Sehr geehrte Kollegen und Kolleginnen, am 20.06.2005, (10:00- 16:00) wollen wir in Hamburg ein konstituierendes Treffen der GI-Arbeitsgruppe "VoIP" durchführen. Der genaue Tagungsort hängt von der Anzahl der Teilnehmer ab. Thema: Durch die zunehmende Vernetzung und die Verschmelzung von IT und Telfonie werden eine Reihe neuer Fragen rund um die ITK-Sicherheit aufgeworfen. Es gibt schon jetzt einige Arbeitsgruppen (auch in anderen Organisationen) die sich mit der "Sicherheit VON VoIP" befassen, der Aspekt "Gefährdung der IT-Sicherheit DURCH VoIP" wird dabei jedoch nicht erörtert. Agenda: Wir haben Vorträge in Planung zu folgenden Themen: - VoIP-Protokolle im Vergleich - Sicherheit von TK-Anlagen - Demo des Gefährdungspotentials am Beispiel - ... ( weitere Ideen willkommen) Wir wollen diskutieren über - Anwendbarkeit bestehender ITS-Kriterien - weiteres Vorgehen - Session auf der Sicherheit 2006 in Magdeburg Anmeldung: Bitte melden Sie sich umgehend verbindlich bei mir an ( mj-VoIP@percomp.de ) , wenn Sie an diesem Treffen teilnehmen möchten, damit wir die Planungen schnellstmöglich abschließen können. Telefonische Rückfragen bitte unter Tel: 0177/2423511. Kosten: Von den Teilnehmern wird eine Catering-Umlage in Höhe von ca. 15 Euro erhoben. Anbei die Gedanken und Fragestellungen von Manfred Reitenspieß (Sprecher des Fachbereichs Sicherheit):

Hintergrund ----------- VoIP Komponenten werden heute auf Basis von Standard IT implementiert unter Benutzung von off-the-shelf Hardware und Software. Damit unterliegen diese Systeme einem ähnlichen Gefährdungspotential wie kritische Systeme im Rechenzentrum (z.B. SAP Systeme, Abrechnungssysteme, Produktionssteuerungen etc).

VoIP Einsatz ------------ Das Einsatzgebiet von VoIP-Systemen deckt bereits heute eine grosse Bandbreite ab und reicht von kleinen residential Anwendungen zuhause über die Anbindung von kleinen bis mittleren grossen Firmen an das öffentliche Telefonnetz (und die Kommunikation zwischen verschiedenen Standorten einer Firma über das meist vorhandene IP-Netz - öffentlich oder privat) bis zum Einsatz bei öffentlichen Netzbetreibern. Als Beispiel sei hier der aktuelle AOL-Auftritt erwähnt, wo AOL als Telefonnetzbetreiber auftritt unter Nutzung der VoIP-Technik.

Das bedeutet auch, dass die Verfügbarkeit von Telefonieleistungen nicht mehr automatisch dadurch gewährleistet ist, dass diese auf separater Netz- und Rechnerhardware laufen. Im Gegenteil, Telefonie kann mehr und mehr zu einem von vielen Services auf dem installierten Rechnerpark werden. Allerdings sieht es im Augenblick eher danach aus, als ob gerade im öffentlichen Netzbereich, aber auch bei grossen Firmen, dedizierte Systeme dafür eingesetzt werden (schon aus Gründen der Performance).

Durch die veränderte "konvergente" Implementierungsstruktur ist die Verfügbarkeit auch böswilligen Angriffen ausgesetzt.

Es ist besonders zu bemerken, dass die Akzeptanz dieser Dienstleistungen wegen der damit verbundenen Preissenkungen sehr hoch sein wird (siehe z.B. Nutzung von Skype).

Fragestellungen --------------- Aus den beschriebenen Szenarien ergeben sich einige neue Fragestellungen, die in bisherigen Implementierungen eher im Hintergrund geblieben sind.

a: Die Anwendungen unterliegen damit auch den Regularien der Telekommunikationsgesetze, sobald damit öffentliche Netzdienstleistungen angeboten werden (siehe Beispiel AOL).

b: Inwieweit können Sicherheitszertifizierungen die Sicherheit des VoIP-Anwendungen verbessern oder kontrollieren - vermutlich muss man hier die oben genannten Einsatz- und Implementierungsszenarien unterscheiden.

c: Welche (neuen) Risiken ergeben sich aus den geänderten Einsatz- und Implementierungsszenarien? Und wie ist diesen Risiken zu begegnen?

d: Gibt es einige einfache Massnahmen, z.B. auf Protokollebene oder durch Separierung der IT-Ressourcen, die eine einfache Trennung des Sprachverkehrs von anderen Verkehren erlauben?

Dr. Manfred Reitenspiess Speaker GI Computer Society Security and Safety Division

MfG Matthias Jänichen Sprecher der Fachgruppe "NETSEC - Sicherheit in festen und mobilen Netzten" Matthias Jänichen