siehe Kapitel 5.7.2.1<br />
• Maßnahmen zur Absicherung der Endgeräte, siehe Kapitel 5.7.2.2<br />
• Maßnahmen im Bereich des Netzwerks, siehe Kapitel 5.7.2.3<br />
• Maßnahmen zum Netz- und Systemmanagement, siehe Kapitel 5.7.2.4<br />
5.7.2.1 Server und Anwendungen<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien umgesetzt werden:<br />
Tabelle 30: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Server<br />
und Anwendungen<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-116 Gegenseitige Authentisierung von mobilen Endgeräten<br />
und einer zentralen Komponente der FMC-Lösung<br />
1 1 1 M-<strong>TK</strong>-117 Schutz von Servern <strong>für</strong> mobile Endgeräte<br />
1 1 1 M-<strong>TK</strong>-118 Verwendung einer Ende-zu-Ende-Verschlüsselung <strong>für</strong> die<br />
Telekommunikation<br />
1 1 1 M-<strong>TK</strong>-119 Verschlüsselung von Nachrichten<br />
Erläuterungen: -<br />
236 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5.7.2.2 Endgeräte<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien umgesetzt werden:<br />
Tabelle 31: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-120 Absicherung aller Kommunikationsschnittstellen des<br />
Endgeräts<br />
1 1 1 M-<strong>TK</strong>-121 Absicherung von gespeicherten Daten auf GSM/UMTS-<br />
Mobilstationen<br />
1 1 1 M-<strong>TK</strong>-122 Sperrung der GSM/UMTS-Mobilstation <strong>für</strong> Nutzereingaben<br />
1 1 1 M-<strong>TK</strong>-123 Benutzerauthentisierung am mobilen Endgerät<br />
3 1 1 M-<strong>TK</strong>-124 Rollenbasierte Zugriffsberechtigungen auf Objekte des<br />
mobilen Endgeräts<br />
2 1 1 M-<strong>TK</strong>-125 Schutz des mobilen Endgeräts vor schadenstiftender<br />
Software<br />
1 1 1 M-<strong>TK</strong>-126 Deaktivierung der automatischen Rufannahme<br />
1 1 1 M-<strong>TK</strong>-127 Schutz vor unerwünschter Konfigurationsänderung über<br />
die GSM/UMTS-Funkschnittstelle<br />
1 1 1 M-<strong>TK</strong>-128 Schutzmaßnahmen <strong>für</strong> das Herunterladen von Inhalten<br />
1 1 1 M-<strong>TK</strong>-129<br />
Erläuterungen:<br />
Prozess zur Behandlung des Verlusts eines mobilen<br />
Endgeräts<br />
zu M-<strong>TK</strong>-124 Rollenbasierte Zugriffsberechtigungen auf Objekte des mobilen Endgeräts<br />
Die Umsetzung dieser Maßnahme liefert erst bei einer höheren Nutzerzahl, die in einem<br />
KI-Szenario eher nicht erreicht wird, einen signifikanten Beitrag zur Absicherung.<br />
zu M-<strong>TK</strong>-125 Schutz des mobilen Endgeräts vor schadenstiftender Software<br />
Der Betrieb von Systemen zum Schutz vor schadenstiftender Software <strong>für</strong> mobile Endgeräte<br />
setzt in manchen Fällen eine zentrale Systemverwaltung voraus bzw. das System<br />
ist <strong>für</strong> den Einsatz in größeren Unternehmungen konzipiert. Für ein KI-Szenario kann<br />
sich ein solches System als überdimensioniert erweisen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 237
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Die strikte Umsetzung von Maßnahme M-<strong>TK</strong>-120, insbesondere die Deaktivierung nicht<br />
benötigter bzw. sicherheitskritischer Dienste und Leistungsmerkmale, trägt stark zur Reduktion<br />
des Restrisikos bei. Nur unter dieser Randbedingung ist Maßnahme M-<strong>TK</strong>-125<br />
<strong>für</strong> ein KI-Szenario mit Priorität 2 gewichtet. Andernfalls muss auch <strong>für</strong> kleine Institutionen<br />
die Priorität 1 gelten.<br />
5.7.2.3 Netzwerk<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 32: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-130 Berücksichtigung der <strong>Sicherheit</strong> bei der Vertragsgestaltung<br />
mit einem Diensteanbieter<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-130 Berücksichtigung der <strong>Sicherheit</strong> bei der Vertragsgestaltung mit einem<br />
Diensteanbieter<br />
<strong>Sicherheit</strong>saspekte sollten unabhängig von der Größe einer Unternehmung bei der Auswahl<br />
eines Diensteanbieters berücksichtigt werden, allerdings sind die Gestaltungsmöglichkeiten<br />
hier je nach Umfang der eingekauften Leistung ggf. eingeschränkt.<br />
5.7.2.4 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 33: Maßnahmen-Klassifizierung Fixed Mobile Convergence – Netz-<br />
und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-131 Fernadministration der mobilen Endgeräte<br />
238 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Erläuterungen:<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
zu M-<strong>TK</strong>-131 Fernadministration der mobilen Endgeräte<br />
Bei der Möglichkeit einer Fernadministration mobiler Endgeräte ist bei erhöhtem Schutzbedarf<br />
besonders die Funktion zur Löschung der Daten (Fernabschaltung) essenziell, da<br />
auf diese Weise das Risiko einer unberechtigten Nutzung des Geräts deutlich reduziert<br />
werden kann. Dies gilt insbesondere sogar dann, wenn ein unberechtigter Nutzer sich mit<br />
einem gültigen Nachweis (z. B. Passwort oder PIN) an dem Gerät anmeldet.<br />
Weiterhin wird über eine Fernadministration der Betrieb einer größeren Anzahl von Endgeräten<br />
erheblich erleichtert und das Risiko von Fehlkonfiguration und der damit verbundenen<br />
Gefährdungen <strong>für</strong> die IT-<strong>Sicherheit</strong> erheblich reduziert.<br />
Aus diesen Gründen wurde diese Maßnahme <strong>für</strong> GI- und MI-Szenarien auf Priorität 1 gesetzt.<br />
Auch <strong>für</strong> kleine Institutionen ist diese Maßnahme sehr zu empfehlen, sie ist aber nicht<br />
zwingend, sofern eine den Vorgaben entsprechende Konfiguration der Clients mit anderen<br />
Mitteln <strong>für</strong> den Schutzbedarf angemessen sichergestellt werden kann. Für eine kleine<br />
Institution kann die Fernadministration (bzw. gewisse Bereiche der Administration, wie<br />
das Löschen sensibler Daten auf Anforderung) auch durch einen Dienstanbieter übernommen<br />
werden.<br />
5.7.3 DECT<br />
Für DECT werden die folgenden Elemente betrachtet:<br />
• Endgeräte, siehe Kapitel 5.7.3.1<br />
• Netzwerk, siehe Kapitel 5.7.3.2<br />
• Netz- und Systemmanagement, siehe Kapitel 5.7.3.3<br />
5.7.3.1 Endgeräte<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien umgesetzt werden:<br />
Tabelle 34: Maßnahmen-Klassifizierung DECT – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-132 Einsatz von DECT-Endgeräten mit zusätzlicher Verschlüsselung<br />
Erläuterungen: -<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 239
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
5.7.3.2 Netzwerk<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 35: Maßnahmen-Klassifizierung DECT – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 1 1 M-<strong>TK</strong>-133 Absicherung bei Anschluss von Radio Fixed Parts an ein<br />
LAN<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-133 Absicherung bei Anschluss von Radio Fixed Parts an ein LAN<br />
Gestattet die eingesetzte DECT-Lösung den Anschluss eines Radio Fixed Part (RFP) an<br />
ein LAN, ist die Absicherung des LAN-Zugangs <strong>für</strong> flächendeckende größere DECT-<br />
Installationen von besonderer Wichtigkeit, da die Gefährdungslage proportional zur Anzahl<br />
der RFPs wächst. Für KI-Standorte ist die Maßnahme von geringerer Wichtigkeit,<br />
sofern im Rahmen der Übersichtlichkeit ein unbeaufsichtigter physikalischer Zugriff auf<br />
LAN-Anschlüsse verhindert werden kann.<br />
5.7.3.3 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 36: Maßnahmen-Klassifizierung DECT – Netz- und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 2 2 M-<strong>TK</strong>-134 Protokollierung des Einsatzes zusätzlicher Verschlüsselung<br />
1 1 1 M-<strong>TK</strong>-135 Verzicht auf den Einsatz von DECT bei erhöhtem Schutzbedarf<br />
Erläuterungen: -<br />
240 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5.7.4 Bluetooth<br />
Für Bluetooth werden die folgenden Elemente betrachtet:<br />
• Endgeräte, siehe Kapitel 5.7.4.1<br />
• Netzwerk, siehe Kapitel 5.7.4.2<br />
• Netz- und Systemmanagement, siehe Kapitel 5.7.4.3<br />
5.7.4.1 Endgeräte<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien umgesetzt werden:<br />
Tabelle 37: Maßnahmen-Klassifizierung Bluetooth – Endgeräte<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-136 <strong>Sichere</strong> Konfiguration und Verwendung des Bluetooth-<br />
Adapters<br />
1 1 1 M-<strong>TK</strong>-137 Einsatz von Bluetooth-Endgeräten mit zusätzlicher Verschlüsselung<br />
Erläuterungen: -<br />
5.7.4.2 Netzwerk<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 38: Maßnahmen-Klassifizierung Bluetooth – Netzwerk<br />
Priorität<br />
KI MI GI Maßnahmen<br />
3 1 1 M-<strong>TK</strong>-138 Absicherung bei Anschluss von Bluetooth Access Points<br />
an ein LAN<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 241
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-138 Absicherung bei Anschluss von Bluetooth Access Points an ein LAN<br />
Wenn Bluetooth Access Points mit einem LAN-Anschluss verwendet werden, ist (wie es<br />
auch bei WLANs der Fall ist) die Absicherung des LAN-Zugangs <strong>für</strong> größere Installationen<br />
von besonderer Wichtigkeit, da die Gefährdungslage proportional zur Anzahl der<br />
Access Points wächst. Sofern Bluetooth nur punktuell eingesetzt wird und außerhalb<br />
durch eine Zutrittskontrolle abgesicherter Bereiche nicht empfangen werden kann, ist die<br />
Umsetzung dieser Maßnahme nicht mehr zwingend erforderlich (wenn auch dringend zu<br />
empfehlen).<br />
Für KI-Standorte ist die Maßnahme von geringerer Wichtigkeit, sofern im Rahmen der<br />
Übersichtlichkeit ein unbeaufsichtigter physikalischer Zugriff auf LAN-Anschlüsse verhindert<br />
werden kann.<br />
5.7.4.3 Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen<br />
Szenarien priorisiert umgesetzt werden:<br />
Tabelle 39: Maßnahmen-Klassifizierung Bluetooth – Netz- und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-139 Verzicht auf den Einsatz von Bluetooth bei erhöhtem<br />
Schutzbedarf<br />
Erläuterungen: -<br />
5.8 Systemübergreifende Aspekte<br />
Die Betrachtung der systemübergreifenden Aspekte beinhaltet die folgenden Punkte:<br />
• Auslegung der passiven Netzinfrastruktur, siehe Kapitel 5.8.1<br />
• Servern des Telekommunikationssystems, siehe Kapitel 5.8.2<br />
• <strong>Sichere</strong>s Netz- und Systemmanagement, siehe Kapitel 5.8.3<br />
• Aspekte des Datenschutzes, siehe Kapitel 5.8.4<br />
• Auswahl von Diensteanbietern, siehe Kapitel 5.8.5<br />
242 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5.8.1 Passive Netzinfrastruktur<br />
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen Szenarien priorisiert umgesetzt<br />
werden:<br />
Tabelle 40: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Passive Netzinfrastruktur<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-140 <strong>Sichere</strong> Kabelführung<br />
3 2 2 M-<strong>TK</strong>-141 Redundante Kabelführung<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-141 Redundante Kabelführung<br />
Über den Aufbau einer redundanten Kabelführung kann nur im konkreten Einzelfall entschieden<br />
werden. Daher ist diese Maßnahme <strong>für</strong> MI- und GI-Szenarien mit Priorität 2<br />
markiert worden. Für eine kleine Institution ist das Restrisiko durch Umsetzung von<br />
Maßnahme M-<strong>TK</strong>-140 meist angemessen reduziert und eine redundante Kabelführung<br />
daher eher mit geringerer Priorität umzusetzen.<br />
5.8.2 Server des Telekommunikationssystems<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen Szenarien priorisiert umgesetzt<br />
werden:<br />
Tabelle 41: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Server des <strong>TK</strong>-Systems<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-142 Härtung von Servern des Telekommunikationssystems<br />
2 1 1 M-<strong>TK</strong>-143 Einschränkung und Kontrolle von Berechtigungen <strong>für</strong> die<br />
Administration eines Servers des Telekommunikationssystems<br />
2 1 1 M-<strong>TK</strong>-144 Einschränkung und Kontrolle des Zugangs zu einem<br />
Server des Telekommunikationssystems<br />
1 1 1 M-<strong>TK</strong>-145 Physikalische <strong>Sicherheit</strong> der Server<br />
1 1 1 M-<strong>TK</strong>-146 Mehrstufiges Backup-Konzept<br />
2 1 1 M-<strong>TK</strong>-147 Schutz vor schadenstiftender Software<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 243
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-148 Software-<strong>Sicherheit</strong> inkl. Patch-Management<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-143 Einschränkung und Kontrolle von Berechtigungen <strong>für</strong> die Administration<br />
eines Servers des Telekommunikationssystems<br />
Das Berechtigungskonzept richtet sich nach der Größe und Organisationsstruktur der Institution.<br />
Für eine kleine Institution genügt oft ein entsprechend einfaches Konzept.<br />
zu M-<strong>TK</strong>-144 Einschränkung und Kontrolle des Zugangs zu einem Server des Telekommunikationssystems<br />
Für eine kleine Institution kann bereits durch Umsetzung von Maßnahme M-<strong>TK</strong>-145 die<br />
zwingende Notwendigkeit einer Kontrolle <strong>für</strong> den lokalen Zugang nicht mehr gegeben<br />
sein. Für die Fernwartungszugänge kann <strong>für</strong> KI-Szenarien mangels Personalkapazitäten<br />
mit entsprechendem Know-how oft weder die geeignete Absicherung von externen<br />
Fernwartungszugriffen regelmäßig überprüft noch eine Kontrolle von Log-Informationen<br />
auf solche Zugriffsversuche realisiert werden. In diesem Fall sollte auf Fernwartungszugriffe<br />
durch Externe verzichtet werden.<br />
zu M-<strong>TK</strong>-145 Physikalische <strong>Sicherheit</strong> der Server<br />
Diese Maßnahme ist eine wesentliche Grundlage <strong>für</strong> die Wahrung der Verhältnismäßigkeit<br />
bei der Umsetzung anderer Maßnahmen. Sie ist in den unterschiedlichen Szenarien<br />
mit den jeweils zur Verfügung stehenden Mitteln zu realisieren.<br />
Bei KI-Szenarien und MI-filial-Standorten sind häufig die bezahlbaren (bau-)technischen<br />
Möglichkeiten beschränkt. In solchen Umgebungen ist so weit wie möglich die Übersichtlichkeit<br />
der Umgebungsgröße gezielt <strong>für</strong> konsequente organisatorische Umsetzung<br />
auszunutzen:<br />
• kein unbeaufsichtigter Zutritt Fremder zu Räumen mit <strong>TK</strong>-<strong>Anlagen</strong>installationen als<br />
Grundsatz<br />
• gezielte Aufstellung der Anlage in Räumen, <strong>für</strong> die eine solche Regelung auch aus<br />
anderen Gründen bereits Gültigkeit hat<br />
Erscheint im konkreten Fall die Wirksamkeit einer solch vorrangig organisatorischen Zutrittsschutzlösung<br />
nur sehr eingeschränkt, sollte in jedem Fall ein abschließbarer Schrank<br />
als minimaler technischer Schutz eingesetzt werden.<br />
zu M-<strong>TK</strong>-147 Schutz vor schadenstiftender Software<br />
Für eine kleine Institution kann diese Maßnahme unter der Voraussetzung einer angemessenen<br />
Perimetersicherheit und eines Schutzes der genutzten PCs vor schadenstiftender<br />
Software mit Priorität 2 umgesetzt werden.<br />
zu M-<strong>TK</strong>-148 Software-<strong>Sicherheit</strong> inkl. Patch-Management<br />
Der mit der Umsetzung dieser Maßnahme verbundene Aufwand kann <strong>für</strong> eine kleine Institution<br />
hinsichtlich der Personalkapazität und der notwendigen Kompetenz erheblich<br />
244 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
5 Beispielkonzepte <strong>für</strong> repräsentative Beispielszenarien<br />
sein. Trotzdem ist die Umsetzung zumindest eines Basisumfangs des Patch-Managements<br />
auch <strong>für</strong> KI-Szenarien dringend zu empfehlen.<br />
5.8.3 <strong>Sichere</strong>s Netz- und Systemmanagement<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen Szenarien priorisiert umgesetzt<br />
werden:<br />
Tabelle 42: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Netz- und Systemmanagement<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 1 1 M-<strong>TK</strong>-149 <strong>Sichere</strong> Konfiguration des Netzwerkmanagement-<br />
Protokolls<br />
3 1 1 M-<strong>TK</strong>-150 Überwachung der Komponenten des Telekommunikationssystems<br />
Erläuterungen:<br />
zu M-<strong>TK</strong>-149 und M-<strong>TK</strong>-150<br />
Die hier beschriebenen Maßnahmeninhalte setzen das Vorhandensein einer zentralen<br />
Management-Lösung und/oder eines Log-Servers voraus, sowie entsprechenden Personals,<br />
das die entsprechenden Protokollierungen kompetent prüfen kann. Diese Voraussetzungen<br />
sind in KI-Szenarien häufig nicht gegeben, weil unverhältnismäßig bzw.<br />
mangels entsprechend kompetenten Personals sinnlos.<br />
In dieser Situation ist <strong>für</strong> eine kleine Institution im Wesentlichen M-<strong>TK</strong>-149 in Form gezielter<br />
Abschaltung aller Management-Zugriffsmöglichkeiten (Extremvariante von „Abschaltung<br />
nicht zur Verwendung vorgesehener Zugriffsmöglichkeiten“) zu beachten,<br />
Bei MI-filial-Standorten ist das unter Berücksichtigung der <strong>Sicherheit</strong>sanforderungen<br />
ausgelegte Management-Konzept der Zentrale umzusetzen, soweit sinnvoll möglich, und<br />
gezielt die zentrale Telefonie- und IT-Kompetenz mitzunutzen.<br />
5.8.4 Datenschutz<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen Szenarien priorisiert umgesetzt<br />
werden:<br />
Tabelle 43: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Datenschutz<br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-151 Schutz von Verbindungsdaten<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 245
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Priorität<br />
KI MI GI Maßnahmen<br />
1 1 1 M-<strong>TK</strong>-152 <strong>Sichere</strong> Außerbetriebnahme von Komponenten des<br />
Telekommunikationssystems<br />
Erläuterungen: -<br />
5.8.5 Auswahl von Diensteanbietern<br />
Die folgenden Maßnahmen sollten <strong>für</strong> die verschiedenen typischen Szenarien priorisiert umgesetzt<br />
werden:<br />
Tabelle 44: Maßnahmen-Klassifizierung Systemübergreifende Aspekte – Auswahl von Diensteanbietern<br />
Priorität<br />
KI MI GI Maßnahmen<br />
2 2 2 M-<strong>TK</strong>-153 Nachweis der Vertrauenswürdigkeit des Diensteanbieters<br />
Erläuterungen: -<br />
246 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
6 Zusammenfassung und Ausblick<br />
6 Zusammenfassung und Ausblick<br />
Moderne Telekommunikationssysteme sind durch eine weitgehende Integration in die IT-<br />
Landschaft geprägt. Treibende Kräfte sind neben der Nutzung IP-basierter <strong>TK</strong>-Applikationen<br />
und Mehrwertdienste die Netzkonvergenz mit IP als anwendungs- und dienstübergreifendem<br />
Träger. Diese Plattform ermöglicht den ortsunabhängigen, einheitlichen Zugriff auf Telekommunikations-<br />
und Informationsdienste und hat zu einer hohen Dynamik in der Entwicklung<br />
neuer Anwendungen im Telekommunikationsbereich geführt. Präsenzdienste sind<br />
dabei ein Beispiel <strong>für</strong> ein Informationssystem, das eine Grundlage <strong>für</strong> eine dienstübergreifende,<br />
mobile Kommunikation schafft, die sich flexibel den zur Verfügung stehenden<br />
Medien bedienen kann, wie es moderne Arbeitsmethoden erfordern.<br />
Ausgehend von der etablierten ISDN-basierten <strong>TK</strong>-<strong>Anlagen</strong>technik bewegt sich die Evolution<br />
der Telekommunikation seit geraumer Zeit mit steigendem Tempo in diese Richtung. Aus der<br />
Perspektive des Endnutzers und des Netzwerks wird es künftig keinen Unterschied zwischen<br />
<strong>TK</strong>-Geräten („Telefonen“), IT-Geräten („PCs“), Sprach- und Datennetzen mehr geben.<br />
Als Folge vererben sich aber auch die Gefährdungen der IT automatisch auf die Telekommunikation.<br />
Hinter manchem IP-Telefon verbirgt sich beispielsweise ein Standardbetriebssystem,<br />
das ohne die Implementierung geeigneter <strong>Sicherheit</strong>smechanismen durchaus<br />
die Möglichkeit der Übernahme des Endgeräts durch einen Angreifer bietet. Das IP-Telefon<br />
könnte umkonfiguriert und eine Verschlüsselung deaktiviert werden. Alternativ könnte eine<br />
schadenstiftende Software auf das Telefon injiziert werden, die unabhängig von einer Verschlüsselung<br />
der IP-Kommunikation „hinter“ dem Verschlüsselungsendpunkt die Sprachkommunikation<br />
aufzeichnen und beispielsweise per HTTP an den eigentlichen Angreifer<br />
weiterschicken kann.<br />
Ausgerichtet auf diese komplexe Gefährdungslage wurde in der vorliegenden <strong>Technische</strong>n<br />
<strong>Leitlinie</strong> <strong>Sichere</strong> <strong>TK</strong>-<strong>Anlagen</strong> ein Maßnahmenkatalog <strong>für</strong> den sicheren Betrieb von privaten<br />
Telekommunikationssystemen in Bereichen mit erhöhtem Schutzbedarf erarbeitet. Dieser<br />
Maßnahmenkatalog adressiert gleichermaßen ISDN <strong>TK</strong>-<strong>Anlagen</strong>, VoIP-Systeme (inklusive<br />
IP-<strong>Anlagen</strong>anschluss), Hybrid-Systeme, <strong>TK</strong>-Applikationen und Mehrwehrdienste sowie die<br />
Nutzung mobiler und drahtloser Kommunikationssysteme. Um einen übergreifenden Schutz<br />
schaffen zu können, wurden jeweils Maßnahmen <strong>für</strong> die zentralen Komponenten (Server und<br />
Anwendungen), die Endgeräte, das Netzwerk und das Netz- und Systemmanagement erarbeitet.<br />
Für die Absicherung auf Anwendungsebene ist beispielsweise die Ende-zu-Ende-<br />
Verschlüsselung (mit angemessener Authentisierung) zwischen Geräten und Infrastruktur ein<br />
wesentliches Element. Kritisch ist dabei die Implementierung einer organisationsübergreifenden<br />
Lösung, da hier mangels einheitlich umgesetzter Standards ein dynamisches<br />
Schlüsselmanagement an Grenzen stößt. Bei einer Kommunikation über Vertrauensbereiche<br />
hinaus wird in Konsequenz Hop-by-Hop verschlüsselt, und an einem entsprechenden<br />
Gateway an der Grenze des Vertrauensbereichs wird die Verschlüsselung terminiert. An<br />
diesem Gateway kann der Übergang in das PSTN erfolgen. In einem rein IP-basierten<br />
Szenario, wie es beispielsweise bei einem IP-<strong>Anlagen</strong>anschluss der Fall ist, besteht eine<br />
Anbindung an ein anderes IP-Netz bzw. direkt an das Internet. Das entsprechende Koppelelement,<br />
der Session Border Controller, ist dabei eine wesentliche Komponente der Absicherung<br />
bei organisations- bzw. standortübergreifenden VoIP-Kommunikation, <strong>für</strong> die in<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 247
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
dieser <strong>Technische</strong> <strong>Leitlinie</strong> unter anderem entsprechende Netzarchitekturen und <strong>Sicherheit</strong>smechanismen<br />
empfohlen wurden.<br />
Ein weiterer Aspekt der Konvergenz von <strong>TK</strong> und IT zeigt sich in der Palette der <strong>TK</strong>-<br />
Applikationen und Mehrwertdienste. Neben Schnittstellen zu Datenbanken und Verzeichnisdiensten<br />
bestimmen Konzepte <strong>für</strong> Aufbau und Integration verteilter Anwendungen diesen<br />
Bereich. Dabei ist ein deutlicher Trend zu Web-Applikationen basierend beispielsweise auf<br />
SOAP feststellbar. Als Folge sind die entsprechenden Maßnahmen zur Absicherung von<br />
verteilten Systemen und Web-Applikationen auf die Telekommunikation anzuwenden.<br />
Weiterhin wurde aufgezeigt, welche Möglichkeiten zur Absicherung der Endgeräte, des LAN-<br />
Zugangs und des Zugangs über mobile und drahtlose Systeme bestehen. Die betrachteten<br />
Mechanismen zur Netzzugangskontrolle gestatten dabei eine Authentisierung am Netz- bzw.<br />
am LAN-Zugangspunkt und erlauben die dynamische Zuordnung des Endgeräts zu einem<br />
logischen Netzsegment. In diesem Zusammenhang wurden auch Techniken <strong>für</strong> die Netztrennung<br />
und den Aufbau mandantenfähiger LAN-Infrastrukturen betrachtet.<br />
Für den sicheren Betrieb einer mit der IT zusammengewachsenen Telekommunikationslösung<br />
ist die Einbettung der <strong>TK</strong>-Komponenten in das Netz- und Systemmanagement von entscheidender<br />
Bedeutung. Hierzu muss eine <strong>TK</strong>-spezifische Überwachung der Server,<br />
Gateways und der Netzkomponenten vorgesehen werden. Weiterhin sind Maßnahmen <strong>für</strong> eine<br />
sichere Administration und Konfiguration der Komponenten der <strong>TK</strong>-Lösung zu<br />
implementieren. Gerade in diesem Bereich bestehen besonders kritische Gefährdungen bei<br />
unzureichend umgesetzten Maßnahmen. Beispielsweise ist <strong>für</strong> mobile Endgeräte eine Fernadministration<br />
wichtig, die es insbesondere gestattet, ein Gerät zu sperren und sensible Daten<br />
zu löschen. Diese Maßnahme wird typischerweise bei Verlust eines mobilen Endgeräts ergriffen.<br />
Für solche Situationen spezifiziert diese <strong>Technische</strong> <strong>Leitlinie</strong> aber auch<br />
organisatorische Maßnahmen, denn in der Praxis zeigt sich oft, dass die gerade durch die<br />
geschickte Gestaltung von Prozessen ein entscheidender Beitrag zur Verbesserung der<br />
<strong>Sicherheit</strong> geliefert wird.<br />
Zur Illustration der Umsetzung des Maßnahmenkatalogs wurden Beispielszenarien entwickelt<br />
und die Maßnahmen priorisiert auf die Szenarien abgebildet. Damit konnte die Bandbreite der<br />
Implementierungsmöglichkeiten zur Absicherung von privaten Telekommunikationssystemen<br />
aufgezeigt werden.<br />
Im Teil 2 dieser <strong>Technische</strong>n <strong>Leitlinie</strong> wird ein Beschaffungsleitfaden vorgestellt, der zunächst<br />
Auswahlkriterien <strong>für</strong> die Komponenten einer <strong>TK</strong>-Lösung aus den im Teil 1 erarbeiteten<br />
Maßnahmen ableitet. Die Anforderungen werden dann in einer Bewertungstabelle<br />
den betrachteten Szenarien, mit Gewichten versehen, zugeordnet. Die Struktur richtet sich<br />
dabei nach der Methodik der Unterlage <strong>für</strong> die Ausschreibung und Bewertung von IT-<br />
Leistungen (UfAB IV). Im Rahmen einer Beschaffung muss spätestens bei der Abnahme<br />
geprüft werden, ob die Anlage den gestellten Anforderungen genügt. Hierzu werden Prüfkriterien<br />
<strong>für</strong> die spezifizierten Auswahlkriterien entwickelt, die neben Prüfungen der<br />
Konfiguration insbesondere auch Tests auf Ebene der Protokollschnittstellen unter Einsatz<br />
von Protokollanalysatoren und Simulationswerkzeugen beschreiben.<br />
Diese <strong>Technische</strong> <strong>Leitlinie</strong> hat <strong>für</strong> den erhöhten Schutzbedarf unter besonderer Berücksichtigung<br />
der Konvergenz von <strong>TK</strong> und IT sowie von kabelbasierter, drahtloser und mobiler<br />
Kommunikation die Möglichkeiten der Absicherung von modernen privaten Telekommunikationssystemen<br />
umfassend aufgezeigt. Auch wenn die Evolution hin zu rein IPbasierten<br />
Systemen nicht mehr umkehrbar ist, ist die Komplexität der Protokolle und der<br />
248 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
6 Zusammenfassung und Ausblick<br />
Vernetzungskonzepte erheblich. Die Systeme haben ihre ersten technischen „Kinderkrankheiten“<br />
zwar überstanden und die Investition in VoIP beginnt sich auszuzahlen, trotzdem sind<br />
<strong>Sicherheit</strong>skonzepte <strong>für</strong> die moderne Telekommunikation noch sehr jung und der Aufwand,<br />
ein <strong>Sicherheit</strong>sniveau vergleichbar zu ISDN zu schaffen, ist durchaus hoch. Wenn dem Leser<br />
ein roter Faden in dieser komplexen Materie vermittelt und die Umsetzung eines <strong>Sicherheit</strong>skonzepts<br />
erleichtert werden konnte, hat diese <strong>Technische</strong> <strong>Leitlinie</strong> ihr wesentliches Ziel erreicht.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 249
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
250 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
7 Anhang<br />
In diesem Anhang werden spezielle technische Aspekte vertieft, die <strong>für</strong> die Absicherung von<br />
Telekommunikationssystemen eine besondere Rolle spielen:<br />
• Kapitel 7.1 beschreibt die Port-basierte Authentisierung im LAN mit IEEE 802.1X.<br />
• Kapitel 7.2 liefert Hinweise <strong>für</strong> die Verwendung von SSL/TLS.<br />
• Kapitel 7.3 führt in die wesentlichen VPN-Techniken ein.<br />
7.1 Port-basierte Authentisierung im LAN mit IEEE 802.1X<br />
Der Standard IEEE 802.1X (siehe [IEEE04]) spezifiziert eine Methode zur portbasierten<br />
Netzwerkzugangskontrolle <strong>für</strong> Ethernet nach IEEE 802.3 und WLAN nach IEEE 802.11.<br />
IEEE 802.1X definiert verschiedene Rollen der beteiligten Netzelemente (siehe Abbildung<br />
38):<br />
• Der Supplicant ist eine Software-Komponente im Endgerät (Client), die den Netzwerkzugang<br />
anfordert. Der Supplicant kann Bestandteil des Betriebssystems sein (sogenannter<br />
Native Supplicant).<br />
• Das Gerät, das den Netzwerkzugang herstellt und eine Schnittstelle <strong>für</strong> die Authentisierung<br />
anbietet, heißt Authenticator. Im LAN liegt diese Funktion typischerweise in dem<br />
Switch an den das Endgerät unmittelbar angeschlossen ist. Im WLAN wird diese Funktion<br />
vom Access Point bzw. WLAN Controller wahrgenommen.<br />
• Der Authentication Server ist das Gerät, welches den eigentlichen Authentisierungsdienst<br />
bereitstellt. Der Authenticaton Server ist typischerweise ein RADIUS-Server 56 (siehe<br />
[RFC2865]).<br />
Abbildung 38: Rollen in IEEE 802.1X<br />
Der Austausch der Authentisierungsinformationen geschieht über das Extensible Authentication<br />
Protocol (EAP, siehe [RFC3748] und [RFC3579]). Dabei erfolgt die Kommunikation<br />
über die LAN- bzw. WLAN-Schnittstelle zwischen Supplicant und Authenticator mit der<br />
56 Der Standard IEEE 802.1X legt das Protokoll <strong>für</strong> den Authentication-Server nicht zwingend fest.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 251
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Variante EAP over LAN (EAPOL). EAPOL gestattet die Übertragung von EAP-Nachrichten<br />
auf Layer 2. Auf diese Weise wird eine Authentisierung am Netzzugangspunkt ermöglicht,<br />
bevor eine Kommunikation auf IP-Ebene und höheren Protokollebenen stattfindet. Die Kommunikation<br />
zwischen Authenticator und Authentication-Server geschieht meist RADIUSbasiert,<br />
wobei die EAP-Nachrichten als RADIUS-Attribute übertragen werden. Für die Verwaltung<br />
der Daten der Geräte oder Nutzer, die sich mit IEEE 802.1X authentisieren, wird oft<br />
ein Verzeichnisdienst (Directory Service) wie z. B. LDAP verwendet, der vom RADIUS-<br />
Server angesprochen wird. Abbildung 39 zeigt die genutzten Protokolle im Überblick.<br />
7.1.1 Authentisierungsmethoden<br />
Abbildung 39: Protokolle in IEEE 802.1X<br />
EAP ist modular und liefert einen Rahmen, in den die eigentlichen Authentisierungsverfahren,<br />
die sogenannten EAP-Methoden, eingebettet werden können. Damit EAP-Methoden <strong>für</strong> die<br />
Anwendung im WLAN geeignet sind, müssen sie zusätzlich auch die Möglichkeit der Erzeugung<br />
und Verteilung von Schlüsselmaterial <strong>für</strong> die in IEEE 802.11i spezifizierten<br />
Mechanismen bieten. Es gibt eine ganze Reihe von EAP-Methoden.<br />
Eine Auswahl der <strong>für</strong> die Absicherung von LAN und WLAN relevanten EAP-Methoden wird<br />
im Folgenden kurz beschrieben:<br />
• EAP-TLS (siehe [RFC2716])<br />
Diese EAP-Methode basiert auf der Authentisierung gemäß Transport Layer Security<br />
(TLS). Es wird eine beidseitige Authentisierung anhand von X.509-Zertifikaten durchgeführt.<br />
Das bedeutet, dass eine Infrastruktur zur Verteilung und Verwaltung der Zertifikate<br />
(Ausstellung, Rückruf, Erneuerung usw.) benötigt wird.<br />
Bei EAP-TLS sendet der jeweils zu authentisierende Kommunikationspartner ein Zertifikat,<br />
das seinen öffentlichen Schlüssel enthält. Außerdem sendet er eine mit seinem<br />
252 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
privaten Schlüssel gebildete Signatur, sodass der Empfänger durch Anwendung des<br />
öffentlichen Schlüssels auf diese Signatur die Authentizität des Senders feststellen kann.<br />
• EAP-TTLS (IETF Internet Draft)<br />
Bei EAP-TTLS (Tunneled TLS) wird die unter EAP-TLS beschriebene Methode nur zur<br />
Authentisierung des Servers genutzt. Anschließend wird ein TLS-Tunnel zwischen Server<br />
und Client aufgebaut, in dem dann geschützt die Authentisierung des Clients durch<br />
andere Methoden erfolgt, wie z. B. über PAP, CHAP oder MSCHAP.<br />
• PEAP (IETF Internet Draft)<br />
PEAP (Protected EAP) funktioniert ähnlich wie EAP-TTLS, es dürfen allerdings im<br />
Tunnelinneren nur EAP-Methoden zur Authentisierung des Clients angewendet werden.<br />
Ein Beispiel ist die Kombination von PEAP mit der EAP-Methode EAP-MSCHAPv2, die<br />
auf der oft bei Windows-Clients genutzten PPP-Authentisierungsmethode MSCHAPv2<br />
basiert. Über EAP-MSCHAPv2 können die <strong>für</strong> eine Domänenanmeldung üblichen Abfragen<br />
von Nutzername und Passwort geschehen, sodass diese Methode gut zur Benutzerverwaltung<br />
in Windows-Lösungen passt.<br />
EAP-TLS erreicht durch die direkte gegenseitige Authentisierung von Server und Client im<br />
Vergleich zu den anderen Verfahren ein höheres <strong>Sicherheit</strong>sniveau. Weiterhin ist EAP-TLS<br />
als RFC vergleichsweise solide spezifiziert.<br />
7.1.2 Trennung von Nutzergruppen<br />
Über IEEE 802.1X, genauer gesagt über das letzte RADIUS-Paket einer Authentisierungssequenz,<br />
kann ein VLAN Identifier (VID) vom RADIUS-Server an den Authenticator übertragen<br />
werden. Im kabelbasierten LAN setzt dann der Switch den Port, über den die<br />
Authentisierungssequenz abgelaufen ist, in das entsprechende VLAN. Im WLAN wird vom<br />
Access Point bzw. vom WLAN Controller die Kommunikation mit dem WLAN-Client, der<br />
sich authentisiert hat, dem vom RADIUS-Server angegebenen VLAN zugeordnet.<br />
Der VID kann in der Konfiguration des RADIUS-Server pro Nutzergruppe festgelegt werden.<br />
Auf diese Weise können beispielsweise IP-Telefone dynamisch einem anderen Port zugewiesen<br />
werden als PCs, auch wenn sich beide Gerätetypen per IEEE 802.1X authentisieren<br />
würden.<br />
7.1.3 Multiuser-Authentisierung<br />
Der Standard IEEE 802.1X geht explizit davon aus, dass an einem Ethernet-Port, an dem eine<br />
Authentisierung per IEEE 802.1X erfolgen soll, genau ein Gerät mit einer Supplicant-<br />
Funktion angeschlossen wird.<br />
Die simultane Authentisierung mehrerer Geräte an einem Port knüpft der Standard an den<br />
Aufbau sicherer Kanäle und verweist auf WLAN nach IEEE 802.11i. Hier wird nach erfolgreicher<br />
Authentisierung zwischen einem WLAN-Client und einem Access Point ein dedizierter<br />
verschlüsselter Kanal etabliert, der damit einer logischen Punkt-zu-Punkt-<br />
Verbindung entspricht. Die Authentisierung mehrerer Supplicants über einen Hub oder einen<br />
Mini-Switch an einem einzelnen Port wird im Standard nicht spezifiziert.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 253
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Dies ist beim Einsatz von IP-Telefonen zu beachten, da diese Telefone oft mit einem eingebauten<br />
Ethernet-Switch ausgestattet sind, über den ein PC unmittelbar an das IP-Telefon<br />
angeschlossen werden kann. Auf diese Weise spart man Ethernet-Anschlussdosen. Manche<br />
Hersteller gestatten die simultane Authentisierung von IP-Telefon und PC an einem Port des<br />
Access Switches (auch als Multiuser-Authentisierung bezeichnet). Dies ist aber keine im<br />
Standard IEEE 802.1X vorgesehene Betriebsart und stellt eine herstellerspezifische Lösung<br />
dar. Weiterhin erlaubt der Standard IEEE 802.1X nicht die Übertragung von EAPOL über<br />
Pakete mit VLAN-Tag gemäß IEEE 802.1Q (siehe [IEEE03]). Diese Funktion wäre aber<br />
erforderlich, wenn der Kommunikationsverkehr eines IP-Telefon und eines an das IP-Telefon<br />
angeschlossenen PCs über unterschiedliche VLAN getrennt werden soll. Manche Hersteller<br />
unterstützen speziell <strong>für</strong> diesen Zweck die Konfiguration von zwei VLAN an einem Access<br />
Port: einem Voice VLAN, das mit einem VLAN-Tag übertragen wird, und einem Daten-<br />
VLAN ohne VLAN-Tag. Für die Authentisierung des IP-Telefons muss dann IEEE 802.1X<br />
herstellerspezifisch angepasst werden.<br />
Sofern der Sprach- und Datenverkehr getrennt werden soll, ist es daher zu empfehlen, IP-<br />
Telefon und PC an separaten Datendosen anzuschließen.<br />
IEEE 802.1X gestattet allerdings eine kaskadierte Authentisierung, bei der ein Switch sich bei<br />
einem anderen Switch authentisiert, d. h. einen Supplicant implementiert und sich andererseits<br />
wie gewohnt als Authenticator anderen Supplicants gegenüber verhält.<br />
7.1.4 Mischbetrieb<br />
Diverse am Markt verfügbare IP-Telefone unterstützen kein IEEE 802.1X. Eine Zugangskontrolle<br />
zum LAN kann dann praktisch nur über die MAC-Adresse des IP-Telefons erfolgen<br />
(sogenannte MAC-Adress-Authentisierung). Dabei prüft der Access Switch, ob die MAC-<br />
Adresse bekannt ist und einem IP-Telefon zugeordnet werden kann. Ist die Prüfung positiv,<br />
werden Pakete von und zu der MAC-Adresse vom Switch weitergeleitet, d. h. das Gerät erhält<br />
einen Netzzugang.<br />
Da jeder Ethernet- oder WLAN-Adapter mit einer anderen MAC-Adresse konfiguriert werden<br />
kann 57 , bietet diese Methode der Authentisierung nur einen ausgesprochen geringen Schutz.<br />
Außerdem ist eine MAC-Adress-Authentisierung herstellerspezifisch. Viele Switches und<br />
praktisch alle Access Points und WLAN Controller unterstützen eine RADIUS-basierte Authentisierung<br />
einer MAC-Adresse.<br />
Sofern der Schutzbedarf es zulässt, kann in Kombination mit IEEE 802.1X die MAC-Adress-<br />
Authentisierung in der Migrationsphase <strong>für</strong> Geräte, die (noch) kein IEEE 802.1X unterstützen,<br />
eingesetzt werden. Dabei ist wesentlich, dass Geräte, die sich per MAC-Adresse<br />
authentisieren, einen eingeschränkten und kontrollierten Zugang erhalten. Weiterhin muss der<br />
Netzverkehr dieser Geräte von den Geräten, die sich per IEEE 802.1X authentisieren, getrennt<br />
werden.<br />
Hierzu unterstützen viele Hersteller von Switches eine gestufte Authentisierung (siehe<br />
Abbildung 40), die eine einheitliche Port-Konfiguration gestattet. Dabei versucht ein Port<br />
57 Jeder Adapter verfügt zwar über eine eindeutige in der Hardware festgelegte MAC-Adresse (sogenannte<br />
Burned-in-Adresse), verwendet aber eine RAM-Kopie dieser Adresse, die durch einen Treiber-Befehl einfach<br />
mit einer anderen frei gewählten Adresse überschrieben werden kann.<br />
254 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
zunächst ein angeschlossenes Gerät per IEEE 802.1X zu authentisieren. Ist die Authentisierung<br />
mit IEEE 802.1X erfolgreich, wird der Port einem VLAN <strong>für</strong> autorisierte Endgeräte<br />
zugeordnet. Antwortet das Gerät nicht, wird die MAC-Adresse geprüft. Ist die MAC-Adresse<br />
bekannt, wird der Port in ein anderes - mit einem eingeschränkten Zugang verbundenes -<br />
VLAN gesetzt. Ist die MAC-Adresse unbekannt, kann entweder die Kommunikation abgewiesen<br />
werden oder das Gerät kommt in ein isoliertes VLAN, über das z. B. ein Gastzugang<br />
ermöglicht werden kann.<br />
Abbildung 40: Mischbetrieb mit gestufter Authentisierung<br />
7.1.5 Grundsätzliche Schwächen von IEEE 802.1X<br />
Über IEEE 802.1X ist die Authentisierung eines Systems bzw. eines Nutzers am System<br />
möglich. Es erfolgt aber keine Authentisierung der über einen autorisierten Port übertragenen<br />
Pakete eines Endgeräts. Es findet insbesondere keine Prüfung statt, ob die Pakete auch tatsächlich<br />
von dem Gerät stammen, auf dem der Supplicant, der sich authentisiert hat, läuft.<br />
Ein Angreifer könnte unter der MAC-Adresse eines authentisierten Supplicant einen Dialog<br />
mit der Infrastruktur führen, solange der Port autorisiert ist.<br />
Die Zusicherung von Vertraulichkeit und Integrität der über einen autorisierten Port übertragenen<br />
Pakete ist aber nicht Aufgabe eines Authentisierungsverfahrens wie IEEE 802.1X.<br />
Hierzu muss die <strong>Sicherheit</strong>sarchitektur um eine Komponente <strong>für</strong> Verschlüsselung und Integritätsprüfung<br />
erweitert werden. Für die verbindungslose Kommunikation in LAN/MAN<br />
werden diese Mechanismen in dem August 2006 verabschiedeten Standard IEEE 802.1AE<br />
beschrieben (siehe [IEEE06]). Für das hierzu notwendige Schlüsselmanagement und den<br />
Aufbau von Security Associations ist aktuell mit IEEE 802.1af eine Erweiterung von IEEE<br />
802.1X in Arbeit. IEEE 802.1af liegt bereits als Draft vor (siehe [IEEE08]). Stand Frühjahr<br />
2008 gibt es aber kaum Produkte, welche diese Standards unterstützen. IEEE 802.1AE und<br />
IEEE 802.1af bilden zusammen <strong>für</strong> das kabelbasierte LAN das konzeptionelle Pendant zur<br />
Absicherung von WLAN mit IEEE 802.11i (siehe Abbildung 41).<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 255
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Daher muss aktuell <strong>für</strong> einen Einsatz von IEEE 802.1X das Restrisiko durch Schwächen in<br />
der Zusicherung von Vertraulichkeit und Integrität berücksichtigt werden. Für den normalen<br />
Schutzbedarf kann der Einsatz von IEEE 802.1X ausreichen. Für einen erhöhten Schutzbedarf<br />
sollten jedoch zusätzlich VPN-Mechanismen oder Verschlüsselung und Integritätsprüfung auf<br />
Anwendungsbasis oder (wenn verfügbar) IEEE 802.1AE genutzt werden.<br />
Abbildung 41: Absicherung der Kommunikation auf Layer 2<br />
7.2 Hinweise <strong>für</strong> die Verwendung von SSL/TLS<br />
Das ursprünglich von Netscape entwickelte Secure Sockets Layer (SSL) ist ein Protokoll <strong>für</strong><br />
Datenübertragungen via TCP/IP, das die Vertraulichkeit und Integrität der Verbindung durch<br />
Verschlüsselung und Authentisierung absichert.<br />
Die erste veröffentliche Version war SSL 2.0 im Jahr 1994. Aufgrund diverser <strong>Sicherheit</strong>slücken<br />
wurde im Jahr 1996 eine verbesserte Version 3.0 veröffentlicht, die im Rahmen einer<br />
IETF-Arbeitsgruppe 58 als Grundlage <strong>für</strong> eine standardisierte Version von SSL diente: Transport<br />
Layer Security (TLS). TLS Version 1.0 wird dabei intern auch als SSL Version 3.1 bezeichnet.<br />
Stand Frühjahr 2008 ist die TLS-Version 1.1 (siehe [RFC4346]) standardisiert, Version 1.2<br />
wird derzeit vorbereitet und liegt aktuell als Internet-Draft vor 59 .<br />
TLS wird häufig im Bereich sicherer Webtransaktionen verwendet. TLS ist jedoch nicht auf<br />
Webtransaktionen und damit auf das HTTP-Protokoll beschränkt, da es im TCP/IP-<br />
Referenzmodell zwischen Transportschicht und den eigentlichen Anwendungen liegt (siehe<br />
Abbildung 42).<br />
58 http://www.ietf.org/html.charters/tls-charter.html<br />
59 http://www.ietf.org/internet-drafts/draft-ietf-tls-rfc4346-bis-08.txt<br />
256 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Abbildung 42: Einordnung von SSL/TLS in das TCP/IP-Referenzmodell<br />
7 Anhang<br />
TLS wird zur Sicherung von TCP-Strömen verwendet. Seit April 2006 steht mit DTLS (Datagram<br />
TLS, siehe [RFC4347]) auch eine standardisierte Variante <strong>für</strong> UDP zur Verfügung.<br />
DTLS wird damit den Anforderungen im Bereich der Echtzeitkommunikation (insbesondere<br />
der IP-Telefonie) gerecht, wo eine minimale Verzögerung gefordert wird. In den kommenden<br />
Jahren wird daher mit einer zunehmenden Verbreitung von DTLS gerechnet.<br />
DTLS unterscheidet sich von TLS in den Bereichen, in denen der unzuverlässige Transport in<br />
UDP sich auswirkt. Dies beinhaltet unter anderem die folgenden Punkte:<br />
• Durch die Möglichkeit von Neuübertragungen sorgt DTLS <strong>für</strong> die Zuverlässigkeit des<br />
initialen Handshakes zur Authentisierung und zum Schlüsselaustausch. Bei TLS ist dies<br />
nicht notwendig, da bei Paketverlusten TCP automatisch <strong>für</strong> die Wiederholung sorgt.<br />
• DTLS nummeriert Pakete, damit bei einem Paketverlust nicht auf eine Integritätsverletzung<br />
(wie es bei TLS der Fall wäre) geschlossen wird.<br />
Nachfolgend werden Empfehlungen <strong>für</strong> den sicheren Umgang mit SSL/TLS gegeben. Dabei<br />
handelt es sich um allgemeine Empfehlungen, die je nach Anwendung und Schutzbedarf eine<br />
genauere Betrachtung erfordern.<br />
7.2.1 Verwenden von TLS 1.x oder SSL 3.0<br />
In der Regel unterstützen die Produkte unterschiedliche Versionen von SSL bzw. TLS. Neben<br />
dem aktuellen IETF Standard TLS werden teilweise auch noch die von Netscape entwickelten<br />
Versionen SSL 2.0 und 3.0 angeboten.<br />
Aufgrund diverser <strong>Sicherheit</strong>slücken in der SSL-Version 2.0 wird dringend empfohlen, diese<br />
Version zu deaktivieren.<br />
Microsoft hat die Lücken der SSL Version 2.0 in ihrem proprietären Private Communications<br />
Technology (PCT) zwar behoben, allerdings gilt PCT als veraltet und ist zudem nicht weit<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 257
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
verbreitet. Sofern Microsoft-Produkte zum Einsatz kommen, sollte darauf geachtet werden,<br />
dass PCT deaktiviert ist und alle relevanten <strong>Sicherheit</strong>s-Updates eingespielt sind 60 .<br />
Aus diesen Gründen wird der Einsatz von TLS in der jeweils aktuellen Version empfohlen<br />
(derzeit üblich ist Version 1.0). Für den normalen Schutzbedarf kann auch SSL Version 3.0<br />
genutzt werden, dabei ist allerdings zu beachten, dass SSL Version 3.0 kein AES unterstützt.<br />
7.2.2 <strong>Technische</strong> Absicherung des privaten Schlüssels<br />
Während der öffentliche Schlüssel keinen <strong>Sicherheit</strong>sanforderungen unterliegt, sind <strong>für</strong> den<br />
privaten Schlüssel angemessene <strong>Sicherheit</strong>svorkehrungen zu treffen.<br />
Neben der physikalischen Sicherung des Systems ist eine grundlegende Maßnahme auf Betriebssystemebene<br />
die Vergabe restriktiver Zugriffsrechte <strong>für</strong> den privaten Schlüssel. Diese<br />
sollten so eingestellt werden, dass ein unbefugtes Auslesen des Schlüssels verhindert wird.<br />
Zusätzlich kann der private Schlüssel verschlüsselt abgelegt werden, sofern dies nicht automatisch<br />
durch die jeweilige Applikation geschieht. Der Zugriff auf den privaten Schlüssel<br />
kann in diesem Fall nur nach einer entsprechenden Authentisierung erfolgen. Sofern Passwörter<br />
<strong>für</strong> die Authentisierung verwendet werden, gelten die Regeln zum Passwortgebrauch<br />
der IT-Grundschutz-Kataloge.<br />
In der Regel ist <strong>für</strong> die Authentisierung ein manuelles Eingreifen notwendig, sodass sich diese<br />
Maßnahme nicht <strong>für</strong> Umgebungen eignet, in denen ein automatisches Starten des Systems<br />
bzw. des Dienstes erforderlich ist.<br />
Vorausgesetzt der private Schlüssel ist durch weitere Maßnahmen, wie eine Verschlüsselung<br />
geschützt, kommt es im Fall einer Kompromittierung des Systems (z. B. eines Servers) nicht<br />
zwangsläufig zu einer Kompromittierung des Zertifikats. Allerdings muss beachtet werden,<br />
dass der Angreifer je nach Berechtigungsstufe im Betriebssystem den Zugriff auf den privaten<br />
Schlüssel anderweitig erlangen kann, direkt oder indirekt, beispielsweise durch das Auslesen<br />
des Arbeitsspeichers oder das Abfangen eines Passwortes durch einen Keylogger.<br />
Aus <strong>Sicherheit</strong>sgründen ist es daher nach einer Kompromittierung des Systems notwendig,<br />
die mit dem System verbundenen Zertifikate schnellstmöglich widerrufen zu lassen.<br />
7.2.3 Als sicher geltende Cipher-Suite verwenden<br />
Für SSL/TLS stehen verschiedene Kombinationen aus Schlüsselaustauschverfahren, Verschlüsselungsmethode<br />
und Nachrichtenauthentisierung zur Verfügung. Diese ergeben zusammen<br />
die sogenannte Cipher-Suite. Aufgrund der eingesetzten kryptografischen Verfahren<br />
unterschieden sich diese in Bezug auf die gewährleistete <strong>Sicherheit</strong>.<br />
60 Siehe http://www.kb.cert.org/vuls/id/586540<br />
258 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Abbildung 43: Namenskonvention <strong>für</strong> die Bezeichnung der unterschiedlichen Cipher-Suites<br />
7 Anhang<br />
Nachfolgend werden <strong>für</strong> die verschiedenen Komponenten – Schlüsselaustausch, Verschlüsselungsmethode<br />
und Nachrichtenauthentisierung – geeignete Algorithmen aufgeführt.<br />
7.2.3.1 Schlüsselaustausch<br />
Für den Schlüsselaustausch eignen sich sowohl das RSA- als auch das Diffie-Hellman-<br />
Verfahren. Die Authentisierung wird bei RSA anhand der Zertifikate durchgeführt, bei Diffie-<br />
Hellman (DH) kommt der Digital Signature Algorithm (DSA) aus dem zugehörigen Digital<br />
Signature Standard der US-Regierung zum Einsatz. Dieser ist spezifiziert in FIPS 186, aktuell<br />
in der Version 186-2 (siehe [FIPS00]). Alternativ kann die Authentisierung beim Diffie-<br />
Hellman-Verfahren durch eine RSA-Signatur erfolgen, die zugehörige Cipher-Suite beginnt<br />
in diesem Fall mit TLS_DH_RSA bzw. TLS_DHE_RSA.<br />
Sowohl RSA als auch DH bzw. DHE (Diffie-Hellman Ephemeral) gelten zum jetzigen Zeitpunkt<br />
als sicher und können gleichwertig verwendet werden. Eine Ausnahme ist DH im anonymen<br />
Modus (DH_anon): Hierbei findet keine Authentisierung statt, sodass dieses Schlüsselaustauschverfahren<br />
anfällig ist <strong>für</strong> Man-In-The-Middle-Attacken. Aus diesem Grund wird<br />
von der Verwendung des DH_anon-Schlüsselaustauschverfahrens dringend abgeraten.<br />
In der Praxis ist RSA ein übliches Verfahren <strong>für</strong> Schlüsselaustausch und Authentisierung.<br />
7.2.3.2 Verschlüsselungsmethode<br />
Für die symmetrische Verschlüsselung stehen bei TLS die folgenden Algorithmen zur Auswahl:<br />
• Advanced Encryption Standard (AES)<br />
• Triple DES (3DES 61 )<br />
• RC4 62<br />
• International Data Encryption Algorithm (IDEA)<br />
Für die Verwendung von symmetrischen Verschlüsselungsalgorithmen wird in jedem Fall<br />
eine Schlüssellänge von mindestens 128 Bit empfohlen. Von einer Schlüssellänge von weniger<br />
als 128 Bit, insbesondere 40 und 56 Bit, wird aus <strong>Sicherheit</strong>sgründen dringend abgeraten.<br />
61 Auch als TDES bezeichnet; DES = Data Encryption Standard<br />
62 „Ron's Code 4“ wurde 1987 von Ronald L. Rivest entwickelt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 259
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Eine Sonderrolle hat 3DES. In TLS wird dieser Algorithmus, wie auch in vielen anderen<br />
Bereichen, im EDE-Modus 63 betrieben. Unter Verwendung von drei unterschiedlichen DES-<br />
Schlüsseln (in diesem Fall wird das Verfahren auch 3TDES genannt) beträgt die Schlüssellänge<br />
168 Bit, die effektive (d. h. kryptografisch wirksame) Schlüssellänge jedoch nur 112<br />
Bit. Bei Nutzung von nur zwei DES-Schlüsseln (als 2TDES bezeichnet) ergibt sich <strong>für</strong> 3DES<br />
im EDE-Modus eine Schlüssellänge von 112 Bit und eine effektive Schlüssellänge von nur 80<br />
Bit, was nicht mehr zeitgemäß ist. 3DES wird aus Kompatibilitätsgründen noch verwendet,<br />
ein Wechsel auf eine modernere Variante sollte aber vorgesehen werden und ist <strong>für</strong> 2TDES in<br />
jedem Fall zu empfehlen.<br />
Von den genannten Verschlüsselungsalgorithmen kann grundsätzlich AES empfohlen werden,<br />
je nach Schutzbedarf mit 128 oder 256 Bit langen Schlüsseln. IDEA wird aus lizenzrechtlichen<br />
Gründen häufig nicht unterstützt.<br />
Die Integrität und Authentizität einer Nachricht wird über einen sogenannten Keyed-Hash<br />
Message Authentication Code (HMAC) sichergestellt. Der HMAC berechnet sich hierbei aus<br />
dem Hash-Wert der Verknüpfung eines geheimen Schlüssels mit einer Klartextnachricht.<br />
TLS kann derzeit auf MD5 und auf SHA-1 als Hash-Funktion zurückgreifen. In zukünftigen<br />
Versionen von TLS soll jedoch keine explizite Abhängigkeit mehr zu MD5 und SHA-1 bestehen,<br />
sodass weitere Hash-Funktionen integriert werden können. Generell ist SHA-1 gegenüber<br />
MD5 zu bevorzugen. Zu beachten ist, dass auch <strong>für</strong> SHA-1 bereits kryptografische<br />
Schwächen entdeckt wurden und neben der SHA-2-Familie auch an anderen Verfahren als<br />
Nachfolger von SHA-1 gearbeitet wird. Da bei TLS der Hash-Wert über eine Kombination<br />
aus Klartext und geheimen Schlüssel gebildet wird, sind die aktuell bekannten Schwächen<br />
von SHA-1 <strong>für</strong> die Verwendung in TLS aber noch nicht als kritisch einzustufen. Trotzdem<br />
sollte sobald sinnvoll möglich der Wechsel auf einen Nachfolger von SHA-1 in Betracht<br />
gezogen werden.<br />
Für alle Implementierungen ist die Unterstützung folgender zwei Cipher-Suites obligatorisch:<br />
(1) TLS_NULL_WITH_NULL_NULL<br />
(2) TLS_RSA_WITH_3DES_EDE_CBC_SHA64 Während (1) <strong>für</strong> den initialen Verbindungsaufbau benötigt wird, ist (2) laut RFC4346 aus<br />
Kompatibilitätsgründen erforderlich.<br />
Für den normalen Schutzbedarf sind folgende Cipher-Suites geeignet:<br />
• TLS_RSA_WITH_RC4_128_MD5<br />
• TLS_RSA_WITH_RC4_128_SHA<br />
63 Bei EDE (Encrypt Decrypt Encrypt) durchlaufen die Daten nacheinander eine DES-Verschlüsselung, eine<br />
DES-Entschlüsselung und abschließend eine DES-Verschlüsselung. Dabei muss zumindest <strong>für</strong> Phase 2 ein<br />
anderer Schlüssel als <strong>für</strong> Phase 1 und 3 verwendet werden, denn sonst fällt der EDE-Modus mit einfachem<br />
DES zusammen.<br />
64 CBC ist eine Abkürzung <strong>für</strong> Cipher Block Chaining und bezeichnet eine spezielle Methode <strong>für</strong> die Nutzung<br />
eines Blockchiffres. Dabei wird eine Nachricht in Blöcke fester Länge aufgeteilt und ein Klartextblock<br />
wird zunächst per XOR mit dem Verschlüsselungsergebnis des vorangegangenen Blocks verknüpft und erst<br />
dann verschlüsselt.<br />
260 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
• TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA<br />
• TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA<br />
• TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA<br />
• TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA<br />
• TLS_RSA_WITH_AES_128_CBC_SHA<br />
• TLS_DH_DSS_WITH_AES_128_CBC_SHA<br />
• TLS_DH_RSA_WITH_AES_128_CBC_SHA<br />
• TLS_DHE_DSS_WITH_AES_128_CBC_SHA<br />
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA<br />
Für den erhöhten Schutzbedarf empfiehlt sich die Verwendung der Cipher-Suites:<br />
• TLS_RSA_WITH_AES_256_CBC_SHA<br />
• TLS_DH_DSS_WITH_AES_256_CBC_SHA<br />
• TLS_DH_RSA_WITH_AES_256_CBC_SHA<br />
• TLS_DHE_DSS_WITH_AES_256_CBC_SHA<br />
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA<br />
7 Anhang<br />
Für SSL Version 3.0 genügen die folgenden Cipher-Suites den Anforderungen des normalen<br />
Schutzbedarfs:<br />
• SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA<br />
• SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA<br />
• SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA<br />
• SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA<br />
• SSL_RSA_WITH_RC4_128_MD5<br />
• SSL_RSA_WITH_RC4_128_SHA<br />
• SSL_RSA_WITH_3DES_EDE_CBC_SHA<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 261
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
7.2.4 Validieren des Zertifikats<br />
Bei der Verwendung von Zertifikaten sollte deren Korrektheit überprüft werden. Allgemein<br />
sind dabei folgende Punkte zu beachten:<br />
• Der im Zertifikat genannte Name sollte mit dem DNS-Namen des Servers (allgemein des<br />
Geräts) übereinstimmen, mit dem eine SSL/TLS-Verbindung hergestellt werden soll.<br />
Hier<strong>für</strong> steht das CN-Feld (englisch Common Name, CN) zur Verfügung; weitere Namen<br />
können im subjectAltNames-Feld (siehe auch [RFC2818]) hinterlegt werden. In der Praxis<br />
wird jedoch vorrangig das CN-Feld berücksichtigt, sodass hier auf einen korrekten<br />
Eintrag geachtet werden sollte. Im Regelfall wird in dieses Feld der Fully Qualified Domain<br />
Name (FQDN) des Servers eingetragen.<br />
• Die Abfrage von Zertifikatssperrlisten (englisch Certificate Revocation List, CRL), d. h.<br />
Listen widerrufener Zertifikate sollte möglichst genutzt werden. Diese Sperrlisten können<br />
entweder statisch oder dynamisch zur Verfügung stehen (z. B. via LDAP oder HTTP).<br />
Sofern das Online Certificate Status Protocol (OCSP) unterstützt wird, ist dieses den<br />
Sperrlisten vorzuziehen, da die Abfragen in Echtzeit erfolgen und zusätzlich gefälschte<br />
von nicht gesperrten Zertifikaten unterschieden werden können. OCSP kann auch mit<br />
herkömmlichen Sperrlisten nach CRL-Standard kombiniert werden.<br />
• Das Ablaufdatum der Zertifikate sollte bei jeder Verwendung überprüft werden. Dies gilt<br />
auch <strong>für</strong> die Zertifikatskette einschließlich des Wurzelzertifikats (englisch root certificate).<br />
Abgelaufene Zertifikate gelten dabei als nicht länger vertrauenswürdig und ein Verbindungsaufbau<br />
sollte dementsprechend nicht durchgeführt werden. Das Ablaufdatum<br />
kann durch entsprechende Netzwerküberwachungsdienste automatisiert überwacht werden.<br />
Vor Ablauf des Zertifikats kann entsprechend eine Benachrichtigung erfolgen, sodass<br />
eine frühzeitige Erneuerung beantragt werden kann.<br />
7.2.5 Beidseitige Authentisierung<br />
Im Regelfall wird eine SSL/TLS-basierte Authentisierung nur einseitig durchgeführt, d. h. der<br />
Server authentisiert sich gegenüber dem Client. Für den erhöhten Schutzbedarf und bei Server-zu-Server<br />
Verbindungen sollte jedoch eine beidseitige Authentisierung erfolgen, auch<br />
bekannt unter dem Namen MTLS (Mutual TLS). Dies ist z. B. beim IP-<strong>Anlagen</strong>anschluss der<br />
Fall, siehe Kapitel 2.4.<br />
7.2.6 Nicht benötigte Root-Zertifikate entfernen<br />
Aufgrund der besonderen Vertrauensstellung zu einer Zertifizierungsstelle innerhalb einer<br />
PKI sollten nur die benötigten Root-Zertifikate eingebunden werden, alle weiteren Root-<br />
Zertifikate sollte man entfernen. Wird zu einem späteren Zeitpunkt ein solches Zertifikat<br />
benötigt, kann dieses entsprechend importiert werden. Hier<strong>für</strong> sind die Hinweise bezüglich<br />
des Imports von Zertifikaten zu beachten.<br />
262 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7.2.7 Zertifikatsimport<br />
7 Anhang<br />
Für den Import der Zertifikate gilt es insbesondere den Fingerabdruck (englisch: fingerprint)<br />
sorgfältig zu prüfen, da dieser die Korrektheit des Zertifikats sicherstellen soll. In der Praxis<br />
finden sich häufig zwei Fingerabdrücke, die mit unterschiedlichen Hash-Funktionen gebildet<br />
werden; üblich sind ein SHA-1- und ein MD5-Fingerabdruck.<br />
Der Fingerabdruck sollte dabei über einen anderen Kanal als das Zertifikat übertragen werden,<br />
um Manipulationsversuche zu verhindern. Dabei wird empfohlen, dass der Kanal durch<br />
kryptografische Verfahren gesichert ist (Beispiel: PGP-verschlüsselte E-Mail).<br />
7.3 VPN-Techniken<br />
7.3.1 Begriffsklärung<br />
Der Begriff des VPN (Virtual Private Network) deutet bereits auf die wesentlichen Eigenschaften<br />
eines VPN hin: VPN sind privat und virtuell.<br />
„Privat“ bedeutet in diesem Zusammenhang, dass ein solches Netzwerk von anderen Netzen<br />
durch geeignete technische Maßnahmen separiert ist. Somit können Kommunikationsverbindungen<br />
auf der Basis von VPN-Techniken in der gleichen Weise genutzt werden wie<br />
eigene, exklusiv genutzte physikalische Leitungen wie z. B. Fest- oder Wählverbindungen. In<br />
derartigen privaten Netzen kann eine völlig unabhängige Administration des Netzes erfolgen;<br />
so kann z. B. die Netzadresse selbst gewählt und deren Struktur ohne weitere Rücksprache<br />
mit den Betreibern anderer Netze festgelegt werden.<br />
Gleichzeitig ist dieses private Netz jedoch nur „virtuell“ vorhanden, da die zu Grunde liegende<br />
physikalische Netzinfrastruktur in Wirklichkeit nicht exklusiv, sondern von mehreren<br />
solchen Netzen gemeinsam genutzt wird.<br />
VPN werden zur Abbildung verschiedener Szenarien genutzt, die sich lediglich durch die zu<br />
nutzenden Endpunkte der VPN-Verbindung unterscheiden (siehe Abbildung 44):<br />
• Site-to-Site-VPN<br />
Ein Site-to-Site VPN verbindet zwei LANs über ein unsicheres Trägernetzwerk miteinander,<br />
z. B. kann so eine sichere, LAN-ähnliche Verbindung zwischen einer Außenstelle<br />
einer Unternehmung und der Hauptstelle geschaffen werden.<br />
• End-to-Site-VPN oder Client-to-Site-VPN<br />
Häufigster Einsatzfall <strong>für</strong> End-to-Site-VPNs ist die sichere Anbindung von Mitarbeitern<br />
im Home-Office<br />
• End-to-End-VPN oder Host-to-Host-VPN<br />
Mittels End-to-End-VPN bauen zwei Endgeräte direkt miteinander eine VPN-<br />
Verbindung auf, ein typischer Einsatzfall ist die sichere Verbindung von zwei Servern<br />
über ein unsicheres Trägernetzwerk.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 263
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Diese unterschiedlichen VPN-Szenarien können mit den im Folgenden beschriebenen Techniken<br />
realisiert werden:<br />
• IP-basierte VPN (kurz IP-VPN) setzen das Vorhandensein einer zu Grunde liegenden<br />
Netzinfrastruktur auf Basis des Internet Protocol (IP) voraus. Diese reale Netzinfrastruktur<br />
dient als Trägernetz <strong>für</strong> alle darauf abgebildeten virtuellen Netze. Die bereits erwähnte<br />
Abschottung verschiedener solcher VPNs gegeneinander erfolgt dabei durch Verwendung<br />
von Tunnel-Verfahren.<br />
• SSL-basierte VPN (kurz SSL-VPN) nutzen als zu Grunde liegende Infrastruktur grundsätzlich<br />
das Internet. Die das VPN bildenden Tunnel werden auf der Basis eines Standard-Browsers<br />
realisiert und je nach zu nutzender Applikation durch Plug-Ins ergänzt.<br />
LAN<br />
VPN-<br />
Verbindung<br />
Abbildung 44: VPN-Szenarien<br />
Transit-Netzwerk<br />
VPN-<br />
Verbindung<br />
VPN-GW<br />
VPN-<br />
Verbindung<br />
LAN<br />
VPN-GW<br />
LAN<br />
Wesentliche Vorteile von VPNs sind Synergien bei der Nutzung des Trägernetzes und insbesondere<br />
die Möglichkeit, durch Verwendung entsprechender Tunnelverfahren ansonsten im<br />
Trägernetz nicht vorhandene <strong>Sicherheit</strong>smechanismen bereitzustellen.<br />
264 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7.3.2 Tunneling<br />
7.3.2.1 Tunnel-Prinzip<br />
7 Anhang<br />
Tunneling beschreibt eine Methode, Daten eines Netzprotokolls A mit Hilfe eines anderen<br />
Netzprotokolls B durch ein Netzwerk zu transportieren. Dabei bildet das Datenpaket des<br />
Protokolls A die Nutzlast (Payload) des Protokolls B, d. h. der Datenteil des Protokolls B<br />
enthält das vollständige Paket des Protokolls A. Aus Sicht von an diesem Vorgang unbeteiligten<br />
Komponenten, die auf Basis des Netzprotokolls B arbeiten, ist der Tunnelanfang<br />
der Absender und das Tunnelende der Empfänger dieses Pakets.<br />
Das Grundprinzip ist in Abbildung 45 illustriert. Das Datenpaket des Protokolls A (Payload)<br />
wird innerhalb des Tunnels in ein Paket des Protokolls B „eingepackt“ (gekapselt).<br />
Abbildung 45: Prinzip des Tunneling<br />
Folgender Ablauf ist allen Tunnelverfahren gemeinsam:<br />
Die Netzsysteme TA (Tunnelanfang) und TE (Tunnelende) unterstützen sowohl Protokoll<br />
A als auch Protokoll B. TA ist so konfiguriert, dass Datenpakete des Protokolls A <strong>für</strong> bestimmte<br />
Ziele durch einen Protokoll-B-Tunnel zu TE transportiert werden. Empfängt TA<br />
ein zu tunnelndes Paket, so erzeugt es ein Paket des Protokolls B mit TA als Absender,<br />
TE als Empfänger und dem ursprünglichen Paket als Datenteil; dieses Paket wird auf Basis<br />
des Protokolls B zu TE transportiert. TE entfernt alle hinzugefügten Header und sendet<br />
das wiederhergestellte Paket des Protokolls A an das ursprüngliche Ziel.<br />
Dieser Tunneling-Mechanismus funktioniert auch mehrmals hintereinander, d. h. es sind auch<br />
ineinander geschachtelte Tunnel möglich.<br />
Für VPNs in IP-basierten Umgebungen stellt sich das Verfahren wie folgt dar:<br />
Die Datenpakete des lokalen Netzprotokolls (IP) werden am Tunnelanfang (z. B. TA =<br />
dezentrales VPN-Gateway) verschlüsselt und in IP-Pakete, die im Trägernetz geroutet<br />
werden können, eingepackt. Am Tunnelende (z. B. TE = zentrales VPN-Gateway) werden<br />
die Protokoll-Header des Trägernetzes entfernt und entschlüsselt. Danach wird das<br />
originale Datenpaket jenseits des Tunnels weitergeleitet.<br />
7.3.2.2 Tunnel-Protokolle<br />
Grundsätzlich kommen verschiedene Tunnelprotokolle in Frage, die alle weit verbreitet bzw.<br />
sogar standardisiert sind, sodass von einer hohen Produkt-Kompatibilität ausgegangen werden<br />
kann. Sie unterscheiden sich allerdings insbesondere hinsichtlich der unterstützten Si-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 265
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
cherheits-Features, was einen Einsatz in einer Umgebung mit erhöhtem <strong>Sicherheit</strong>sbedarf<br />
beeinflusst:<br />
• GRE (Generic Routing Encapsulation)<br />
• L2TP (Layer 2 Tunneling Protocol)<br />
In Umgebungen mit erhöhten <strong>Sicherheit</strong>sanforderungen kommen GRE und L2TP als alleinige<br />
Protokolle nicht in Frage, da diese Protokolle keine Verschlüsselung unterstützen.<br />
• PPTP (Point to Point Tunneling Protocol)<br />
PPTP bietet zwar einen Schutz der Kommunikation durch Verschlüsselung, allerdings<br />
sind immer wieder Implementierungs-Schwächen aufgedeckt worden, sodass auch die<br />
Variante mit 128 Bit RC4 <strong>für</strong> Umgebungen mit erhöhtem <strong>Sicherheit</strong>sbedarf nicht in Betracht<br />
kommt (siehe [SMW99]).<br />
• IPsec-Tunnel-Modus (Internet Protocol Security, kurz IPsec)<br />
IPsec ist seit etlichen Jahren spezifiziert und im praktischen Einsatz. Es bietet zum jetzigen<br />
Zeitpunkt die besten Voraussetzungen <strong>für</strong> sichere Kommunikation mit höchstem<br />
Kompatibilitätsgrad (siehe [RFC4301]).<br />
Das Verfahren L2TP over IPsec (kurz L2TP/IPsec), das in RFC 3193 spezifiziert wird,<br />
verwendet einen speziellen Ansatz. Hier wird ein L2TP-Tunnel verwendet, der zusätzlich<br />
durch IPsec (im Transportmodus) abgesichert wird (siehe [RFC3193]).<br />
• SSL-Tunneling<br />
SSL ist als <strong>Sicherheit</strong>sprotokoll seit einigen Jahren bekannt und im Einsatz zur Absicherung<br />
von Internet-Verbindungen, z. B. Online-Banking. Es bietet <strong>für</strong> ein End-to-<br />
Site-Szenario gute Voraussetzungen <strong>für</strong> eine Client-unabhängige VPN-Anbindung.<br />
7.3.3 IPsec-VPN<br />
7.3.3.1 Funktionsweise von IPsec<br />
IPsec bietet zwei Mechanismen zum Schutz der Ende-zu-Ende-Kommunikation in unsicheren<br />
IP-Netzen (meist das Internet):<br />
• Eine Integritätsprüfung <strong>für</strong> IP-Pakete verhindert die Manipulation oder Fälschung von IP-<br />
Paketen durch Unberechtigte.<br />
• Die Verschlüsselung des Paketinhalts verhindert das Ausspähen von Daten.<br />
Die <strong>Sicherheit</strong>smechanismen werden durch zwei spezielle Paket-Header realisiert bzw. kontrolliert:<br />
• Der AH (Authentication Header) sichert durch eine kryptografische Prüfsumme die Integrität<br />
des Pakets (siehe [RFC4302]).<br />
• Der ESP (Encapsulating Security Payload) steuert über darin enthaltene Informationen<br />
die korrekte Entschlüsselung der kryptografisch geschützten Payload (siehe [RFC4303]).<br />
266 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
Beide Header können entweder einzeln oder auch kombiniert angewandt werden, wobei man<br />
zwischen Tunnelmodus und Transportmodus unterscheidet.<br />
Der Tunnelmodus arbeitet nach dem in Kapitel 7.3.2 beschriebenen Tunneling-Prinzip (siehe<br />
Abbildung 46).<br />
Abbildung 46: IPsec im Tunnelmodus<br />
Im Transportmodus werden bei ESP lediglich die Daten und Header des Transport-Layer<br />
geschützt. Es erfolgt keine Encapsulation der IP-Header, sondern der IPsec-Header wird<br />
hinter dem originären IP-Header in das Original-Datagramm eingefügt (siehe Abbildung 47).<br />
Dieser Modus ist <strong>für</strong> die Absicherung von Peer-to-Peer-Kommunikationsverbindungen konzipiert<br />
und eignet sich wegen der Notwendigkeit, trägernetzkonforme Adressen zu verwenden,<br />
nur dann zum Aufbau von VPNs, wenn er mit einem Tunnel-Protokoll (z. B. L2TP)<br />
kombiniert wird.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 267
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Verwendung von<br />
Authentication Haeder<br />
(AH)<br />
Verwendung von<br />
Encapsulation Security<br />
Payload (ESP)<br />
Original<br />
IP-Header<br />
Original<br />
IP-Header<br />
Abbildung 47: IPsec im Transportmodus<br />
Original<br />
IP-Header<br />
AH<br />
TCP/UDP<br />
TCP/UDP<br />
Daten<br />
Daten<br />
Durch AH-Prüfsumme geschützter Bereich<br />
Original<br />
IP-Header<br />
ESP-<br />
Header<br />
TCP/UDP<br />
TCP/UDP<br />
Daten<br />
Daten<br />
Durch Verschlüsselung geschützter Bereich<br />
Durch ESP-Prüfsumme geschützter Bereich<br />
ESP-<br />
Trailer<br />
ESP-<br />
Prüfsumme<br />
Die zum Einsatz der kryptografischen Verfahren, auf denen die Schutzwirkung der IPsec-<br />
Mechanismen beruht, notwendigen Parameter (welcher Algorithmus, welche Schlüssel, ...)<br />
werden entweder bei der Konfiguration der beteiligten Kommunikationssysteme festgelegt<br />
oder aber zwischen den Beteiligten über ein geeignetes Protokoll ausgehandelt.<br />
Hier kommt in aller Regel IKEv1 (Internet Key Exchange) – eine pragmatische Teilmenge<br />
vom ISAKMP (Internet Security Association and Key Management Protocol) – zum Einsatz.<br />
Zukünftig ist eine Umstellung auf die Weiterentwicklung IKEv2, die bereits sei Ende 2005<br />
verabschiedet ist, zu erwarten.<br />
7.3.3.2 Grenzen und Probleme bei IPsec<br />
IPsec hat sich heute weitestgehend durchgesetzt, insbesondere zur Bildung von Site-to-Site-<br />
VPNs existieren keine nennenswerten Alternativen. Dennoch hat IPsec derzeit noch Einschränkungen.<br />
Zwei wesentliche Aspekte, die im Zusammenhang mit dem Einsatz von IPsec<br />
bzw. IPsec-basierten VPN-Lösungen zu beachten sind, werden im Folgenden kurz dargelegt.<br />
Benutzer-Authentisierung<br />
IPsec unterstützt per se keine benutzerbezogene Identitätsüberprüfung. Im Fall einer transparenten<br />
Site-to-Site-Kopplung über zwei VPN-Gateways wird eine Benutzer-<br />
Authentisierung in aller Regel nicht benötigt. Eine solche Kopplung entspricht letztlich einer<br />
herkömmlichen WAN-Verbindung, die im Normalfall auch transparent Übertragungsdienste<br />
zur Verfügung stellt. Eine eventuell gewünschte zusätzliche Steuerung im Sinne einer benutzerbezogenen<br />
Autorisierung kann in solchen Fällen z. B. durch Einsatz von Firewall-<br />
Technik erreicht werden.<br />
268 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
Häufig wird ein VPN hingegen zur Realisierung einer RAS-Lösung eingesetzt, d. h. als Endto-Site-VPN<br />
genutzt, oder zur Realisierung von Szenarien wie z. B. zur Absicherung von<br />
WLANs, bei denen generell auch bei transparentem Netzzugriff eine Prüfung der Nutzeridentität<br />
vorgesehen ist. Für derartige VPN-Szenarien gelten dann die gleichen Anforderungen<br />
an die Stärke der Benutzerauthentisierung wie beim klassischen Dial-In. Hier<br />
muss die in IPsec nicht unmittelbar verfügbare Benutzerauthentisierung über zusätzliche<br />
Maßnahmen erreicht werden. Im Wesentlichen bestehen folgende Möglichkeiten, eine Identifizierung<br />
des jenseitigen Benutzers zu gewährleisten:<br />
• Verwendung von Zertifikaten zur Systemidentifizierung und Bindung dieser Zertifikate<br />
an einen Benutzer, z. B. mittels Smartcard, auf der das Zertifikat abgelegt ist<br />
• Durchführung einer, in der Regel proprietären, Authentisierung im Rahmen des Tunnelaufbaus,<br />
d. h. während der IKE-Phase; z. B. kann im Schutz des IKE-Tunnels eine Username/Password-Abfrage<br />
durch den VPN-Gateway durchgeführt werden<br />
• Einsatz von geschachtelten Tunneln, bei denen ein Tunnelmechanismus Benutzerauthentisierung<br />
unterstützt, z. B. L2TP over IPsec<br />
• Nachgelagerte Authentisierung an einer Firewall, d. h. der Tunnel wird auf der Basis der<br />
Systemidentifikation etabliert, aber eine nachgelagerte Firewall verlangt im Rahmen der<br />
Autorisierung eine Authentisierung auf Benutzerebene<br />
Einsatz von NAT<br />
Network Address Translation (NAT) hat in der Vergangenheit ein großes Problem beim<br />
Einsatz von VPN-Mechanismen auf IPsec-Basis dargestellt. Der Hauptgrund hier<strong>für</strong> war, dass<br />
der Authentication Header, der die Integrität der übertragenen Pakete sicherstellt die IP-<br />
Adressen des Pakets in die Prüfsummenberechnung mit einbezieht. Eine nachträgliche Manipulation<br />
einer der originalen Adressen führt somit beim Empfänger des IPsec-Pakets zu einer<br />
negativen Prüfsummenverifikation und damit zum Verwerfen des empfangenen Pakets.<br />
Mit NAT Traversal (NAT-T) wurde ein Verfahren entwickelt, das die wesentlichen praxisrelevanten<br />
Probleme löst. NAT-T ist seit Anfang 2005 spezifiziert und in vielen Netzwerken<br />
im Einsatz (siehe [RFC 3947] und [RFC 3948]).<br />
7.3.3.3 Funktionsweise von L2TP over IPsec<br />
Das Layer 2 Tunneling Protocol (L2TP) stellt eine Weiterentwicklung des Point to Point<br />
Tunneling Protocol (PPTP) dar, welches keine Marktbedeutung mehr hat.<br />
L2TP kapselt die Payload in PPP-Frames, die wiederum auf UDP-Basis in IP-Pakete verpackt<br />
werden. Da PPP die Basis des Protokolls darstellt, bietet L2TP – anders als IPsec – insbesondere<br />
eingebaute Verfahren zur Benutzerauthentisierung sowie zur Datenkompression.<br />
Eine Verschlüsselung ist optional definiert, wird jedoch in der Praxis kaum verwendet.<br />
Stattdessen wendet u. a. die in Windows 2000 und Windows XP eingebaute VPN-Lösung zur<br />
Client-Anbindung das L2TP/IPsec-Verfahren an (siehe [RFC3193]).<br />
Bei L2TP/IPsec wird zunächst eine IPsec-geschützte Kommunikationsbeziehung zwischen<br />
Client und VPN-Server etabliert. Diese verwendet ESP im Transportmodus (siehe Abbildung<br />
47). Im Schutze dieser Verschlüsselung erfolgt dann der Aufbau des L2TP-Tunnels, über den<br />
sowohl die Netzkonfiguration (IP-Adresszuweisung) als auch der Datentransport erfolgt.<br />
Hierdurch wird eine zweistufige Authentisierung erreicht:<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 269
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
• Im ersten Schritt authentisieren sich die Computer beim Aufbau der IPsec-Verbindung.<br />
• Im zweiten Schritt authentisieren sich die Benutzer beim Aufbau des L2TP-Tunnels.<br />
Für die Computerauthentisierung kommen üblicherweise X.509-Zertifikate und <strong>für</strong> die Benutzerauthentisierung<br />
beliebige PPP-Authentisierungsprotokolle zum Einsatz. Da bei entsprechender<br />
Konfiguration zur Computerauthentisierung zwingend Zertifikate notwendig<br />
sind, wird aus <strong>Sicherheit</strong>ssicht ein zusätzlicher Steuerungsmechanismus erforderlich: Durch<br />
die Entscheidung, welche Computer ein entsprechendes Zertifikat erhalten, wird festgelegt,<br />
welche Computer am VPN teilnehmen dürfen. Anders als beispielsweise im Falle von PPTP<br />
kann so verhindert werden, dass Benutzer mit beliebigen und womöglich unsicheren PCs<br />
VPN-Verbindungen ins Unternehmensnetz aufbauen. Voraussetzung hier<strong>für</strong> ist natürlich, dass<br />
die entsprechenden Zertifikate von Benutzern nicht auf andere Computer übertragen werden<br />
können, was bei Windows grundsätzlich gewährleistet ist.<br />
7.3.3.4 Authentisierung: IKEv1 und IKEv2<br />
Bei IP-VPNs ist eine gegenseitige Authentisierung während der beim Aufbau der IPsec-<br />
Verbindung ablaufenden IKE-Aushandlungen vorgesehen. Dabei handelt es sich in der ursprünglichen<br />
IKE-Spezifikation (IKEv1) jedoch ausschließlich um eine System-<br />
Authentisierung; die Authentisierung von Benutzern ist dort nicht vorgesehen. Um eine solche<br />
in Client-to-Gateway-Szenarien dennoch leisten zu können, erfolgt – herstellerspezifisch<br />
– eine Erweiterung des standardisierten Aushandlungsprozesses um ein entsprechendes Authentisierungsprotokoll.<br />
Grundsätzlich können bei IKE – ggf. unter Verwendung einer solchen<br />
Erweiterung – Pre-Shared Keys (PSKs) und X.509-Zertifikate verwendet werden. Andere<br />
<strong>für</strong> die Verwendung bei IKE nicht standardisierte Authentisierungsmerkmale wie z. B.<br />
OTPs (One-Time-Password) unter Nutzung von geeigneten Kombinationen von RADIUS-<br />
und OTP-Servern, erfreuen sich jedoch weiterhin großer Beliebtheit. Während manuell konfigurierte<br />
Pre-Shared Keys bei VPN-Verbindungen zwischen zwei Gateways durchaus noch<br />
ihre Berechtigung haben, stellen sie bei der Nutzer-Authentisierung im Rahmen einer Client-<br />
Anbindung bereits bei einer geringen Anzahl von Clients ein nicht unerhebliches <strong>Sicherheit</strong>srisiko<br />
dar.<br />
IKEv1<br />
Das Internet Key Exchange Protocol (IKE) ist das Standard-Verfahren zur gegenseitigen<br />
Authentisierung sowie zum Austausch und zur Bereitstellung von Security Associations in<br />
IPsec-Implementierungen (siehe [RFC4109]).<br />
IKE handelt sowohl seine eigenen als auch die IPsec-SAs aus und verwaltet diese ebenso wie<br />
die dort spezifizierten Parametersätze. Der Schlüsselaustausch verwendet das Diffie-Hellman-<br />
Verfahren mit Authentisierung. Zur Authentisierung können entweder Pre-Shared-Keys oder<br />
ein Public-Key-Verfahren wie z. B. RSA verwendet werden. Die Authentisierung stellt dabei<br />
den Schutz der jeweiligen Identität gegen Spoofing-Attacken sicher.<br />
IKE unterscheidet verschiedene Modi:<br />
• Phase 1 - Main Mode bzw. Aggressive Mode als Alternative zum Main Mode<br />
• Phase 2 - Quick Mode<br />
270 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Phase 1 – Main Mode<br />
Der Main Mode dient der Aushandlung der IKE-SAs (Security Association) und der zugehörigen<br />
Parameter. Er läuft in drei Schritten ab, in denen insgesamt sechs Nachrichten<br />
ausgetauscht werden.<br />
7 Anhang<br />
Im ersten Schritt werden die Methoden, die im Folgenden zum Einsatz kommen sollen, sowie<br />
notwendige Parameter, die nicht geschützt werden müssen, ausgetauscht. Dieser erste Nachrichtenaustausch<br />
erfolgt ungeschützt. Im Einzelnen werden festgelegt:<br />
• das Verschlüsselungsverfahren <strong>für</strong> den weiteren Verlauf (Main Mode, Quick Mode),<br />
• der Hash-Algorithmus <strong>für</strong> den weiteren Verlauf (Main Mode, Quick-Mode),<br />
• die Authentisierungsmethode <strong>für</strong> den weiteren Verlauf des Main Mode,<br />
• die Diffie-Hellman-Gruppe.<br />
Zur Aushandlung eines <strong>für</strong> beide Seiten akzeptablen Parametersatzes unterbreitet der Initiator<br />
der Verhandlung der Gegenseite („Responder“) einen oder mehrere Vorschläge, aus denen<br />
letzterer einen auswählt. Ist keiner der Vorschläge <strong>für</strong> den Responder akzeptabel, so beendet<br />
dieser die Kommunikation.<br />
Initiator<br />
Abbildung 48: IKEv1 – Aushandeln der IKE-SA (Main Mode, Schritt 1)<br />
Im zweiten Schritt wird Schlüsselmaterial <strong>für</strong> die vereinbarten Algorithmen, insbesondere <strong>für</strong><br />
den symmetrischen Verschlüsselungsalgorithmus, mit Hilfe des Diffie-Hellman-Verfahrens<br />
ausgetauscht.<br />
Abbildung 49: IKEv1 – Austausch der Schlüsselinformationen (Main Mode, Schritt 2)<br />
Initiator<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 271<br />
Responder<br />
Responder
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Zusätzlich können in diesem Schritt bei Bedarf weitere Informationen ausgetauscht werden,<br />
die zur Durchführung des dritten Schritts benötigt werden. Dies können abhängig vom jeweiligen<br />
Authentisierungsverfahren z. B. Challenge-Werte (sogenannte „Nonces“), die Anforderung<br />
eines Zertifikats oder ähnliches sein. Zum Teil gehen diese Informationen mit in<br />
die Generierung von Schlüsselmaterial <strong>für</strong> den dritten Schritt ein, dies betrifft insbesondere<br />
die Nonce-Werte.<br />
Im dritten Schritt werden die jeweiligen Identitäten ausgetauscht und mit dem im ersten<br />
Schritt spezifizierten Verfahren authentisiert – je nach Authentisierungsverfahren kann die<br />
Identität auch bereits im vorangegangenen Schritt mitgeteilt worden sein. Dieser Austausch<br />
erfolgt bereits unter dem Schutz des ausgehandelten Verschlüsselungsverfahrens. Dies ist<br />
möglich, da zuvor bereits alle zur Schlüsselerzeugung notwendigen Informationen übermittelt<br />
wurden.<br />
Abbildung 50: IKEv1 – Austausch der Identitäts- und Authentisierungsdaten (Main Mode, Schritt 3)<br />
Initiator<br />
Phase 1 – Aggressive Mode<br />
Zur Abkürzung dieses mehrstufigen Verfahrens dient der Aggressive Mode. Er kommt mit<br />
weniger Nachrichten aus (drei anstelle von sechs), da er mehrere Informationsgruppen zusammengefasst<br />
überträgt. Er weist allerdings den Nachteil auf, dass er eben infolge dieser<br />
Informationsbündelung unsicherer ist als der Main Mode.<br />
Außerdem schränkt er die Wahlmöglichkeiten <strong>für</strong> Parameter ein. Daher ist sein Einsatz nur in<br />
wenigen Szenarien empfehlenswert, insbesondere in End-to-Site-Szenarien: Der Aggressive<br />
Mode bietet hier, anders als der Main Mode, die Unterstützung dynamischer IP-<br />
Adresszuweisung an Clients in Verbindung mit der Systemauthentisierung auf Basis von<br />
Shared Secrets.<br />
272 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik<br />
Responder
Phase 2 – Quick Mode<br />
Abbildung 51: IKEv1 - Nachrichtenaustausch im Aggressive Mode<br />
1. SA-<br />
Vorschlag<br />
SA-<br />
Auswahl<br />
2. SA-<br />
Vorschlag<br />
Schlüsseldaten<br />
Schlüsseldaten<br />
ID<br />
Authentisierungsdaten<br />
ID<br />
Auth.-<br />
Daten<br />
7 Anhang<br />
Der Quick Mode wird zur Aushandlung der eigentlichen IPsec-SAs genutzt. Er benötigt wie<br />
der Aggressive Mode nur drei Nachrichten je SA. Im Falle des Quick Mode stellt diese Bündelung<br />
jedoch keinerlei <strong>Sicherheit</strong>srisiko dar, da der Prozess unter dem Schutz der während<br />
des Main Mode ausgehandelten <strong>Sicherheit</strong>smechanismen abläuft.<br />
Im Einzelnen handelt der Prozess die <strong>für</strong> IPsec gültigen Parameter <strong>für</strong> die jeweilige SA aus,<br />
tauscht Daten zur Herleitung von Session-Keys aus und legt optional fest, <strong>für</strong> welche Datenaustausche<br />
die SA verwendet werden soll.<br />
Abbildung 52: IKEv1 – Aushandeln der IPsec-SAs (Quick Mode)<br />
Integr.-<br />
Daten<br />
Integr.-<br />
Daten<br />
1. SA-<br />
Vorschlag<br />
SA-<br />
Auswahl<br />
2. SA-<br />
Vorschlag<br />
Schlüsseldaten<br />
Integritätsprüfungsdaten<br />
Schlüsseldaten<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 273<br />
ID<br />
ID
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
IKEv2<br />
IKEv2 wurde im Dezember 2005 als Nachfolger von IKEv1 verabschiedet und wird dieses<br />
Protokoll langfristig ablösen (siehe [RFC4306]). Mit den in IKEv2 spezifizierten Mechanismen<br />
sollen einige Schwächen von IKEv1 behoben werden und die Implementierung von<br />
IPsec-Tunneln vereinfacht werden.<br />
Aufgrund der vielfältigen Änderungen im IKE-Protokoll ist die IKE Version 2 nicht rückwärtskompatibel<br />
zur IKE Version 1, jedoch soll ein Parallelbetrieb beider Versionen problemlos<br />
möglich sein.<br />
Die wesentlichen Veränderungen im Vergleich zu IKEv1 sind:<br />
• Verzicht auf verschiedene Phasen, IKEv2 nutzt lediglich eine Phase <strong>für</strong> alle auszutauschenden<br />
Daten.<br />
• Die Anzahl der erforderlichen Nachrichten wurde von einer Mindestanzahl von neun auf<br />
lediglich vier Nachrichten zum Aushandeln der <strong>Sicherheit</strong>sparameter reduziert.<br />
• Die Nutzung von NAT Traversal <strong>für</strong> entsprechende Szenarien ist in IKEv2 integraler<br />
Bestandteil der Spezifikation.<br />
• Ein Erreichbarkeitstest (Dead Peer Detection, DPD) ist in IKEv2 ebenfalls direkt in die<br />
Spezifikation aufgenommen.<br />
• Einführung eines standardisierten Feldes (Configuration Payload), um die Zuteilung einer<br />
virtuellen IP-Adresse sowie die Mitteilung von DNS- und WINS-Serveradressen zu realisieren.<br />
Dieser ersetzt den nicht standardisierten „Config Mode“, der bei vielen IKEv1-<br />
Implementierungen zum Einsatz kommt.<br />
• Unterstützung eines hybriden Authentisierungsmodus in einem RAS-Szenario:<br />
• Authentisierung des zentralen VPN-Gateway mit einer durch ein Zertifikat beglaubigten<br />
RSA-Signatur<br />
• Authentisierung der Clients mit Pre-Shared Keys (PSKs)<br />
Hierdurch sollen Man-in-the-Middle-Szenarien nach potenziell erfolgreichem Wörterbuch-<br />
bzw. Brute-Force-Angriff auf den PSK ausgeschlossen werden.<br />
• Übermittlung des Zertifikats lediglich durch Senden der Zertifikats-URL.<br />
• Unterstützung von Client-Authentisierungsmechanismen wie RADIUS, SecurID usw.<br />
durch Nutzung des Extensible Authentication Protocol (EAP) mittels EAP Payload (Legacy<br />
authentication; dies ersetzt die bisherigen proprietären Protokollerweiterungen wie<br />
z. B. XAUTH)<br />
• Vereinfachte Nutzung in mobilen Szenarien, in denen häufig IP-Adressen und L2-<br />
Adressen gewechselt werden müssen, durch die Ergänzung eines Mobility and Multihoming<br />
Protocol (MOBIKE); bei IKEv1 müssen alle SAs bei einem Adresswechsel neu<br />
ausgehandelt werden.<br />
274 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
• Verwendung expliziter Traffic Selectors, die den von der auszuhandelnden IPsec-SA<br />
erfassten Datenverkehrs nach Adressen bzw. Ports beschreiben – unter IKEv1 musste<br />
dies fest konfiguriert und zwingend bei beiden Partner identisch sein.<br />
IKEv2 gewährleistet wie IKEv1 den Aufbau von IKE-SAs und IPsec-SAs – letztere werden<br />
nunmehr als Child-SAs bezeichnet – auf der Basis von Public-Key-Kryptoverfahren (Diffie-<br />
Hellman). Die IKE-SA und die erste IPsec-SA werden im Idealfall innerhalb von vier Nachrichten<br />
ausgehandelt. Weitere Child-SAs können mit jeweils weiteren zwei Nachrichten<br />
ausgehandelt werden.<br />
Zunächst erfolgt die unverschlüsselte Initialisierung der IPsec-Verbindung mit der Aushandlung<br />
der verwendeten <strong>Sicherheit</strong>s-Algorithmen sowie der Vereinbarung des hier<strong>für</strong> erforderlichen<br />
gemeinsamen Schlüssels. Der in IKEv1 noch vorgeschaltete Austausch von<br />
Cookies entfällt; durch diese sollten DoS-Attacken durch Bindung von Ressourcen infolge<br />
der rechenintensiven asymmetrischen Kryptoalgorithmen verhindert werden. Da dergleichen<br />
Attacken in Praxis aber kaum vorkamen, sieht IKEv2 einen entsprechenden Mechanismus nur<br />
noch bei festgestellten Anzeichen <strong>für</strong> einen Angriff vor. In diesem Fall wird der<br />
Kommunikationspartner zum Austausch von Cookies mit anschließender Neuaushandlung der<br />
IKE-SA aufgefordert.<br />
Abbildung 53: IKEv2 – Initialisierung der IPsec-Verbindung (IKE-SA)<br />
Während der Initialisierung wird die Identität der Kommunikationspartner nicht im IKE-Paket<br />
übertragen.<br />
Nach einer erfolgreichen Initialisierung erfolgt der weitere Austausch von Nachrichten, insbesondere<br />
die noch erforderliche gegenseitige Authentisierung, verschlüsselt und integritätsgeschützt.<br />
In IKEv2 wird während der Authentisierung bereits eine erste Child-SA <strong>für</strong> die<br />
nachfolgende Kommunikation über die IPsec-Protokolle (ESP, AH, IPcomp) ausgehandelt.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 275
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Abbildung 54: IKEv2 – Authentisierung und Aushandeln der IPsec-SA<br />
Weitere IPsec-SAs <strong>für</strong> eine IKE-SA können in zusätzlichen Nachrichten-Paaren ausgehandelt<br />
werden; eine Änderung der zu nutzenden Schlüssel ist ebenfalls im Rahmen dieses Nachrichtenaustauschs<br />
möglich.<br />
Abbildung 55: IKEv2 – Aushandeln einer weiteren IPsec-SA (Child-SA)<br />
Neben einem Test der Erreichbarkeit des Kommunikationspartners wird mit dem in<br />
Abbildung 56 dargestellten Nachrichtenpaar die Übermittlung von Fehlermeldungen, von zu<br />
löschenden Verbindungen sowie eventueller Konfigurationsparameter <strong>für</strong> Clients durchgeführt.<br />
276 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7.3.3.5 IP Version 6<br />
Abbildung 56: IKEv2 – Benachrichtigungen<br />
7 Anhang<br />
Die derzeit üblichen IP-VPNs basieren sämtlich auf einer IPv4-Infrastruktur. Mit der Umstellung<br />
der zu Grunde liegenden Infrastruktur auf IPv6 wird ein IP-VPN zu einem IPv6-<br />
VPN, d. h. ein IPv6-VPN ist am Tunnelanfang und am Tunnelende an ein natives IPv6-<br />
Interface angeschlossen.<br />
Die <strong>für</strong> IP-VPNs erforderlichen Mechanismen sind bereits in der Spezifikation <strong>für</strong> IPv4 und<br />
IPv6 ausgelegt. IPsec wurde sogar zunächst ausschließlich als integraler Bestandteil von IPv6<br />
definiert und erst nachträglich <strong>für</strong> IPv4 nutzbar gemacht. Spezielle Mechanismen <strong>für</strong> die<br />
Einrichtung von IPv6-VPNs sind somit nicht erforderlich.<br />
7.3.4 SSL-VPN<br />
SSL-VPN sollen – so der Tenor aller Hersteller – neben einer möglichst geringen Komplexität<br />
der Lösung vor allem den Vorzug haben, in weiten Einsatzbereichen ohne spezielle Client-<br />
Software auszukommen. Dies vereinfacht den Ausrollvorgang erheblich, reduziert die notwendige<br />
Schulung von Benutzern auf ein Minimum und erhöht die Flexibilität hinsichtlich<br />
der Client-Auswahl. Die marktverfügbaren SSL-VPN gehen dazu von einem Terminalserver-<br />
Ansatz aus, bei dem als Client ein Standard-Web-Browser zum Zugriff auf bestimmte Applikationen<br />
zum Einsatz kommt. Dieser Ansatz musste allerdings mit steigenden Ansprüchen an<br />
die Flexibilität der Nutzung erweitert werden, um z. B. File Sharing zu ermöglichen.<br />
Neben diesem – kommerziell forcierten – Ansatz existieren auch Open-Source-Projekte, die<br />
einen transparenten Netzzugriff, ähnlich wie bei IPsec-basierten VPN, unter Verwendung von<br />
Tunneln realisieren.<br />
7.3.4.1 Kommerzielle Ansätze <strong>für</strong> SSL-VPN auf Browser-Basis<br />
Produktspezifische Mechanismen existieren hier in großer Vielfalt. Die nachfolgende kurze<br />
Beschreibung der gängigsten technischen Ansätze <strong>für</strong> Browser-basierte SSL-VPN kann daher<br />
nur einen groben Überblick bieten.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 277
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Grundprinzip<br />
Anders als IPsec-VPN verwenden SSL-VPN in ihrer Grundform keinen speziellen Client,<br />
sondern nutzen den bereits auf praktisch allen in Frage kommenden Endgeräten vorhandenen<br />
Web-Browser. Damit der User mit Hilfe eines Standard-Browsers über ein SSL-VPN zentrale<br />
Ressourcen nutzen kann, benötigen diese Ressourcen ein Web-Front-End – die jeweilige<br />
Anwendung muss „Web-enabled“ sein.<br />
Ein Beispiel <strong>für</strong> eine solche Anwendung ist der OWA-Dienst (Outlook Web Access). OWA<br />
ist eine Anwendung, die unter Zuhilfenahme eines Web-Servers dem Browser als Web-Client<br />
einen Zugriff auf Exchange-Server ermöglicht. Dabei greift allerdings der Browser nicht<br />
direkt auf den Exchange-Server zu, sondern er übermittelt die Benutzer-Aktion (etwa Klicken<br />
des Send-Button) per HTTP/HTTPS an den OWA-Server, der dann entsprechend auf den<br />
Exchange-Server zugreift.<br />
Abbildung 57: SSL-VPN <strong>für</strong> E-Mail mit Outlook Web Access<br />
Bei diesem Beispiel dient der Browser also nur zur Visualisierung der Vorgänge65 , die<br />
eigentlich auf dem OWA-Server ablaufen. Es gibt grundsätzlich verschiedene Möglichkeiten,<br />
ein solches Web-Front-End bereitzustellen:<br />
• Erweiterung des Anwendungs-Servers um eine solche Funktion<br />
• Vorschaltung eines anwendungsspezifischen Gateways (wie beim OWA-Beispiel) auf<br />
Basis eines Web-Servers<br />
• Vorschaltung eines Web-basierten Terminalservers – dieser muss <strong>für</strong> die gewünschten<br />
Applikationen entsprechende Front-Ends beinhalten<br />
Um den eigentlichen Applikationsserver nicht zu überlasten – vor allem die Verschlüsselung<br />
bei SSL-basierter Kommunikation geht zu Lasten der Leistungsfähigkeit – empfehlen sich die<br />
beiden letztgenannten Ansätze. Ein weiterer Vorteil der Verwendung vorgelagerter Systeme<br />
ist die Möglichkeit, den Web-Access auch <strong>für</strong> solche Anwendungen bereitzustellen, bei denen<br />
der Server sich da<strong>für</strong> prinzipbedingt eher schlecht oder auch gar nicht eignet. Darüber hinaus<br />
sind auch spezielle VPN-Gateways verfügbar, die die Absicherung von ansonsten nicht hinreichend<br />
„VPN-tauglichen“ Web-Applikationen 66 übernehmen können und auch erweiterte<br />
65 Überhaupt ähneln SSL-VPN-Lösungen sehr stark Terminalserver-Ansätzen, nicht zuletzt deshalb funktionieren<br />
umgekehrt Terminalserver ausgezeichnet auf der Basis von Browser-Clients.<br />
66 Dazu zählen z. B. auch beliebige Intranet-Anwendungen.<br />
278 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Zugriffsmöglichkeiten <strong>für</strong> Applikationen bereitstellen, <strong>für</strong> die kein Web-basierter Zugriff<br />
verfügbar ist.<br />
Erweiterungen<br />
7 Anhang<br />
Nicht immer reichen die Standardmechanismen des Browsers aus, denn je nach Applikation<br />
benötigt der Browser eine Erweiterung seiner Möglichkeiten, die ihm allerdings zur Laufzeit<br />
mittels entsprechender Plug-Ins (etwa in Form von Java-Applets oder ActiveX-Controls)<br />
verabreicht werden können.<br />
Browser-PC<br />
IP HTTPS IP<br />
Abbildung 58: Erweiterter VPN-Zugriff mittels Plug-In<br />
Connect<br />
Plug-In<br />
Applikationsdaten<br />
SSL-VPN-Gateway<br />
IP<br />
Applikationsdaten<br />
Server<br />
Üblicherweise verbindet sich hier<strong>für</strong> der Nutzer zunächst mittels seines Browsers mit einem<br />
Webportal auf dem Gateway. Im ersten Schritt wird der Server über ein entsprechendes Zertifikat<br />
authentisiert und eine SSL-verschlüsselte HTTP-Verbindung aufgebaut. Durch diese<br />
Verbindung geschützt, wird im zweiten Schritt der Benutzer vom Portal aufgefordert, sich zu<br />
authentisieren – hier steht je nach Produkt eine Vielzahl verschiedener Authentisierungsmechanismen<br />
zur Verfügung. Nachdem die Authentisierung erfolgreich abgeschlossen ist,<br />
erhält der Nutzer Zugriff auf alle Applikationen, die <strong>für</strong> den Nutzer freigegeben wurden, und<br />
kann diese herunterladen.<br />
7.3.4.2 OpenVPN als Alternativansatz<br />
OpenVPN ist ein Open Source Projekt und verfolgt einen technologisch anderen Ansatz als<br />
die bisher beschriebenen kommerziellen Lösungen.<br />
Anders als die meisten Anbieter von SSL-VPN-Lösungen fokussiert OpenVPN nicht die<br />
Notwendigkeit eines speziellen Clients als Hauptproblem von IPsec-basierten VPNs, sondern<br />
die Komplexität, die damit verbundenen Inkompatibilitäten und die technischen Probleme<br />
von IPsec.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 279
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Folgerichtig nutzt auch OpenVPN einen entsprechenden speziellen Client, der allerdings SSL<br />
als Schutzmechanismus nutzt und Kernel-nahe Systemmodifikationen vermeidet. Die damit<br />
verbundenen technischen wie auch administrativen Probleme werden so vermieden.<br />
Das Grundprinzip dieses Ansatzes ist die Verwendung virtueller Netzadapter, welche die zu<br />
übertragenden Bits aus dem Kernel Space des Systems in den sogenannten User Space transferieren,<br />
wo sie durch „beliebige“ Applikationen modifiziert werden können. Beim VPN-<br />
Ansatz erfolgt diese Modifikation in Form eines Verkapseln in UDP bzw. TCP und Sichern<br />
mittels SSL.<br />
Da die entsprechende VPN-Applikation nicht im Kernel Space residiert, gestaltet sich die<br />
Installation erheblich konfliktärmer als bei IPsec, das zwangsläufig den IP-Stack selbst modifiziert.<br />
Ein weiterer Vorteil ist, dass die OpenVPN-Applikation mit anderen VPN-<br />
Mechanismen koexistieren kann – sogar mit einem IPsec-Client.<br />
Bei der Einrichtung des OpenVPN wird der virtuelle Netzadapter wie ein normales Netzinterface<br />
konfiguriert und als Routingpfad <strong>für</strong> das über das VPN erreichbare Netz eingerichtet.<br />
Die von der jeweiligen Anwendung generierten Daten werden an das virtuelle Interface gesendet.<br />
Dieses wiederum übermittelt diese an die OpenVPN-Applikation, die die Kapselung<br />
und Absicherung vornimmt. Anschließend sendet die OpenVPN-Applikation das gekapselte<br />
Paket an die echte Netzwerkschnittstelle, die sie über das Netz überträgt. Auf der Empfängerseite<br />
läuft dieser Prozess in umgekehrter Reihenfolge ab.<br />
Neben OpenVPN existieren noch diverse weitere ähnliche Projekte, die nach dem gleichen<br />
Prinzip arbeiten.<br />
7.3.4.3 Authentisierung und Verschlüsselung bei SSL-VPNs<br />
HTTPS (Hypertext Transfer Protocol Secure) ist ein Protokoll zur Übertragung sensitiver,<br />
d. h. schützenswerter Informationen über das Web. Es basiert auf HTTP, schützt jedoch die<br />
übertragenen Informationen mit Hilfe der SSL-Technologie (Secure Sockets Layer).<br />
SSL ist als zusätzliches Protokoll zwischen TCP und HTTP angesiedelt (siehe Kapitel 7.2).<br />
Es leistet sowohl eine gegenseitige Authentisierung von Client und Server als auch den<br />
Schutz der Vertraulichkeit sowie der Integrität der übertragenen Daten durch kryptografische<br />
Verfahren. SSL verwendet wie praktisch alle aktuellen Verschlüsselungslösungen eine Hybridtechnik:<br />
• Die Datenübertragung erfolgt auf der Basis eines zwischen Client und Server auszuhandelnden<br />
symmetrischen Kryptoalgorithmus (typischerweise RC4);<br />
• der dazu erforderliche symmetrische Schlüssel wird während der Verhandlungsphase<br />
unter Einsatz asymmetrischer Kryptoalgorithmen (RSA, DH) zwischen den Kommunikationspartnern<br />
vereinbart. Während dieses Handshakes erfolgt gleichzeitig die (optional<br />
gegenseitige) Authentisierung.<br />
Die Authentisierung ist üblicherweise mehrstufig implementiert. Den ersten Schritt stellt<br />
hierbei die Authentisierung des SSL-Servers durch den SSL-Client während des SSL-<br />
Handshake dar. Sofern der Benutzer ebenfalls über ein geeignetes Zertifikat verfügt, kann er<br />
optional in seiner Funktion als SSL-Client auf die gleiche Weise durch den SSL-Server au-<br />
280 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
thentisiert werden. Von dieser Funktion wird in SSL-VPN-Szenarien allerdings selten Gebrauch<br />
gemacht.<br />
Der Server übermittelt sein Zertifikat an den Client, der dieses auf Gültigkeit überprüft, ein<br />
sogenanntes Pre-Master Secret kreiert und Public Key-Mechanismen nutzt, um dieses Secret<br />
<strong>für</strong> den Server zu verschlüsseln und anschließend an diesen zu übermitteln. Auf diese Weise<br />
wird einerseits die Authentisierung des Servers, andererseits der Austausch eines Secret erreicht,<br />
welches im nächsten Schritt als Grundlage <strong>für</strong> den Aufbau einer verschlüsselten SSL-<br />
Verbindung genutzt wird. Voraussetzung hier<strong>für</strong> ist, dass der Server über ein gültiges X.509-<br />
Zertifikat verfügen muss, dessen Aussteller der Client vertraut.<br />
Statt die Benutzerauthentisierung während des SSL-Handshake durchzuführen, wird diese<br />
üblicherweise in einer zweiten Stufe nachgeholt: Beim Zugriff auf Ressourcen, beispielsweise<br />
auf das Webportal des VPN-Gateways. Hierbei können je nach Gateway-Produkt eine Vielzahl<br />
verschiedener Authentisierungsmerkmale eingesetzt werden, beispielsweise OTPs,<br />
X.509-Zertifikate, AD-Benutzer und –Passwort; als Authentisierungsprotokoll wird häufig<br />
RADIUS eingesetzt.<br />
Da der Entwickler der Browser-Software natürlich nicht im Vorfeld weiß, welche Ziele der<br />
Anwender mit seinem Browser ansteuern wird, besitzt dieser in der Regel Zertifikate der<br />
gängigen Certificate Authorities, denen er vertraut. Auf Windows-Rechnern sind hierzu CA-<br />
Zertifikate vieler öffentlicher Trust-Center (z. B. VeriSign, Deutsche Telekom, TC TrustCenter)<br />
bereits im Lieferumfang des Betriebssystems enthalten. Kann der Server ein Zertifikat<br />
vorlegen, das von einer dieser CAs ausgestellt wurde, wird es vom Browser akzeptiert. Ansonsten<br />
muss der Browser (d. h. der Anwender) dem Server-Zertifikat ohne Beglaubigung<br />
vertrauen oder ggf. ein neues Zertifikat einer weiteren CA importieren.<br />
Genauso wie beim IP-VPN gilt: Werden native Client-Applikationen in Kombination mit<br />
einem <strong>für</strong> die Applikation transparenten (in diesem Fall durch SSL geschützten) Tunnel genutzt,<br />
so finden weitere Authentisierungsvorgänge statt, die völlig unabhängig von den zuvor<br />
geschehenen sind – welche Protokolle und Verfahren hierbei genutzt werden, ist wieder davon<br />
abhängig, welche Clienttypen auf welche Ressourcen zugreifen.<br />
7.3.4.4 Grenzen und Probleme bei SSL<br />
SSL hat sich heute als Alternative in bestimmten Einsatzbereichen durchgesetzt, insbesondere<br />
zur Bildung von Client-unabhängigen End-to-Site-VPNs. Dennoch haben auch die browserbasierten<br />
SSL-VPNs Einschränkungen, die insbesondere bei Nutzung von Fremdsystemen die<br />
<strong>Sicherheit</strong> des Netzwerkes gefährden:<br />
• Da die Vertrauenswürdigkeit von Fremdsysteme nur unzureichend sicherzustellen ist,<br />
steigt die Gefahr sprunghaft an, dass ein Nutzer über ein solches Fremdsystem Malware<br />
ins eigene Netzwerk einschleust oder Angriffe ermöglicht.<br />
• Eine aus Sicht eines VPN höchst sicherheitskritische Eigenschaft von Browsern ist das<br />
Caching geladener Informationen. Die Daten werden ausschließlich während ihres<br />
Transports über das Internet vor unbefugtem Zugriff geschützt.<br />
Wird der Browser-Cache eines Clients in einem öffentlichen Bereich, z. B. einem Internet<br />
Café nicht zuverlässig geleert, kann der nachfolgende Anwender auf die angezeigten Inhalte<br />
ebenfalls zugreifen.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 281
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Ein sicherer Schutz gegen solche Angriffe ist ausschließlich die Bereitstellung eines vollständig<br />
gesäuberten Clients <strong>für</strong> jeden neuen Anwender.<br />
• Auch die <strong>Sicherheit</strong>sprobleme, die durch einen zu sorglosen Umgang der Nutzer mit dem<br />
Fremdsystem bzw. den genutzten Daten resultieren, können nur durch die Bereinigung<br />
des Fremdsystems nach jeder Nutzung verhindert werden. Hierzu gehören insbesondere<br />
das unbeabsichtigte lokale Speichern von Daten oder auch das Nicht-Beenden von Browser-Sitzungen.<br />
• SSL-VPNs gelten im Prinzip als „clientless“, da der zum Zugriff verwendete Browser<br />
bereits als Standard-Anwendung auf allen in Frage kommenden Clientsystemen vorinstalliert<br />
ist. Jedoch erfordern viele Applikationen den Einsatz zusätzlicher Plug-Ins oder<br />
Applets, die zur Laufzeit auf den Client geladen werden. Die Nutzbarkeit dieser Applikationen<br />
bedingt dann jedoch entsprechend umfassende Rechte des Benutzers.<br />
7.3.5 Abgrenzung: VPN-Techniken auf Layer 2<br />
7.3.5.1 MPLS<br />
Das Multiprotocol Label Switching (MPLS), eine Weiterentwicklung des Tag-Switching der<br />
Firma Cisco Systems, ist mittlerweile als Standard im Bereich der IP-Switching-Technologie<br />
<strong>für</strong> hochperformante Provider-Netzwerke etabliert (siehe [RFC3031]). Derzeit werden von<br />
allen großen Carriern bzw. Providern bevorzugt MPLS-basierte Produkte zum Aufbau von<br />
Weitverkehrsnetzen <strong>für</strong> Kunden angeboten – insbesondere im internationalen Bereich.<br />
Wesentliche Eigenschaften von MPLS sind:<br />
• Mandantenfähigkeit durch integrierte VPN-Mechanismen,<br />
• gute Skalierbarkeit,<br />
• QoS-Ansätze auf der Basis von Priorisierungsmechanismen sowie<br />
• eine weitestgehende Autokonfiguration durch Selbstlernmechanismen zur Verringerung<br />
des Administrationsaufwandes.<br />
MPLS-Netze basieren meist auf IP-Routernetzen. Für die verschiedenen Mandantennetze und<br />
Kommunikationsziele fügt MPLS Kennungen (sogenannte Label) in die zu transportierenden<br />
Datenpakete ein. Die Datenweiterleitung innerhalb einer MPLS-Struktur erfolgt dann ausschließlich<br />
auf der Basis dieser Label.<br />
Somit wird pro Mandant ein eigenes virtuelles Netzwerk, d. h. ein VPN, eingerichtet. Das<br />
MPLS-Forwarding ist vollständig von den genutzten IP-Adressen innerhalb des VPN entkoppelt.<br />
Darüber hinaus sind auch die IP-Adressstrukturen verschiedener VPNs gegeneinander<br />
vollständig entkoppelt, sodass Überlappungen der Adressbereiche wie auch der<br />
Routingprozesse problemlos möglich sind.<br />
MPLS unterscheidet sich in wesentlichen Punkten von den in Kapitel 7.3.3 und 7.3.4 beschriebenen<br />
tunnelbasierten IP-VPNs:<br />
• MPLS stellt dem Anwender QoS zur Verfügung, wenn auch nur in Ansätzen.<br />
282 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
• Die Flexibilität beim VPN-Design ist bei MPLS erheblich eingeschränkt, da der Anwender<br />
sich analog zu klassischen Layer-2-VPNs an einen bestimmten Carrier/Provider<br />
und dessen Infrastruktur bindet.<br />
• Die <strong>Sicherheit</strong> der Technologie ist analog zu den Layer-2-VPNs zu bewerten: In MPLS-<br />
Netzen ist keine Vertraulichkeit gegeben, da MPLS keinerlei Verschlüsselung und Authentisierung<br />
vorsieht. Maßnahmen zur Sicherung der Vertraulichkeit können teilweise<br />
durch den Provider bereitgestellt werden, jedoch begibt sich der Mandant damit in eine<br />
deutliche Abhängigkeit von einem Provider.<br />
Mandant 1<br />
Mandant 2<br />
Abbildung 59: Mandantennetze in MPLS-Struktur<br />
VPN-<br />
Gateway<br />
VPN-<br />
Gateway<br />
7.3.5.2 PPP-basierte VPNs<br />
PPTP<br />
Mandant 2 Mandant 1<br />
Mandant 1<br />
VPN-<br />
Gateway<br />
MPLS-Netz des Providers<br />
VPN-<br />
Gateway<br />
VPN-<br />
Gateway<br />
VPN-<br />
Gateway<br />
Mandant 2<br />
VPN-<br />
Gateway<br />
VPN-<br />
Gateway<br />
Mandant 2<br />
Mandant 1<br />
Das Point-to-Point Tunneling Protocol (PPTP) wurde von Microsoft und einer Reihe anderer<br />
Herstellerfirmen (unter anderem Ascend, 3Com, ECI Telematics) entwickelt, um eine höhere<br />
Flexibilität <strong>für</strong> Dial-In-Lösungen zu erreichen.<br />
PPTP erlaubt es, eine PPP-Verbindung (Point-to-Point Protocol) über den physikalischen<br />
Zugangspunkt in das Netzwerk hinein zu verlängern. Neben der so erreichten Flexibilisierung<br />
der Dial-In-Lösung erlaubt PPTP somit auch den Aufbau von VPNs, indem den mittels PPTP<br />
definierten Tunnel bis zum Client verlängert.<br />
Das Protokoll kapselt PPP-Frames in IP-Datagramme unter Verwendung einer Variante der<br />
GRE, sodass als Transit-Netzwerke ausschließlich IP-basierte Netzwerk zum Einsatz kommen.<br />
Die sich aus dem Mechanismus ergebende geschachtelte Paketstruktur ist in Abbildung 60<br />
dargestellt. Man erkennt unmittelbar den mit dem Tunneling einhergehenden aber auch kaum<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 283
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
vermeidbaren Protokoll-Overhead, der sich jedoch durch Einsatz von Header-Compression-<br />
Mechanismen zumindest verringern lässt.<br />
Abbildung 60: PPTP-Protokollarchitektur am Beispiel eines PPTP-Dial-In-Clients<br />
PPTP unterscheidet sich in wesentlichen Punkten von den in Kapitel 7.3.3 und 7.3.4 beschriebenen<br />
tunnelbasierten IP-VPNs:<br />
• Die zu übertragenen Daten, die Payload, können komprimiert und/oder verschlüsselt<br />
werden. PPTP verwendet zur Verschlüsselung ein proprietäres Verfahren, Microsoft<br />
Point-to-Point Encryption (MPPE), das sich aufgrund diverser Implementierungs-<br />
Schwächen als anfällig gegen kryptoanalytische Attacken erwiesen hat.<br />
Aufgrund dieser Schwächen kommt der Einsatz von PPTP <strong>für</strong> Bereiche mit erhöhten <strong>Sicherheit</strong>sanforderungen<br />
nicht in Betracht.<br />
• Je Tunnel wird lediglich eine Kommunikationsverbindung unterstützt („Single Tunnel“),<br />
sodass <strong>für</strong> jede PPP-Verbindung, die über PPTP getunnelt werden soll, ein eigener PPTP-<br />
Tunnel aufgebaut werden muss.<br />
Diese Eigenschaft stellt in VPN-Szenarien, die Dial-In-Lösungen realisieren sollen, keine<br />
Einschränkung dar, da hier grundsätzlich <strong>für</strong> jede Kommunikationsbeziehung ein eigener<br />
Tunnel erforderlich ist.<br />
L2TP<br />
PPTP weist noch einige Einschränkungen auf, daher wurde ein weiteres Layer-2-Tunneling-<br />
Protokoll, das Layer 2 Tunneling Protocol (L2TP), definiert, das weit verbreitet ist (siehe<br />
[RFC3931])<br />
L2TP kapselt die zum Transport der Payload verwendeten PPP-Frames nach Bedarf so, dass<br />
sie wahlweise über IP, X.25, Frame Relay oder ATM (Asynchronous Transfer Mode) versandt<br />
werden können. Die Kommunikationsbeziehung via L2TP, d. h. der Tunnel, kann dabei<br />
sowohl zwischen dem Dial-In-Router und dem L2TP-Server als auch zwischen dem Client<br />
und dem L2TP-Server aufgebaut werden.<br />
Als Transitnetzwerk kommt jede der oben genannten Netzwerktechniken mit Unterstützung<br />
von Punkt-zu-Punkt-Verbindung in Frage. Im Spezialfall des Tunnelns über ein IP-Netz<br />
(L2TP over IP), das unter anderem auch den Aufbau von L2TP-Kommunikationstunneln über<br />
das Internet ermöglicht, wird als Transportschicht-Protokoll UDP eingesetzt.<br />
284 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
7 Anhang<br />
L2TP unterscheidet sich in wesentlichen Punkten von den in Kapitel 7.3.3 und 7.3.4 beschriebenen<br />
tunnelbasierten IP-VPNs:<br />
• Die PPP-Payload kann wahlweise komprimiert und/oder verschlüsselt werden. Die zunächst<br />
spezifizierte Verschlüsselungsoption wird allerdings in der Praxis nicht genutzt.<br />
Stattdessen wird generell empfohlen, zur Verschlüsselung von L2TP-Kommunikation<br />
IPsec einzusetzen (siehe [RFC3193]). Dabei kann IPsec als Sicherungsmechanismus innerhalb<br />
von L2TP dienen. Alternativ kann aber auch ein L2TP-Tunnel innerhalb einer<br />
IPsec-geschützten Kommunikationsbeziehung etabliert werden. Ein entsprechender Mechanismus<br />
wird auch als L2TP over IPsec bezeichnet (siehe Kapitel 7.3.3.3).<br />
• Anders als PPTP benötigt L2TP im Prinzip nur einen Tunnel zwischen z. B. Dial-In-<br />
Router und L2TP-Server, da innerhalb dieses Tunnels Multiplexing genutzt werden kann.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 285
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
286 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
8 Glossar<br />
8 Glossar<br />
AAA<br />
System von einem oder mehreren Servern, das <strong>für</strong> die Zugangskontrolle zum Netzwerk<br />
die Funktionen Authentication, Authorisation und Accounting (Authentisierung, Autorisierung<br />
und Abrechnung) realisiert. Die Kommunikation mit einem AAA-System geschieht<br />
typischerweise über das Protokoll RADIUS. Umgangssprachlich werden daher<br />
oft RADIUS-Server und AAA-Systeme gleich gesetzt.<br />
Access Point<br />
Funkfeststation <strong>für</strong> den Client-Zugang in WLAN. Ein Client meldet sich, in einem Assoziation<br />
genannten Vorgang, an einem Access Point an.<br />
ACL<br />
Mittels Access Control Lists (ACLs) steuern Betriebssysteme und Anwendungsprogramme<br />
Zugriffe auf Daten und Funktionen. Insbesondere werden ACLs auf Netzwerk-<br />
Komponenten (Router, Firewall) genutzt, um eine zulässige Kommunikation zu identifizieren.<br />
Advanced Encryption Standard (AES)<br />
Symmetrisches Verschlüsselungsverfahren mit einer variablen Schlüssellänge von 128,<br />
192 oder 256 Bit. AES bietet ein sehr hohes Maß an <strong>Sicherheit</strong>. Das Verfahren wurde<br />
eingehenden kryptoanalytischen Prüfungen unterzogen.<br />
ARP-Spoofing (auch ARP-Poisoning)<br />
ARP-Spoofing (auch ARP Request Poisoning genannt) wird das Senden von gefälschten<br />
ARP-Paketen genannt, durch welches das Abhören oder die Manipulation der Kommunikation<br />
zwischen zwei Netzwerk-Knoten ermöglicht wird. Ein solcher Angriff wird auch<br />
Man-In-The-Middle-Angriff genannt.<br />
Audio Codec (Sprachcodec)<br />
Ein Codec bezeichnet ein Verfahren, mit dem analoge Informationen in digitale Informationen<br />
umgewandelt werden. Ein Sprachcodec kodiert und dekodiert Sprachinformationen<br />
nach einem bestimmten Verfahren, wobei sowohl das sendende als auch<br />
das empfangende Gerät den gleichen Kodierungsstandard <strong>für</strong> die Sprachübertragung<br />
unterstützen müssen. Zusätzlich wird eine Datenkompression des digitalen Signals vorgenommen.<br />
Authentisierung<br />
Verifizierung der Identität einer Instanz, z. B. eines Benutzers oder eines Gerätes. Zweck<br />
ist oft die anschließende Autorisierung <strong>für</strong> Zugriffe. Ohne Authentisierung ist im Allgemeinen<br />
keine sinnvolle Autorisierung möglich.<br />
Authentication Server<br />
Derjenige Server, der die vom Benutzer übermittelten Authentifizierungsdaten verifiziert.<br />
Im Fall von RADIUS ist dies ein RADIUS-Server.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 287
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Bluetooth Special Interest Group (Bluetooth SIG)<br />
Interessengemeinschaft zahlreicher Unternehmen, die an der Entwicklung und Verbreitung<br />
der Bluetooth-Technologie interessiert sind; 1998 von Ericsson, IBM, Intel,<br />
Nokia und Toshiba ge-gründet; 1999 erweitert durch 3Com, Lucent, Microsoft und<br />
Motorola; Eigentümer des Bluetooth-Warenzeichens und Herausgeber der Bluetooth-<br />
Spezifikation.<br />
Cyclic Redundancy Code<br />
Prüfsumme über die zu übertragenden Daten, die in der Nachricht mitgeschickt wird und<br />
es dem Empfänger gestattet, Bitfehler, die auf dem Kommunikationskanal entstanden<br />
sind, zu erkennen.<br />
Denial of Service<br />
Ein Angriff vom Typ Denial of Service hat zum Ziel, die Arbeitsfähigkeit des angegriffenen<br />
Objekts möglichst stark zu reduzieren. Dies beinhaltet beispielsweise die<br />
systematische Überlastung eines Netzknotens durch unsinnigen Verkehr („Dummy<br />
Traffic“) oder die beabsichtigte Herbeiführung eines Fehlerzustands durch das Einspielen<br />
fehlerhafter Nachrichten.<br />
Data Encryption Standard (DES)<br />
Weit verbreiteter symmetrischer Verschlüsselungsalgorithmus; wird aufgrund der verwendeten<br />
Schlüssellänge von nur 56 Bit <strong>für</strong> viele Anwendungen als nicht ausreichend sicher<br />
erachtet. Die effektive Schlüssellänge kann durch Mehrfachanwendung des DES<br />
(siehe Triple DES, kurz 3DES) vergrößert werden.<br />
DMZ (Demilitarisierte Zone)<br />
Eine demilitarisierte Zone bezeichnet eine <strong>Sicherheit</strong>szone, die typischerweise zwischen<br />
geschütztem (internen) Netz und externem Netz (z. B. Internet) eingerichtet wird. Für<br />
diese <strong>Sicherheit</strong>szone gilt meist, dass in einem festgelegten Rahmen (d. h. kontrolliert<br />
durch eine Firewall) ein Zugriff aus dem externen Netz gestattet wird (öffentlich erreichbarer<br />
Bereich der IT-Infrastruktur).<br />
E.164<br />
Die Richtlinie E.164 spezifiziert international die Gestaltung der Rufnummern zwischen<br />
den nationalen Telefonnetzen, insbesondere die Bestandteile einer internationalen Telefonnummer,<br />
die maximale Anzahl von Stellen sowie die internationalen Vorwahlen.<br />
EAP<br />
Das Extensible Authentication Protocol (EAP) ist ein Rahmen (Framework) <strong>für</strong> die Verwendung<br />
von Authentifizierungsmethoden. Es wird u. a. <strong>für</strong> PPP oder auch in Verbindung<br />
mit EAPOL unter IEEE 802.1X verwendet.<br />
EAP over LAN (EAPOL)<br />
EAP over LAN (EAPOL) ist ein Verfahren zur Verwendung von EAP auf Layer 2 über<br />
Lokale Netzwerke (LANs) wie z. B. IEEE 802.3 (Ethernet) oder IEEE 802.11 (WLAN).<br />
EAP-Transport-Layer Security (EAP-TLS)<br />
EAP-Methode, die Zertifikate zur gegenseitigen Authentisierung benutzt<br />
288 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
8 Glossar<br />
European Telecommunications Standards Institute (ETSI)<br />
Gemeinnütziges Institut, welches europaweite einheitliche Standards im Bereich der Telekommunikation<br />
spezifiziert.<br />
GPRS<br />
GPRS, General Packet Radio Service, ist ein paketorientierter Übertragungsdienst zur<br />
mobilen Datenkommunikation. Es können Daten mit bis zu 115,2 kbit/s übertragen werden.<br />
IEEE<br />
Das IEEE, Institute of Electrical and Electronics Engineers, ist eine Organisation von<br />
Personen aus Elektrotechnik und Ingenieurwesen und ist die weltweit führende Organisation<br />
<strong>für</strong> die Standardisierung im Bereich der Elektronik und der Informationstechnik. Bekannteste<br />
Standards sind die Standards IEEE 802.x <strong>für</strong> LANs.<br />
IEEE 802.11<br />
WLAN-Standard des IEEE, der sich international durchgesetzt hat und inzwischen meist<br />
mit dem Begriff WLAN gleichgesetzt<br />
IEEE 802.1X<br />
Standard des IEEE zur portbasierten Netzwerkzugangskontrolle unter Verwendung von<br />
EAP. Findet auch Anwendung unter IEEE 802.11i zur Absicherung von WLANs.<br />
IETF<br />
Die IETF, Internet Engineering Task Force, ist ein internationales Gremium aus Fachleuten<br />
der Informationstechnik, welches die Internet-Spezifikationen erarbeitet. Die<br />
Dokumente heißen RFC (Request for Comments) und sind durchnummeriert. RFCs<br />
haben aus historischen Gründen zwar Empfehlungscharakter, faktisch jedoch sind sie<br />
normativ.<br />
Internettelefonie<br />
Internettelefonie bezeichnet die Telefon-Kommunikation über das weltweite Internet.<br />
Häufig wird die Internettelefonie mit der IP-Telefonie, dem Telefonieren über IP-<br />
Netzwerk mittels Voice over IP, gleichgesetzt.<br />
Intrusion Prevention System (IPS)<br />
Ein IPS bietet die Möglichkeit unerwünschte Zugriffe, Inhalte und Angriffe zu erkennen<br />
und zu unterbinden. Sobald das IPS einen Verstoß gegen die vereinbarten Regeln erkennt,<br />
erfolgen eine Protokollierung, eine Meldung an den Administrator und eine Unterbrechung<br />
der als Angriff erkannten Kommunikation.<br />
ISM-Frequenzband<br />
Lizenzfrei nutzbare Frequenzbänder, die <strong>für</strong> industrielle, wissenschaftliche und medizinische<br />
Zwecke verwendet werden können (ISM = Industrial-Scientific-Medical)<br />
ITU<br />
Die Internationale Fernmeldeunion in Genf, eine Unterorganisation der Vereinten Nationen,<br />
erstellt Richtlinien <strong>für</strong> die technischen Aspekte der Telekommunikation.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 289
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Pre-Shared Key (PSK)<br />
Ein PSK ist ein vorab vereinbarter bzw. verteilter Schlüssel, der bis zur Verteilung eines<br />
neuen PSK <strong>für</strong> jede Verbindung verwendet wird<br />
Man-In-The-Middle-Attacke<br />
Der Angreifer positioniert sich zwischen zwei Kommunikationspartner und täuscht beiden<br />
Parteien vor, der jeweils erwartete eigentliche Partner zu sein. Dabei kann der Man in<br />
the Middle den Dialog zwischen den beiden Parteien belauschen oder auch verfälschen.<br />
Ziel ist oft die Ermittlung von Passwörtern.<br />
NIC-Bonding / NIC-Teaming<br />
NIC-Bonding bezeichnet das Zusammenfassen mehrerer physikalischer Interfaces zu einem<br />
logischen Interface. Ebenfalls bezeichnet NIC-Teaming das Bündeln von Netzwerk-<br />
Interfaces <strong>für</strong> Redundanz und Lastverteilung.<br />
Personal Identification Number (PIN)<br />
Konfigurierbare, auf beiden Geräten gleiche Identifikation zur Erzeugung eines Initialisierungsschlüssels<br />
PPP<br />
Point to Point Protocol. Protokoll zur Übertragung von IP-Paketen über Punkt-zu-Punkt-<br />
Verbindungen (insbesondere Modemstrecken). Beinhaltet auch die Prozeduren <strong>für</strong> den<br />
Aufbau der Kommunikationsbeziehung, etwa die Authentisierung mit PAP oder CHAP.<br />
Shared Secret<br />
In der Praxis stellen Shared Secrets (gemeinsames Geheimnis) oftmals die einfachste<br />
Form dar, eine gesicherte Kommunikationsbeziehung zu etablieren, indem das gemeinsame<br />
Geheimnis <strong>für</strong> kryptografische Operationen auf beiden Seiten benutzt wird,<br />
z. B. als symmetrischer Schlüssel zur Verschlüsselung der zu übertragenden Daten<br />
RSA<br />
RSA ist ein populärer Public-Key-Algorithmus, der nach seinen Erfindern R. Rivest, A.<br />
Shamir und L. Adleman benannt ist.<br />
Smartphone<br />
Smartphones bezeichnen Mobiltelefone, die mit einem erweiterbaren Betriebssystem,<br />
z. B. durch zusätzliche Applikationen, ausgestattet sind. Bekannteste Smartphone-<br />
Plattformen sind PalmOS und Windows Mobile.<br />
SOAP<br />
SOAP ist ein Protokoll zum Austausch XML-basierter Nachrichten über das insbesondere<br />
auch die Funktion eines Remote Procedure Call (RPC) realisiert werden kann.<br />
Softphone<br />
Softphones bieten die Möglichkeit, über einen Computer zu telefonieren. Um ein<br />
Softphone zu benutzen, muss ein Computer mit Soundkarte, Mikrofon und Lautsprecher<br />
ausgestattet sein.<br />
290 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
8 Glossar<br />
Syslog<br />
Syslog [RFC3164] dient der Übermittlung von Log-Nachrichten in einem IP-basierten<br />
Netz. Diese Nachrichten können sowohl lokal auf dem System verarbeitet werden als<br />
auch an entfernte Syslog-Server übermittelt werden.<br />
Triple DES (3DES)<br />
Bei 3DES werden drei DES-Chriffrierer hintereinander geschaltet, wobei der mittlere<br />
DES-Chriffrierer invers eingebaut ist.<br />
UMTS<br />
UMTS, Universal Mobile Telecommunications System bezeichnet den Mobilfunkstandard<br />
der 3. Generation (3G). Mit UMTS sind schnelle Datenübertragungen, bis zu 2<br />
MBit/s und komplexe Multimedia-Anwendungen möglich.<br />
Video Codec<br />
Ein Video Codec kodiert und dekodiert Videoinformationen nach einem bestimmten Verfahren,<br />
wobei sowohl das sendende als auch das empfangende Gerät den gleichen Kodierungsstandard<br />
<strong>für</strong> die Datenübertragung unterstützen müssen.<br />
VLAN<br />
Logisches LAN, gebildet aus einer Gruppe von Stationen. Werden mehrere VLAN auf<br />
einem physikalischen Medium übertragen, werden die Pakete durch Kennzeichnung mit<br />
der VLAN-ID (11 Bit lange VLAN-Nummer, Tag genannt) den verschiedenen VLAN<br />
zugeordnet. Diesen Vorgang bezeichnet man auch als VLAN-Tagging.<br />
VoIP-Systeme<br />
Systeme, z. B. Telefone oder PCs mit Smartphone-Anwendung, die eine Sprachkommunikation<br />
über VoIP durchführen.<br />
Wi-Fi (Wireless Fidelity)<br />
Wi-Fi stellt ein Gütesiegel der Wi-Fi Alliance dar, welches bestätigt, dass ein Gerät gewisse<br />
Interoperabilitäts- und Konformitätstests bestanden hat (z. B. WPA). Die Wi-Fi Alliance<br />
ist ein Herstellerkonsortium, das basierend auf IEEE 802.11 mit Wi-Fi einen Industriestandard<br />
geschaffen hat.<br />
Wi-Fi Protected Access (WPA)<br />
Von der Wi-Fi Alliance veröffentlichter Standard, der auf einem Draft zu IEEE 802.11i<br />
basiert und aufwärtskompatibel zu IEEE 802.11i ist; die Folgeversion WPA2 deckt alle<br />
zwingenden Anforderungen von IEEE 802.11i ab<br />
WLAN<br />
Wireless Local Area Network sind lokale Funknetze, die meist gemäß den Standards der<br />
IEEE 802.11-Familie realisiert ist. WLANs bieten derzeit typischerweise Geschwindigkeiten<br />
von bis zu 54 MBit/s.<br />
Zertifikat<br />
Von einer Certificate Authority beglaubigter öffentlicher Schlüssel, der einer Person oder<br />
einem Objekt zugeordnet ist.<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 291
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
292 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
9 Literatur<br />
9 Literatur<br />
[3GPP07] 3GPP TS 43.318, „Generic Access Network (GAN)“, V8.0.0, November 2007,<br />
verfügbar unter ftp://ftp.3gpp.org/Specs/archive/43_series/43.318/<br />
[BMI06] Bundesministerium des Innern, „UfAB IV - Unterlage <strong>für</strong> die Ausschreibung<br />
und Bewertung von IT-Leistungen“, Version 1.0, Schriftenreihe der Koordinierungs-<br />
und Beratungsstelle der Bundesregierung <strong>für</strong> Informationstechnik in der<br />
Bundesverwaltung (KBSt), Band 90, November 2006, verfügbar unter<br />
http://www.kbst.bund.de/<br />
[BSI03] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „GSM-Mobilfunk – Gefährdungen<br />
und <strong>Sicherheit</strong>smaßnahmen“, 2003, verfügbar unter<br />
http://www.bsi.de/literat/doc/gsm/index.htm<br />
[BSI05a] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „VoIPSEC – Studie zur<br />
<strong>Sicherheit</strong> von Voice over Internet Protocol“, 2005, verfügbar unter<br />
http://www.bsi.de/literat/studien/VoIP/index.htm<br />
[BSI05b] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „<strong>Technische</strong> Richtlinie<br />
<strong>Sichere</strong>s WLAN“ Teil 1 - 3: SecuMedia Verlag, 2005<br />
[BSI05c] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „BSI-Standard 100-3<br />
Risikoanalyse auf der Basis von IT-Grundschutz, Version 2.0“, 2005, verfügbar<br />
unter http://www.bsi.de/literat/bsi_standard/standard_1003.pdf<br />
[BSI06a] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „Mobile Endgeräte und<br />
mobile Applikationen: <strong>Sicherheit</strong>sgefährdungen und Schutzmaßnahmen“, 2006,<br />
verfügbar unter http://www.bsi.de/literat/doc/mobile/index.htm<br />
[BSI06b] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „Drahtlose Kommunikationssysteme<br />
und ihre <strong>Sicherheit</strong>saspekte“, September 2006, verfügbar unter<br />
http://www.bsi.de/literat/doc/drahtkom/index.htm<br />
[BSI07] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „Studie über die Nutzung<br />
von Log- und Monitoringdaten im Rahmen der IT-Frühwarnung und <strong>für</strong> einen<br />
sicheren IT-Betrieb“, Dezember 2007,<br />
http://www.bsi.de/literat/studien/logdaten/logdatenstudie.pdf<br />
[BSIG07] Bluetooth Special Interest Group, „Specification of the Bluetooth System Version<br />
2.1 + EDR”, Juli 2007, verfügbar unter<br />
http://www.bluetooth.com/Bluetooth/Technology/Basics.htm<br />
[BSIGSK] <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik, „IT-Grundschutz-<br />
Kataloge“, verfügbar unter http://www.bsi.bund.de/gshb<br />
[E.164] ITU-T, E.164, „The international public telecommunication numbering plan”,<br />
2005<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 293
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
[EN300175] ETSI EN 300 175-1, 300 175-2 bis 300 175-8, European Standard (Telecommunications<br />
Series), Digital Enhanced Cordless Telecommunications (DECT),<br />
Common Interface (CI), Part 1 bis Part 8<br />
[EN300444] ETSI EN 300 444, Generic Access Profile (GAP)<br />
[EN300449] ETSI EN 301 649, DECT Packet Radio Service (DPRS)<br />
[EN301650] ETSI EN 301 650, DECT Multimedia Access Profile (DMAP)<br />
[ES282001] ETSI ES 282 001, „Telecommunications and Internet converged Services and<br />
Protocols for Advanced Networking (TISPAN); NGN Functional Architecture”,<br />
ETSI Standard, V2.0.0, März 2008; verfügbar unter http://www.etsi.org<br />
[FIPS00] National Institute of Standards and Technology, „Digital Signature Standard<br />
(DSS)”, Januar 2000,<br />
http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf<br />
[FLUH01] S. R. Fluhrer und S. Lucks: Analysis of the E_0 Encryption System, Selected<br />
Areas in Cryptography, Lecture Notes in Computer Science 2259, Seiten 38-48,<br />
Springer-Verlag, 2001<br />
[H.225.0] ITU-T, H.225, „Call signalling protocols and media stream packetization for<br />
packet-based multimedia communication systems“, Juni 2006, verfügbar unter<br />
http://www.itu.int/rec/T-REC/e<br />
[H.235.0] ITU-T, H.235,0, „H.323 security: Framework for security in H series (H.323 and<br />
other H.245-based) multimedia systems“, September 2005, verfügbar unter<br />
http://www.itu.int/rec/T-REC/e<br />
[H.245] ITU-T, H.245, „Control protocol for multimedia communication“, Mai 2006,<br />
verfügbar unter http://www.itu.int/rec/T-REC/e<br />
[H.248.1] ITU-T, H.248.1, „Gateway control protocol: Version 3“, September 2005, verfügbar<br />
unter http://www.itu.int/rec/T-REC/e<br />
[H.323] ITU-T, H.323, „Packet-based multimedia communications systems“, Juni 2006,<br />
verfügbar unter http://www.itu.int/rec/T-REC/e<br />
[IEEE03] IEEE Std 802.1Q, „Virtual Bridged Local Area Networks”, Mai 2003; verfügbar<br />
unter http://www.ieee.org<br />
[IEEE04] IEEE Std 802.1X, „Port-Based Network Access Control”, Dezember 2004;<br />
verfügbar unter http://www.ieee.org<br />
[IEEE05] IEEE Std 802.3-2005, „Part 3: Carrier Sense Multiple Access with Collision<br />
Detection (CSMA/CD) Access Method and Physical Layer Specifications”, Juni<br />
2005, verfügbar unter http://www.ieee.org<br />
[IEEE06] IEEE 802.1AE, „Media Access Control (MAC) Security“, August 2006, verfügbar<br />
unter www.ieee.org<br />
294 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
9 Literatur<br />
[IEEE08] IEEE P802.1af, „Draft Standard for Local and Metropolitan Area Networks -<br />
Port-Based Network Access Control - Amendment 1: Authenticated Key<br />
Agreement for Media Access Control (MAC) Security“, Draft-Version 1.7, Januar<br />
2008, verfügbar unter www.ieee.org<br />
[RFC2818] RFC 2818, „HTTP Over TLS”, IETF, Mai 2000,<br />
http://www.ietf.org/rfc/rfc2818.txt<br />
[RFC2865] RFC 2865, „Remote Authentication Dial In User Service (RADIUS)”, IETF,<br />
Juni 2000, http://www.ietf.org/rfc/rfc2865.txt<br />
[RFC3031] RFC 3031, „Multiprotocol Label Switching Architecture”, IETF, Januar 2001,<br />
http://www.ietf.org/rfc/rfc3031.txt<br />
[RFC3164] RFC 3164, „The BSD syslog Protocol”, IETF, August 2001,<br />
http://www.ietf.org/rfc/rfc3164.txt<br />
[RFC3193] RFC 3193, „Securing L2TP using IPsec”, IETF, November 2001,<br />
http://www.ietf.org/rfc/rfc3193.txt<br />
[RFC3261] RFC 3261, „SIP: Session Initiation Protocol“, IETF, Juni 2002,<br />
http://www.ietf.org/rfc/rfc3261.txt<br />
[RFC3404] RFC 3404, „Dynamic Delegation Discovery System (DDDS) Part Four: The<br />
Uniform Resource Identifiers (URI)“, IETF, Oktober 2002,<br />
http://www.ietf.org/rfc/rfc3404.txt<br />
[RFC3411] RFC 3411, „An Architecture for Describing Simple Network Management<br />
Protocol (SNMP) Management Frameworks“, IETF, Dezember 2002,<br />
http://www.ietf.org/rfc/rfc3411.txt<br />
[RFC3412] RFC 3412, „Message Processing and Dispatching for the Simple Network Management<br />
Protocol (SNMP)“, IETF, Dezember 2002,<br />
http://www.ietf.org/rfc/rfc3412.txt<br />
[RFC3413] RFC 3413, „Simple Network Management Protocol (SNMP) Applications“,<br />
IETF, Dezember 2002, http://www.ietf.org/rfc/rfc3413.txt<br />
[RFC3414] RFC 3414, „User-based Security Model (USM) for version 3 of the Simple<br />
Network Management Protocol (SNMPv3)“, IETF, Dezember 2002,<br />
http://www.ietf.org/rfc/rfc3414.txt<br />
[RFC3415] RFC 3415, „View-based Access Control Model (VACM) for the Simple Network<br />
Management Protocol (SNMP)“, IETF, Dezember 2002,<br />
http://www.ietf.org/rfc/rfc3415.txt<br />
[RFC3416] RFC 3416, „Version 2 of the Protocol Operations for the Simple Network Management<br />
Protocol (SNMP)“, IETF, Dezember 2002,<br />
http://www.ietf.org/rfc/rfc3416.txt<br />
[RFC3417] RFC 3417, „Transport Mappings for the Simple Network Management Protocol<br />
(SNMP)“, IETF, Dezember 2002, http://www.ietf.org/rfc/rfc3417.txt<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 295
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
[RFC3418] RFC 3418, „Management Information Base (MIB) for the Simple Network<br />
Management Protocol (SNMP)“, IETF, Dezember 2002,<br />
http://www.ietf.org/rfc/rfc3418.txt<br />
[RFC3435] RFC 3435, „Media Gateway Control Protocol (MGCP) Version 1.0“, IETF,<br />
Januar 2003, http://www.ietf.org/rfc/rfc3435.txt<br />
[RFC3489] RFC 3489, „STUN - Simple Traversal of User Datagram Protocol (UDP)<br />
Through Network Address Translators (NATs)“, IETF, März 2003,<br />
http://www.ietf.org/rfc/rfc3489.txt<br />
[RFC3579] RFC 3579, „RADIUS (Remote Authentication Dial In User Service) Support<br />
For Extensible Authentication Protocol (EAP)”, IETF, September 2003,<br />
http://www.ietf.org/rfc/rfc3579.txt<br />
[RFC3711] RFC 3711, „The Secure Real-time Transport Protocol (SRTP)“, IETF, März<br />
2004, http://www.ietf.org/rfc/rfc3711.txt<br />
[RFC3748] RFC 3748, „Extensible Authentication Protocol (EAP)”, IETF, Juni 2004,<br />
http://www.ietf.org/rfc/rfc3748.txt<br />
[RFC3761] RFC 3761, „The E.164 to Uniform Resource Identifiers (URI) Dynamic Delegation<br />
Discovery System (DDDS) Application (ENUM)“, IETF, April 2004,<br />
http://www.ietf.org/rfc/rfc3761.txt<br />
[RFC3830] RFC 3830, „MIKEY: Multimedia Internet KEYing”, IETF, August 2004,<br />
http://www.ietf.org/rfc/rfc3830.txt<br />
[RFC3850] RFC 3850, „Secure/Multipurpose Internet Mail Extensions (S/MIME) Version<br />
3.1 Certificate Handling“, IETF, Juli 2004, http://www.ietf.org/rfc/rfc3850.txt<br />
[RFC3851] RFC 3851, „Secure/Multipurpose Internet Mail Extensions (S/MIME) Version<br />
3.1 Message Specification“, IETF, Juli 2004, http://www.ietf.org/rfc/rfc3851.txt<br />
[RFC3852] RFC 3852, „Cryptographic Message Syntax (CMS)“, IETF, Juli 2004,<br />
http://www.ietf.org/rfc/rfc3852.txt<br />
[RFC3931] RFC 3931, „Layer Two Tunneling Protocol - Version 3 (L2TPv3)”, IETF, März<br />
2005, http://www.ietf.org/rfc/rfc3931.txt<br />
[RFC3947] RFC 3947, „Negotiation of NAT-Traversal in the IKE”, IETF, Januar 2005,<br />
http://www.ietf.org/rfc/rfc3947.txt<br />
[RFC3948] RFC 3948, „UDP Encapsulation of IPsec ESP Packets”, IETF, Januar 2005,<br />
http://www.ietf.org/rfc/rfc3948.txt<br />
[RFC4033] RFC 4033, „DNS Security Introduction and Requirements“, IETF, März 2005,<br />
http://www.ietf.org/rfc/rfc4033.txt<br />
[RFC4034] RFC 4034, „Resource Records for the DNS Security Extensions“, IETF,<br />
März 2005, http://www.ietf.org/rfc/rfc4034.txt<br />
296 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
9 Literatur<br />
[RFC4035] RFC 4035, „Protocol Modifications for the DNS Security Extensions“, IETF,<br />
März 2005, http://www.ietf.org/rfc/rfc4035.txt<br />
[RFC4109] RFC 4109, „Algorithms for Internet Key Exchange version 1 (IKEv1)”, IETF,<br />
Mai 2005, http://www.ietf.org/rfc/rfc4109.txt<br />
[RFC4217] RFC 4217, „Securing FTP with TLS”, IETF, Oktober 2005,<br />
http://www.ietf.org/rfc/rfc4217.txt<br />
[RFC4253] RFC 4253, „The Secure Shell (SSH) Transport Layer Protocol”, IETF, Januar<br />
2006, http://www.ietf.org/rfc/rfc4253.txt<br />
[RFC4301] RFC 4301, „Security Architecture for the Internet Protocol”, IETF, Dezember<br />
2005, http://www.ietf.org/rfc/rfc4301.txt<br />
[RFC4302] RFC 4302, „IP Authentication Header”, IETF, Dezember 2005,<br />
http://www.ietf.org/rfc/rfc4302.txt<br />
[RFC4303] RFC 4303, „IP Encapsulating Security Payload (ESP)”, IETF, Dezember 2005,<br />
http://www.ietf.org/rfc/rfc4303.txt<br />
[RFC4306] RFC 4306, „Internet Key Exchange (IKEv2) Protocol”, IETF, Dezember 2005,<br />
http://www.ietf.org/rfc/rfc4306.txt<br />
[RFC4346] RFC 4346, “The Transport Layer Security (TLS) Protocol - Version 1.1”, IETF,<br />
April 2006, http://www.ietf.org/rfc/rfc4346.txt<br />
[RFC4347] RFC 4347, “Datagram Transport Layer Security”, IETF, April 2006,<br />
http://www.ietf.org/rfc/rfc4347.txt<br />
[RFC4511] RFC 4511, “Lightweight Directory Access Protocol (LDAP): The Protocol”,<br />
IETF, Juni 2006, http://www.ietf.org/rfc/rfc4511.txt<br />
[RFC4568] RFC 4568, „Session Description Protocol (SDP) Security Descriptions for Media<br />
Streams“, IETF, Juli 2006, http://www.ietf.org/rfc/rfc4568.txt<br />
[RFC5216] RFC 5216, „The EAP-TLS Authentication Protocol”, IETF, März 2008,<br />
http://www.ietf.org/rfc/rfc5216.txt<br />
[SIPF08] SIP Forum, “SIPconnect 1.0 Technical Recommendation”, Januar 2008; verfügbar<br />
unter http://www.sipforum.org/sipconnect<br />
[SMW99] B. Schneier, Mudge, D. Wagner, „Cryptanalysis of Microsoft's PPTP Authentication<br />
Extensions (MS-CHAPv2)”, Secure Networking - CQRE (Secure) '99,<br />
Series: Lecture Notes in Computer Science, Vol. 1740, Springer, 1999.<br />
[T.38] ITU-T, T.38, „Procedures for real-time Group 3 facsimile communication over<br />
IP networks“, April 2007, verfügbar unter http://www.itu.int/rec/T-REC/e<br />
[TS187001] ETSI TS 187 001, „Telecommunications and Internet converged Services and<br />
Protocols for Advanced Networking (TISPAN); NGN SECurity (SEC); Requi-<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 297
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
rements”, Technical Specification, V1.1.1, März 2006;<br />
verfügbar unter http://www.etsi.org<br />
[TS187003] ETSI TS 18703, „Telecommunications and Internet converged Services and<br />
Protocols for Advanced Networking (TISPAN); NGN Security; Security Architecture”,<br />
Technical Specification, V1.7.1, Februar 2008;<br />
verfügbar unter http://www.etsi.org<br />
[UfAB] Unterlage <strong>für</strong> die Ausschreibung und Bewertung von IT-Leistungen (UfAB),<br />
UfAB IV, Version 1.0, Bundesministerium des Innern, November 2006, verfügbar<br />
unter<br />
http://www.kbst.bund.de/cln_028/nn_837400/Content/Wirtschaft__u__Recht/Uf<br />
ab/ufab__node.html__nnn=true<br />
[X.509v3] X.509 Version 3, „Information technology - Open Systems Interconnection -<br />
The Directory: Public-key and attribute certificate frameworks“, ITU-T, März<br />
2000; verfügbar unter http://www.itu.int<br />
298 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
10 Abkürzungen<br />
Ziffern<br />
2TDES TDES mit 2 DES-Schlüsseln<br />
3DES Triple DES (TDES)<br />
3GPP 3rd Generation Partnership Project<br />
3TDES TDES mit 3 DES-Schlüsseln<br />
A<br />
AAA Authentication, Authorization and Accounting<br />
ACD Automatic Call Distribution<br />
ACL Access Control List<br />
AD Active Directory<br />
AES Advanced Encryption Standard<br />
AFH (Bluetooth) Adaptive Frequency Hopping<br />
AH Authentication Header<br />
ALG Application Layer Gateway<br />
AMIS Audio Messaging Interchange Specification<br />
API Application Programming Interface<br />
ARP Address Resolution Protocol<br />
ATM Asynchronous Transfer Mode<br />
AV Audio und Video<br />
B<br />
BPDU STP Bridge Protocol Data Unit<br />
BSI <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik<br />
C<br />
CA Certificate Authority<br />
CAC Call Admission Control<br />
CAPWAP Control and Provisioning of Wireless Access Points<br />
CBC Cipher Block Chaining<br />
CCMP Cipher Block Chaining Message Authentication Code Protocol<br />
CDR Call Detail Record<br />
CHAP Challenge Handshake Authentication Protocol<br />
CLIP Calling Line Identification Presentation<br />
CN Common Name<br />
10 Abkürzungen<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 299
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
COM Component Object Model<br />
CRL Certificate Revocation List<br />
CS Circuit-switched Services<br />
CSTA Computer Supported Telecommunications Applications<br />
CTI Computer Telephony Integration<br />
D<br />
DB Database<br />
DBMS Datenbankmanagementsystem<br />
DCOM Distributed Component Object Model<br />
DECT Digital Enhanced Cordless Telecommunications<br />
DES Data Encryption Standard<br />
DFS DECT Fixed System<br />
DH Diffie-Hellman<br />
DHCP Dynamic Host Configuration Protocol<br />
DHE Diffie-Hellman Ephemeral<br />
DISA Direct Inward System Access<br />
DMAP DECT Multimedia Access Profile<br />
DMZ DeMilitarized Zone<br />
DNS Domain Name Service<br />
DPD (IKE) Dead Peer Detection<br />
DPRS DECT Packet Radio Service<br />
DoS Denial of Service<br />
DSA Digital Signature Algorithm<br />
DSC DECT Standard Cipher<br />
DSS Digital Signature Standard<br />
DTLS Datagram TLS<br />
E<br />
EAL Evaluation Assurance Level<br />
EAP Extensible Authentication Protocol<br />
EAP-AKA EAP Method for UMTS Authentication and Key Agreement<br />
EAP-MSCHAP EAP Method Microsoft Challenge Handshake Authentication Protocol<br />
EAP-SIM EAP Method for GSM Subscriber Identity<br />
EAP-TLS EAP Method Transport Layer Security<br />
EAP-TTLS EAP Method Tunneled TLS<br />
EAPOL EAP over LAN<br />
300 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
EDE Encrypt Decrypt Encrypt<br />
EDGE Enhanced Data Rates for GSM Evolution<br />
EDR (Bluetooth) Enhanced Data Rate<br />
E-Mail Electronic Mail<br />
EMS Enhanced Messaging Service<br />
ENUM Telephone Number Mapping<br />
ERP Enterprise Resource Planning<br />
ESP Encapsulated Security Payloads<br />
ETSI European Telecommunications Standards Institute<br />
F<br />
FMC Fixed Mobile Convergence<br />
FOTA Firmware Over the Air<br />
FP (DECT) Fixed Parts<br />
FQDN Fully Qualified Domain Name<br />
FTPES Explicit FTPS<br />
FTPS FTP over SSL<br />
G<br />
GAN Generic Access Network<br />
GANC GAN Controller<br />
GAP (DECT) Generic Access Profile<br />
GEMA Gesellschaft <strong>für</strong> musikalische Aufführungs- und mechanische Vervielfältigungsrechte<br />
GI große Institutionen<br />
GPRS General Packet Radio Service<br />
GRE Generic Routing Encapsulation<br />
GSM Global System for Mobile communications<br />
H<br />
HLR Home Location Register<br />
HMAC Keyed-Hash Message Authentication Code<br />
HPLMN Home Public Land Mobile Network<br />
HTTP Hypertext Transfer Protocol<br />
HTTPS Hypertext Transfer Protocol Secure<br />
HTML HyperText Markup Language<br />
I<br />
IANA Internet Assigned Numbers Authority<br />
10 Abkürzungen<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 301
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
ICE Interactive Connectivity Establishment<br />
ICMP Internet Control Message Protocol<br />
IDEA International Data Encryption Algorithm<br />
IEEE Institute of Electrical and Electronics Engineers<br />
IETF Internet Engineering Task Force<br />
IKE Internet Key Exchange<br />
IKE-SA IKE – Security Association<br />
IMAP4 Internet Message Access Protocol<br />
IMS IP Multimedia Subsystem<br />
IP Internet Protocol<br />
IP-PBX IP-basierte PBX<br />
IPS Intrusion Prevention System<br />
IPsec IP Security<br />
IPv4 Internet Protocol, Version 4<br />
IPv6 Internet Protocol, Version 6<br />
ISAKMP Internet Security Association and Key Management Protocol<br />
ISDN Integrated Services Digital Network<br />
ISM-Band Industrial, Scientific, and Medical Band<br />
ISO International Standards Organization<br />
ISP Internet Service Provider<br />
IT Informationstechnik<br />
ITSP IP Telephony Service Provider<br />
ITU International Telecommunication Union (Internationale Fernmeldeunion)<br />
ITU-T ITU - Telecommunication Standardization Sector<br />
IVR Interactive Voice Response<br />
IWU (DECT) Interworking Unit<br />
J<br />
JTAPI Java Telephony API<br />
K<br />
KI Kleine Institutionen<br />
L<br />
L2TP Layer 2 Tunneling Protocol<br />
LAN Local Area Network<br />
LDAP Lightweight Directory Access Protocol<br />
LEAP Lightweight Extensible Authentication Protocol<br />
302 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
LLDP-MED Link Layer Discovery Protocol - Media Endpoint Discovery<br />
10 Abkürzungen<br />
M<br />
MAC Medium Access Control<br />
MAN Metropolitan Area Network<br />
MAPI-RPC Messaging Application Programming Interface Remote Procedure Call<br />
MCU Multipoint Control Unit<br />
MD5 Message-Digest Algorithm 5<br />
Megaco Media Gateway Control Protocol<br />
MGC Media Gateway Controller<br />
MGCP Media Gateway Control Protocol<br />
MGW Media Gateway<br />
MI Mittlere und mittelständische Institution<br />
MIKEY Multimedia Internet KEYing<br />
MIME Multipurpose Internet Message Extensions<br />
MitM Man in the Middle<br />
MMS Multimedia Messaging Service<br />
MPLS Multiprotocol Label Switching<br />
MSC Mobile Switching Center<br />
MTLS Mutual TLS<br />
N<br />
NAT Network Address Translation<br />
NAT-T NAT Traversal<br />
NAPTR Naming Authority Pointer<br />
NFS Network File System<br />
NGN Next Generation Network(s)<br />
O<br />
OCSP Online Certificate Status Protocol<br />
ODBC Open Database Connectivity<br />
OSI Open System Interconnection<br />
OTA Over the Air (Provisioning)<br />
OTP One-Time-Password<br />
OWA Outlook Web Access<br />
P<br />
PAP Password Authentication Protocol<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 303
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
PBX Private Branch eXchange<br />
PC Personal Computer<br />
PCT Private Communications Technology<br />
PDA Personal Digital Assistant<br />
PEAP Protected EAP<br />
PGP Pretty Good Privacy<br />
PHY Physical Layer<br />
PIM Personal Information Manager<br />
PIN Personal Identification Number<br />
PKI Public Key Infrastructure<br />
PLMN Public Land Mobile Network<br />
PoE Power over Ethernet<br />
POP3 Post Office Protocol<br />
PP (DECT) Portable Parts<br />
PPP Point-to-Point Protocol<br />
PPTP Point to Point Tunneling Protocol<br />
PSK Pre-Shared Key<br />
PSTN Public Switched Telephone Network<br />
Q<br />
QoS Quality of Service<br />
QSIG Signalisierung am Q-Referenzpunkt<br />
R<br />
RADIUS Remote Authentication Dial-in User Service<br />
RAN Radio Access Network<br />
RANAP RAN Application Part<br />
RAS Registration, Admission and Status<br />
RC4 Ron's Code 4<br />
RCF Register Confirmation<br />
rcp remote copy<br />
rexec remote execution<br />
RFC Request for Comments<br />
rlogin remote login<br />
RPC Remote Procedure Call<br />
RPID Remote Party Identification<br />
RR Resource Record<br />
304 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
RRJ Registration Reject<br />
RTCP RTP Control Protocol<br />
RTP Real-Time Transport Protocol<br />
10 Abkürzungen<br />
S<br />
S/MIME Secure MIME<br />
SA IPsec Security Association<br />
SBC Session Border Controller<br />
SCP Secure Copy Protocol<br />
SDP Session Description Protocol<br />
SEGW Security Gateway<br />
SFTP SSH File Transfer Protocol<br />
SGSN Serving GPRS Support Node<br />
SHA Secure Hash Algorithm<br />
SIG Special Interest Group<br />
SIGTRAN Signalling Transport<br />
SIM Subscriber Identity Module<br />
SIP Session Initiation Protocol<br />
SIP/SIMPLE Session Initiation Protocol for Instant Messaging and Presence Leveraging<br />
Extensions<br />
SLA Service Level Agreement<br />
SMB Server Message Block<br />
SMS Short Message Service<br />
SMTP Simple Mail Transfer Protocol<br />
SNMP Simple Network Management Protocol<br />
SOA Service-Oriented Architecture<br />
SOAP Simple Object Access Protocol (ursprünglich)<br />
SPIT Spam over Internet Telephony<br />
SQL Structured Query Language<br />
SRTP Secure Real-time Transport Protocol<br />
SRTCP Secure RTP Control Protocol<br />
SS7 Signalling System No. 7<br />
SSH Secure Shell<br />
SSL Secure Sockets Layer<br />
STP Spanning Tree Protocol<br />
STUN Simple Traversal of UDP Through NATs<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 305
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
T<br />
TA Tunnelanfang<br />
TAPI Telephony Application Programming Interface<br />
TCP Transmission Control Protocol<br />
TDES Triple DES<br />
TDM Time Division Multiplexing<br />
TE Tunnelende<br />
TFTP Trivial File Transfer Protocol<br />
TISPAN Telecommunications and Internet converged Services and Protocols for Advanced<br />
Networking<br />
<strong>TK</strong> Telekommunikation<br />
<strong>TK</strong>IP Temporal Key Integrity Protocol<br />
TLS Transport Layer Security<br />
TSAPI Telephony Server API<br />
TSP Telephony Service Provider<br />
TTLS Tunneled TLS<br />
TTS Text-To-Speech<br />
TUM True Unified Messaging<br />
TURN Traversal Using Relay NAT<br />
U<br />
UA User Agent<br />
UAC User Agent Client<br />
UAS User Agent Server<br />
UDP User Datagram Protocol<br />
UfAB IV Unterlage <strong>für</strong> die Ausschreibung und Bewertung von IT-Leistungen, Version 4<br />
UM Unified Messaging<br />
UMA Unlicensed Mobile Access<br />
UMTS Universal Mobile Telecommunications System<br />
URI Uniform Resource Identifier<br />
URL Uniform Resource Locator<br />
US-ASCII USA - American Standard Code for Information Interchange<br />
USV Unterbrechungsfreie Stromversorgung<br />
V<br />
VID VLAN Identifier<br />
VLAN Virtual LAN<br />
306 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
VoIP Voice over IP<br />
VPIM Voice Profile for Internet Mail<br />
VPLMN Visited Public Land Mobile Network<br />
VPN Virtual Private Network<br />
VRF Virtual Routing and Forwarding<br />
VTP VLAN Trunking Protocol<br />
W<br />
W3C World Wide Web Consortiums<br />
WAN Wide Area Network<br />
WAP Wireless Application Protocol<br />
WEP Wired Equivalent Privacy<br />
WINS Windows Internet Name Service<br />
WLAN Wireless LAN<br />
WMM Wi-Fi Multimedia<br />
WPA Wi-Fi Protected Access<br />
WPA-PSK WPA Pre-Shared Key<br />
WSUS Windows Server Update Services<br />
X<br />
XMPP eXtensible Messaging and Presence Protocol<br />
XML Extensible Markup Language<br />
10 Abkürzungen<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 307
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
308 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
11 Index<br />
3DES 23, 260<br />
3GPP 57<br />
3rd Generation Partnership Project 57<br />
Abrechnung und Gebührenerfassung 138,<br />
192<br />
Access Control Lists 134<br />
Access Points 52<br />
ACD 46<br />
Adaptive Frequency Hopping 63<br />
Address Resolution Protocol 81<br />
Administrationsendgeräte 118<br />
Administrationskonten 187<br />
Advanced Encryption Standard 23<br />
AES 23<br />
AFH 63<br />
Aggressive Mode 272<br />
AH 266<br />
Alarmserver 50<br />
ALCs 134<br />
ALG 87<br />
Anschlusseinheiten 12<br />
Application Layer Gateway 87<br />
ARP 81<br />
ARP-Poisoning 81<br />
ARP-Spoofing 81<br />
Authentication Server 251<br />
Authenticator 173, 251<br />
Automatic Call Distribution 46<br />
Berechtigungskonzept 187<br />
Bluetooth 62, 96<br />
Bluetooth Device Address 63<br />
Bluetooth SIG 63<br />
Bluetooth Special Interest Group 63<br />
CA 25<br />
CAC 39<br />
Call Admission Control 39<br />
Call Detail Records 192<br />
CAPWAP 52<br />
11 Index<br />
Carrier 37<br />
CCMP 53<br />
CDRs 192<br />
CERT-Bund 190<br />
Certificate Authorities 25<br />
Certificate Revocation List 262<br />
Challenge 272<br />
Change 191<br />
Change-Management 191<br />
Cipher-Suite 258<br />
Circuit-switched Services 58<br />
CLIP 71<br />
COM 163<br />
Common Criteria 140, 187<br />
Component Object Model 163<br />
Computer Telephony Integration 14, 42,<br />
162<br />
Control and Provisioning of Wireless<br />
Access Points 52<br />
Controller-basiertes WLAN-Design 52<br />
Corporate Directory Service 188<br />
CRL 262<br />
CRM 166<br />
CS 58<br />
CSTA 44<br />
CTI 14, 42, 162<br />
Customer Relationship Management 166<br />
Datagram TLS 25, 257<br />
DCOM 163<br />
DDNS 126<br />
DECT 12, 51, 60, 96<br />
DECT Fixed System 61<br />
DECT Multimedia Access Profile 62<br />
DECT Packet Radio Service 62<br />
DECT Standard Cipher 62<br />
Delay 14<br />
Denial of Service 23, 80<br />
Denial-of-Service-Angriff 35<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 309
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Description Protocol Security Descriptions<br />
for Media Streams 28<br />
DFS 61<br />
DH 259<br />
DHCP Snooping 132<br />
DHCP Starvation 80<br />
DHE 259<br />
Dialup Network Profile 63<br />
Dienstgüte 55<br />
Diffie-Hellman 259<br />
Diffie-Hellman Ephemeral 259<br />
Digital Enhanced Cordless<br />
Telecommunications 12<br />
Digital Signature Algorithm 259<br />
digitale <strong>TK</strong>-Anlage 12<br />
digitales Koppelfeld 12<br />
Direct Inward System Access 13<br />
DISA 13, 120<br />
Distributed COM 163<br />
DMAP 62<br />
DNS Spoofing 80, 81<br />
DNSSEC 126<br />
Domain Name System Security Extensions<br />
126<br />
DoS 23, 35, 80<br />
DPRS 62<br />
DSA 259<br />
DSC 62<br />
DTLS 25, 257<br />
DUN Profile 63<br />
Dynamic DNS 126<br />
E.164-Rufnummern 19<br />
EAL4 141<br />
EAL4+ 141<br />
EAP 251<br />
EAP over LAN 252<br />
EAP-AKA 60<br />
EAPOL 252<br />
EAP-SIM 60<br />
EAP-TLS 96, 252<br />
EAP-TTLS 253<br />
EDR 62<br />
Enhanced Data Rate 62<br />
ENUM 17, 21, 81, 126<br />
ESP 266<br />
ETSI 60<br />
European Telecommunications Standards<br />
Institute 60<br />
Extensible Authentication Protocol 251<br />
Fax-Geräte 108<br />
Fernabschaltung 239<br />
Firewall 87<br />
Firmware Over the Air 180<br />
First Party Call Control 42<br />
Fixed Mobile Convergence 55<br />
Fixed Parts 61<br />
FMC 55, 56<br />
FOTA 180<br />
FP 61<br />
FQDN 262<br />
Fully Qualified Domain Name 262<br />
GAN 57<br />
GAN Controller 57<br />
GANC 57<br />
GAP 61, 63<br />
Gatekeeper 19<br />
Gateway 16, 18<br />
Gebührenbetrug 71<br />
Generic Access Network 57<br />
Generic Access Profile 61, 63<br />
Generic Routing Encapsulation 134<br />
GI 200<br />
GPRS 56<br />
Gratuitous ARP 129<br />
GRE 134, 266<br />
Große Institutionen 200<br />
GSM 96<br />
GSM/UMTS 57<br />
H.225 19, 30<br />
H.235 30<br />
H.245 19, 30<br />
H.323 18<br />
Handover 56, 61<br />
Härtung 186<br />
310 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
HMAC 260<br />
HTTP 17<br />
HTTP Digest Authentication 28<br />
HTTPS 139, 280<br />
Hybrid-<strong>Anlagen</strong> 36, 83<br />
Hybrid-Systeme 145<br />
Hypertext Transfer Protocol 17<br />
IANA 21<br />
ICE 34<br />
ICMP Address Mask Request 131<br />
ICMP Destination Unreachable 131<br />
ICMP Redirect 131<br />
IEEE 802.11 51, 251<br />
IEEE 802.11a 51<br />
IEEE 802.11b 51<br />
IEEE 802.11e 51, 55<br />
IEEE 802.11g 51<br />
IEEE 802.11i 51<br />
IEEE 802.11n 52<br />
IEEE 802.11r 172<br />
IEEE 802.1AE 133, 255<br />
IEEE 802.1af 133, 255<br />
IEEE 802.1X 53, 251<br />
IEEE 802.3 251<br />
IETF 17<br />
IKE 268, 270<br />
IKEv2 60, 274<br />
IMAP4 42<br />
Industrial, Scientific and Medical Band 51<br />
Interactive Connectivity Establishment 34<br />
Interactive Voice Response 45<br />
Internet Assigned Numbers Authority 21<br />
Internet Engineering Task Force 17<br />
Internet Key Exchange Version 2 60<br />
Internet Service Provider 38<br />
Internettelefonie 16<br />
Interworking Profiles 61<br />
Interworking Unit 61<br />
IP Security 24<br />
IP Source Routing 131<br />
IP Telephony Service Provider 37<br />
IP-<strong>Anlagen</strong>anschluss 16, 37, 86, 158<br />
11 Index<br />
IP-Datagrammen 14<br />
IP-PBX 15<br />
IPsec 24, 60, 266<br />
IPsec Security Association 60<br />
IP-VPN 264<br />
ISAKMP 268<br />
ISDN S0-Bus 12<br />
ISDN-<strong>Anlagen</strong>anschluss 12<br />
ISM-Band 51<br />
ISO 27001 193<br />
ISP 38<br />
ITSP 37<br />
IVR 45<br />
IVR-Applikation 165<br />
IWU 61<br />
Jitter 14<br />
JTAPI 43<br />
Katastrophenschaltung 105<br />
Keyed-Hash Message Authentication Code<br />
260<br />
KI 200<br />
Kleine Institutionen 200<br />
Konferenzsysteme 48<br />
Kryptoboxen 162<br />
L2TP 266, 269, 284<br />
over IPsec 285<br />
L2TP over IP 284<br />
L2TP/IPsec 269<br />
Layer 2 Tunneling Protocol 284<br />
LDAP 44, 163<br />
Lightweight Directory Access Protocol<br />
163<br />
Link Keys 64<br />
Link Layer Discovery Protocol - Media<br />
Endpoint Discovery 132<br />
LLDP-MED 132<br />
MAC-Adress-Authentisierung 254<br />
Machbarkeit 201<br />
MAC-Spoofing 101<br />
Malware 189<br />
MAPI-RPC 161<br />
Maskerade 101<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 311
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
MCU 48<br />
MCUs 19<br />
MD5 260<br />
Media Gateway Control Protocol 20<br />
Media Gateway Controller 20<br />
Media Gateways 20<br />
Medientransport 22<br />
Megaco 20<br />
Megaco/H.248 20<br />
MGC 20<br />
MGCP 20<br />
MGW 20<br />
MI 200<br />
Michael-Integritätsschutz 172<br />
Microsoft Point-to-Point Encryption 284<br />
MIKEY 23<br />
Mittlere bzw. mittelständische Institution<br />
200<br />
MOBIKE 274<br />
Mobility and Multihoming Protocol 274<br />
Modulredundanz 136<br />
MOS-Wert 140<br />
MPLS 134, 282<br />
MTLS 125, 262<br />
Multi Protocol Label Switching 134<br />
Multifunktionsgeräte 108<br />
Multimedia Internet KEYing 23<br />
Multipoint Control Unit 19, 48<br />
Multiprotocol Label Switching 282<br />
Mutual TLS 125, 262<br />
Naming Authority Pointer 21<br />
NAPTR Resource Records 21<br />
NAT 34, 269<br />
NAT Traversal 269<br />
NAT-T 269<br />
Network Address Translation 34, 269<br />
Next Generation Networks 16<br />
NGN 37<br />
NGNs 16<br />
Nonce-Wert 272<br />
Nutzerprofile 75<br />
OCSP 262<br />
ODBC 44<br />
Online Certificate Status Protocol 262<br />
OpenVPN 279<br />
OTA Provisioning 180<br />
Outlook Web Access 278<br />
Over the Air Provisioning 180<br />
OWA-Dienst 278<br />
Pairing 64<br />
PC-Port 128<br />
PEAP 253<br />
Personal Identification Number 46<br />
Personal Information Manager 63<br />
PIM 63<br />
PIN 46, 49<br />
PKI 23, 25<br />
PoE 136<br />
Point-to-Point Tunneling Protocol 283<br />
POP3 42<br />
Portable Parts 61<br />
Power over Ethernet 136<br />
PP 61<br />
PPP 269<br />
PPTP 266, 269<br />
Präsenzdienst 47<br />
Präsenzinformationen 164<br />
Pre-Shared Key 23<br />
Protected EAP 253<br />
Proxy ARP 131<br />
Proxy Authenticate Header 28<br />
PSK 23<br />
PSTN-Gateways 138<br />
Public Key Infrastructure 23, 25<br />
QoS 55, 132<br />
QSIG-Protokoll 12<br />
Quality of Service 55<br />
Quick Mode 273<br />
Radio Fixed Parts 182<br />
RADIUS-Server 173, 251<br />
RAS 19<br />
RCF 19<br />
Real-Time Transport Protocol 22<br />
Register Confirmation 19<br />
312 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik
Register Request 19<br />
Remote Party Identification 30<br />
Remote Procedure Calls 45, 163<br />
Remote-Zugang 13<br />
Risikoanalyse 197<br />
Risikomanagement 197<br />
Roaming 61<br />
RPCs 45, 163<br />
RPID 30<br />
RRQ 19<br />
RSA 259<br />
RTCP 22<br />
RTP 22<br />
RTP Control Protocol 22<br />
S/MIME 26<br />
SA 60<br />
SBC 34, 38, 87, 154, 159<br />
Schadensoftware 101<br />
SCP 139<br />
SDES 28<br />
SDP 17, 28<br />
Secure Copy 139<br />
Secure Multipurpose Internet Message<br />
Extensions 26<br />
Secure Real-Time Transport Protocol 22,<br />
23<br />
Secure Shell 139<br />
Secure Socket Layer 25<br />
Secure Sockets Layer 256<br />
Sekundärverkabelung 185<br />
Service Level Agreements 66<br />
Serving GPRS Support Node 59<br />
Session Border Controller 34, 38<br />
Session Description Protocol 17, 28<br />
Session Initiation Protocol 17<br />
Sessionkey 273<br />
SGSN 59<br />
SHA-1 260<br />
Shared Secret 272<br />
Signalisierungs- und Nutzkanäle 14<br />
Signalisierungsnachrichten 17<br />
11 Index<br />
Simple Network Management Protocol<br />
191<br />
Simple Object Access Protocol 163<br />
SIM-Toolkit 180<br />
SIP 17<br />
SIP Digest Authentication 28<br />
SIP Proxy 17, 18<br />
SIP Redirect Server 17<br />
SIP Registrar Server 17<br />
SIP Trunk 38<br />
SIP/SIMPLE 47<br />
SLAs 66<br />
SNMP 191<br />
SNMPv3 139<br />
SOA 163<br />
SOAP 45, 163<br />
Social Engineering 68<br />
Softphones 16, 75<br />
Softswitches 15<br />
Spam over Internet Telephony 35<br />
Spanning Tree Protocol 132<br />
SPIT 35<br />
Spoofing 101<br />
Spoofing-Attacke 270<br />
Sprach- und Videodaten 22<br />
SRTP 22, 23<br />
SS7 20<br />
SSHv2 139<br />
SSL 25, 256, 280<br />
SSL Proxy 34<br />
SSL-VPN 264, 277<br />
Steuereinheit 12<br />
STP 132<br />
STUN 34<br />
Supplicant 173, 251<br />
TAPI 43<br />
TCP-Wrapper 190<br />
TDM 14<br />
Telephone Number Mapping 17, 21<br />
Telephony Service Provider 43<br />
Temporal Key Integrity Protocol 53<br />
Terminal 18<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik 313
<strong>Technische</strong> <strong>Leitlinie</strong> <strong>TK</strong><br />
Tertiärverkabelung 186<br />
Third Party Call Control 42<br />
Time Division Multiplexing 14<br />
<strong>TK</strong>IP 53<br />
TLS 25, 256<br />
TLS Proxy 34<br />
Traffic Shaping 39<br />
Transport Layer Security 25, 256<br />
Transportmodus 267<br />
Traversal Using Relay NAT 34<br />
Triple Data Encryption Standard 23<br />
Trojanisches Pferd 71<br />
TSAPI 43<br />
TSP 43<br />
Tunnel, geschachtelte 269<br />
Tunneled TLS 253<br />
Tunneling 265<br />
TURN 34<br />
UA 17<br />
UAC 17, 29<br />
UAS 17, 29<br />
UM 41<br />
UMA 57<br />
UMTS 96<br />
Unified Communications 40<br />
Unified Messaging 41, 161<br />
Uniform Resource Identifier 21<br />
Unlicensed Mobile Access 57<br />
URI 21<br />
User Agent 17<br />
User Agent Client 17<br />
User Agent Server 17<br />
Virtual Private Network 263<br />
Virtual Routing and Forwarding 134<br />
VLAN 53<br />
VLAN Trunking Protocol 132<br />
Voice over IP 14<br />
VoiceXML 46<br />
VoIP 14<br />
VoIP-Applikationsintelligenz 34<br />
VPIM 42<br />
VPN 263<br />
VRF 134<br />
VTP 132<br />
W3C 46<br />
Wartungsapparat 67<br />
Wartungseinheit 12<br />
Wegeredundanz 136<br />
Wi-Fi Multimedia 55<br />
Windows 2000 269<br />
Windows Server Update Services 190<br />
Windows XP 269<br />
Wireless LAN 51<br />
Wirtschaftlichkeit 201<br />
WLAN 96<br />
WLAN Controller 52<br />
WMM 55<br />
WPA 54<br />
WPA2 54<br />
WSUS 190<br />
X.509-Zertifikat 27<br />
XML Remote Procedure Call 163<br />
XML-RPC 163<br />
XMPP 47<br />
Zertifikat 262, 269<br />
314 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> in der Informationstechnik