Hallo Herr Jänichen, ich melde mich hiermit für die Veranstaltung an. Mit freundlichen Grüßen Heinz Friedrich ub-f Unternehmensberatung Friedrich Borkenweg 24 22523 Hamburg fon 040-570 37 71 fax 040-570 37 82 mobil 0172-430 90 58 h.friedrich@ub-f.de www.ub-f.de -----Ursprüngliche Nachricht----- Von: netsec-bounces@gi-fb-sicherheit.de [mailto:netsec-bounces@gi-fb-sicherheit.de] Im Auftrag von Matthias Jaenichen Gesendet: Montag, 13. Juni 2005 14:05 An: NETSEC; fbsec@gi-fb-sicherheit.de Betreff: [NETSEC] Reminder: AG VoIP - Konstituierende Sitzung Reminder und Ergänzung ---------------------- Sehr geehrte Kollegen und Kolleginnen, inzwischen kann ich Ihnen eine grobe Agenda geben: 09:30 Begrüßung und Einführung 10:00 Vorträge von Mitarbeitern der Universitäten Hamburg, Aachen - und Saarbrücken zum Stand der Forschungen, Vortrag über Sicher- 12:30 heitsprobleme bei TK-Anlagen Mittagessen 14:00 Bericht aus Sicht eines Carriers; weiteres Vorgehen; - Sicherheit 2006; Diskussion 16:xx Zur endgültigen Raumplanung ist Ihre Anmeldung bis MORGEN, Dienstag den 14.6.2005 zwingend erforderlich. Der genaue Veranstaltungsort in Hamburg, sowie Anreise Informationen, ggfs. eine Möglichkeit für Übernachtungen erhalten Sie mit der Bestätigung Ihrer Anmeldung am Mittwoch dieser Woche. Alle bisherigen Anmeldungen haben eine Mail zur Bestätigung erhalten, sollte diese nicht vorliegen schreiben oder rufen Sie mich bitte an. Mit freundlichen Grüßen Matthias Jänichen
Sehr geehrte Kollegen und Kolleginnen,
am 20.06.2005, (10:00- 16:00) wollen wir in Hamburg ein konstituierendes Treffen der GI-Arbeitsgruppe "VoIP" durchführen. Der genaue Tagungsort hängt von der Anzahl der Teilnehmer ab.
Thema: Durch die zunehmende Vernetzung und die Verschmelzung von IT und Telfonie werden eine Reihe neuer Fragen rund um die ITK-Sicherheit aufgeworfen. Es gibt schon jetzt einige Arbeitsgruppen (auch in anderen Organisationen) die sich mit der "Sicherheit VON VoIP" befassen, der Aspekt "Gefährdung der IT-Sicherheit DURCH VoIP" wird dabei jedoch nicht erörtert.
Agenda: Wir haben Vorträge in Planung zu folgenden Themen:
- VoIP-Protokolle im Vergleich - Sicherheit von TK-Anlagen - Demo des Gefährdungspotentials am Beispiel - ... ( weitere Ideen willkommen)
Wir wollen diskutieren über - Anwendbarkeit bestehender ITS-Kriterien - weiteres Vorgehen - Session auf der Sicherheit 2006 in Magdeburg
Anmeldung: Bitte melden Sie sich umgehend verbindlich bei mir an ( mj-VoIP@percomp.de ) , wenn Sie an diesem Treffen teilnehmen möchten, damit wir die Planungen schnellstmöglich abschließen können. Telefonische Rückfragen bitte unter Tel: 0177/2423511.
Kosten: Von den Teilnehmern wird eine Catering-Umlage in Höhe von ca. 15 Euro erhoben.
Anbei die Gedanken und Fragestellungen von Manfred Reitenspieß (Sprecher des Fachbereichs Sicherheit):
Hintergrund ----------- VoIP Komponenten werden heute auf Basis von Standard IT implementiert unter Benutzung von off-the-shelf Hardware und Software. Damit unterliegen diese Systeme einem ähnlichen Gefährdungspotential wie kritische Systeme im Rechenzentrum (z.B. SAP Systeme, Abrechnungssysteme, Produktionssteuerungen etc).
VoIP Einsatz ------------ Das Einsatzgebiet von VoIP-Systemen deckt bereits heute eine grosse Bandbreite ab und reicht von kleinen residential Anwendungen zuhause über die Anbindung von kleinen bis mittleren grossen Firmen an das öffentliche Telefonnetz (und die Kommunikation zwischen verschiedenen Standorten einer Firma über das meist vorhandene IP-Netz - öffentlich oder privat) bis zum Einsatz bei öffentlichen Netzbetreibern. Als Beispiel sei hier der aktuelle AOL-Auftritt erwähnt, wo AOL als Telefonnetzbetreiber auftritt unter Nutzung der VoIP-Technik.
Das bedeutet auch, dass die Verfügbarkeit von Telefonieleistungen nicht mehr automatisch dadurch gewährleistet ist, dass diese auf separater Netz- und Rechnerhardware laufen. Im Gegenteil, Telefonie kann mehr und mehr zu einem von vielen Services auf dem installierten Rechnerpark werden. Allerdings sieht es im Augenblick eher danach aus, als ob gerade im öffentlichen Netzbereich, aber auch bei grossen Firmen, dedizierte Systeme dafür eingesetzt werden (schon aus Gründen der Performance).
Durch die veränderte "konvergente" Implementierungsstruktur ist die Verfügbarkeit auch böswilligen Angriffen ausgesetzt.
Es ist besonders zu bemerken, dass die Akzeptanz dieser Dienstleistungen wegen der damit verbundenen Preissenkungen sehr hoch sein wird (siehe z.B. Nutzung von Skype).
Fragestellungen --------------- Aus den beschriebenen Szenarien ergeben sich einige neue Fragestellungen, die in bisherigen Implementierungen eher im Hintergrund geblieben sind.
a: Die Anwendungen unterliegen damit auch den Regularien der Telekommunikationsgesetze, sobald damit öffentliche Netzdienstleistungen angeboten werden (siehe Beispiel AOL).
b: Inwieweit können Sicherheitszertifizierungen die Sicherheit des VoIP-Anwendungen verbessern oder kontrollieren - vermutlich muss man hier die oben genannten Einsatz- und Implementierungsszenarien unterscheiden.
c: Welche (neuen) Risiken ergeben sich aus den geänderten Einsatz- und Implementierungsszenarien? Und wie ist diesen Risiken zu begegnen?
d: Gibt es einige einfache Massnahmen, z.B. auf Protokollebene oder durch Separierung der IT-Ressourcen, die eine einfache Trennung des Sprachverkehrs von anderen Verkehren erlauben?
Dr. Manfred Reitenspiess Speaker GI Computer Society Security and Safety Division
MfG Matthias Jänichen Sprecher der Fachgruppe "NETSEC - Sicherheit in festen und mobilen Netzten" Matthias Jänichen _______________________________________________ NETSEC mailing list NETSEC@gi-fb-sicherheit.de http://mail.gi-fb-sicherheit.de/mailman/listinfo/netsec