Reminder und Ergänzung
----------------------
Sehr geehrte Kollegen und Kolleginnen,
inzwischen kann ich Ihnen eine grobe Agenda geben:
09:30 Begrüßung und Einführung
10:00 Vorträge von Mitarbeitern der Universitäten Hamburg, Aachen
- und Saarbrücken zum Stand der Forschungen, Vortrag über Sicher-
12:30 heitsprobleme bei TK-Anlagen
Mittagessen
14:00 Bericht aus Sicht eines Carriers; weiteres Vorgehen;
- Sicherheit 2006; Diskussion
16:xx
Zur endgültigen Raumplanung ist Ihre Anmeldung bis MORGEN, Dienstag den
14.6.2005 zwingend erforderlich.
Der genaue Veranstaltungsort in Hamburg, sowie Anreise Informationen, ggfs.
eine Möglichkeit für Übernachtungen erhalten Sie mit der Bestätigung Ihrer
Anmeldung am Mittwoch dieser Woche. Alle bisherigen Anmeldungen haben eine
Mail zur Bestätigung erhalten, sollte diese nicht vorliegen schreiben oder
rufen Sie mich bitte an.
Mit freundlichen Grüßen
Matthias Jänichen
>Sehr geehrte Kollegen und Kolleginnen,
>
>am 20.06.2005, (10:00- 16:00) wollen wir in Hamburg ein konstituierendes
>Treffen der GI-Arbeitsgruppe "VoIP" durchführen. Der genaue Tagungsort
>hängt von der Anzahl der Teilnehmer ab.
>
>Thema:
>Durch die zunehmende Vernetzung und die Verschmelzung von IT und Telfonie
>werden eine Reihe neuer Fragen rund um die ITK-Sicherheit aufgeworfen. Es
>gibt schon jetzt einige Arbeitsgruppen (auch in anderen Organisationen)
>die sich mit der "Sicherheit VON VoIP" befassen, der Aspekt "Gefährdung
>der IT-Sicherheit DURCH VoIP" wird dabei jedoch nicht erörtert.
>
>Agenda:
>Wir haben Vorträge in Planung zu folgenden Themen:
>
>- VoIP-Protokolle im Vergleich
>- Sicherheit von TK-Anlagen
>- Demo des Gefährdungspotentials am Beispiel
>- ... ( weitere Ideen willkommen)
>
>Wir wollen diskutieren über
>- Anwendbarkeit bestehender ITS-Kriterien
>- weiteres Vorgehen
>- Session auf der Sicherheit 2006 in Magdeburg
>
>Anmeldung:
>Bitte melden Sie sich umgehend verbindlich bei mir an ( mj-VoIP(a)percomp.de
>) , wenn Sie an diesem Treffen teilnehmen möchten, damit wir die Planungen
>schnellstmöglich abschließen können. Telefonische Rückfragen bitte unter
>Tel: 0177/2423511.
>
>Kosten:
>Von den Teilnehmern wird eine Catering-Umlage in Höhe von ca. 15 Euro erhoben.
>
>Anbei die Gedanken und Fragestellungen von Manfred Reitenspieß (Sprecher
>des Fachbereichs Sicherheit):
>
>>Hintergrund
>>-----------
>>VoIP Komponenten werden heute auf Basis von Standard IT implementiert
>>unter Benutzung von off-the-shelf Hardware und Software. Damit
>>unterliegen diese Systeme einem ähnlichen Gefährdungspotential wie
>>kritische Systeme im Rechenzentrum (z.B. SAP Systeme, Abrechnungssysteme,
>>Produktionssteuerungen etc).
>>
>>VoIP Einsatz
>>------------
>>Das Einsatzgebiet von VoIP-Systemen deckt bereits heute eine grosse
>>Bandbreite ab und reicht von kleinen residential Anwendungen zuhause über
>>die Anbindung von kleinen bis mittleren grossen Firmen an das öffentliche
>>Telefonnetz (und die Kommunikation zwischen verschiedenen Standorten
>>einer Firma über das meist vorhandene IP-Netz - öffentlich oder privat)
>>bis zum Einsatz bei öffentlichen Netzbetreibern. Als Beispiel sei hier
>>der aktuelle AOL-Auftritt erwähnt, wo AOL als Telefonnetzbetreiber
>>auftritt unter Nutzung der VoIP-Technik.
>>
>>Das bedeutet auch, dass die Verfügbarkeit von Telefonieleistungen nicht
>>mehr automatisch dadurch gewährleistet ist, dass diese auf separater
>>Netz- und Rechnerhardware laufen. Im Gegenteil, Telefonie kann mehr und
>>mehr zu einem von vielen Services auf dem installierten Rechnerpark
>>werden. Allerdings sieht es im Augenblick eher danach aus, als ob gerade
>>im öffentlichen Netzbereich, aber auch bei grossen Firmen, dedizierte
>>Systeme dafür eingesetzt werden (schon aus Gründen der Performance).
>>
>>Durch die veränderte "konvergente" Implementierungsstruktur ist die
>>Verfügbarkeit auch böswilligen Angriffen ausgesetzt.
>>
>>Es ist besonders zu bemerken, dass die Akzeptanz dieser Dienstleistungen
>>wegen der damit verbundenen Preissenkungen sehr hoch sein wird (siehe
>>z.B. Nutzung von Skype).
>>
>>Fragestellungen
>>---------------
>>Aus den beschriebenen Szenarien ergeben sich einige neue Fragestellungen,
>>die in bisherigen Implementierungen eher im Hintergrund geblieben sind.
>>
>>a: Die Anwendungen unterliegen damit auch den Regularien der
>>Telekommunikationsgesetze, sobald damit öffentliche Netzdienstleistungen
>>angeboten werden (siehe Beispiel AOL).
>>
>>b: Inwieweit können Sicherheitszertifizierungen die Sicherheit des
>>VoIP-Anwendungen verbessern oder kontrollieren - vermutlich muss man hier
>>die oben genannten Einsatz- und Implementierungsszenarien unterscheiden.
>>
>>c: Welche (neuen) Risiken ergeben sich aus den geänderten Einsatz- und
>>Implementierungsszenarien? Und wie ist diesen Risiken zu begegnen?
>>
>>d: Gibt es einige einfache Massnahmen, z.B. auf Protokollebene oder durch
>>Separierung der IT-Ressourcen, die eine einfache Trennung des
>>Sprachverkehrs von anderen Verkehren erlauben?
>>
>>Dr. Manfred Reitenspiess
>>Speaker GI Computer Society Security and Safety Division
MfG
Matthias Jänichen
Sprecher der Fachgruppe "NETSEC - Sicherheit in festen und mobilen Netzten"
Matthias Jänichen
