Aktueller Channel Fokus:

IT-Security

Channel Fokus: IT-Security

Mit Sicherheit kommunizieren

| Autor / Redakteur: Folker Lück / Sarah Böttcher

In Zeiten steigender Cyber-Angriffe müssen auch Kommunikationslösungen bestens abgesichert sein.
In Zeiten steigender Cyber-Angriffe müssen auch Kommunikationslösungen bestens abgesichert sein. (Bild: © MG-emastock-stock.adobe.com_124612783-M- Carin Boehm.jpg)

Durch die Einführung der IP-Telefonie und die neuen Datenschutzanforderungen der DSGVO haben sich die Sicherheitsanforderungen im Bereich der Business-Kommunikationslösungen spürbar verändert. Systemhäuser und IT-Dienstleister müssen noch mehr Aspekte im Blick behalten und ihre Kunden umfassend informieren.

Nein, früher war nicht alles besser. So waren Telefongespräche im gerade zu Ende gehenden ISDN-Zeitalter keineswegs sicherer. Berücksichtigt ein Unternehmen die aktuell möglichen Sicherheitsmaßnahmen, ist IP-Telefonie dank abgeschotteter IP-Verbindungen und der Möglichkeit, den SIP-Trunk zu verschlüsseln, theoretisch wesentlich sicherer als die „gute, alte“ ISDN-Telefonie. Allerdings verhält es sich dabei so ähnlich wie bei der Anschaffung eines neuen Autos: Mit der preiswerten Basisversion kommt man zwar auch voran, doch wer ein hohes Maß an Sicherheit und Komfort wünscht, sollte über ein ordentliches Budget verfügen.

Unternehmen, die derzeit den Umstieg auf eine zeitgemäße Kommunikationsplattform planen, müssen zahlreiche Faktoren berücksichtigen. IT-Dienstleister und Systemhäuser, können hier mit entsprechender Beratungskompetenz punkten. Das gelingt allerdings nur, wenn das Fachwissen über die reine (On Premises)-Hardware oder die vergleichbare Lösung als Managed Service oder aus der Cloud hinaus geht. Wichtig ist es, dem Anwender eine ganzheitliche Betrachtung zu bieten – beginnend bei der „blanken“ Telefonleitung bis zu Optimierung im täglichen Workflow. Nicht zuletzt sollten wichtige, gesetzliche Anforderungen – Stichwort EU-DSGVO – erfüllt werden. Martin Bitzinger, Vice President PLM beim Hersteller Mitel verweist darauf, dass gerade für die Umsetzung der Datenschutzgrundverordnung breites Fachwissen vonnöten ist: „Bezüglich der DSGVO ist es uns wichtig, darauf hinzuweisen, dass Produkte alleine die Anforderungen der DSGVO nicht sicherstellen können. Die Implementierung und die Kundenprozesse rund um den Betrieb sind häufig der Knackpunkt, wenn es um die Konformität geht. Wir stellen über verschiedene Kanäle Informationen bereit, um unsere Partner und Kunden diesbezüglich zu sensibilisieren.

Die richtige Beratung machts

Wer seine Kunden in Sachen IP-Telefonie und Wahl der „richtigen“ Lösung berät, sollte den Anwender ausreichend gut kennen: Für einen mittelständischen Bäcker mit 20 Filialen gelten andere Anforderungen als für einen Pharma-Spezialisten, der seine jüngsten Entwicklungen vor Spionage hundertprozentig absichern muss. Auch die vermeintlich unbedeutende Bäckereikette benötigt Basis-Sicherheit, denn auch solche Betriebe sind heute von Hackern bedroht. Ein ungesicherter Zugang zur Telefonanlage reicht aus, damit Cyberkriminelle teure Verbindungen zu Servicerufnummern ins Ausland herstellen und ein fünfstelliger Schaden droht. IP-Telefonanschluss und SIP-Trunk müssen deshalb auch hier abgesichert sein.

Anders bei Kunden mit sensibler Entwicklungsabteilung: Um sie vor Angriffen aus dem Internet zu schützen und die Compliance-Regeln bezüglich der IT-Sicherheit zu erfüllen, gibt die Internationale Organisation für Normung (ISO) ein Regelwerk zum Risikomanagement vor. Laut ISO-Norm 31000 muss ein Unternehmen seine Risiken identifizieren, analysieren und bewerten. Zudem sollte es ein Informationssicherheitsmanagement-System (ISMS) gemäß ISO 27001 implementiert werden. Bei der Risikoanalyse helfen die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Sie nennen passende Schutzmaßnahmen, die in Abhängigkeit der drei Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ umgesetzt werden sollten.

Komplexe Verschlüsselung

Jedes seriöse Systemhaus behält akribisch im Blick, dass sichere Passwörter und kontinuierliche Software-Updates zum Risikomanagement gehören. Doch damit nicht genug: Hängt ein SIP-Trunk am Internet, muss das Unternehmen diesen je nach Schutzbedarf verschlüsseln. Die Ver- und Entschlüsselung erfolgt sowohl an der TK-Anlage des Anwenders als auch am Session Border Controller (SBC) des Providers. Ein zusätzlicher als Hardware oder softwarebasiert eingesetzter Enterprise Session Border Controller (E-SBC) bietet dem Business-Anwender besonderen Schutz, da er Sprachdaten intern sowie extern trennt und auch betrügerische Anrufe unterbinden kann.

Wie eng sichere Kommunikationstechnik und die Einhaltung gesetzlicher Vorgaben verwoben sind, verdeutlicht Thomas Schmieske, Senior Vice President Channel Sales Unify bei Atos Deutschland: „Zwei wichtige Kriterien für die Einhaltung der EU-DSGVO sind der Server-Standort und das Datenschutzniveau des Anbieters. Unsere Server werden innerhalb der EU gehostet, weshalb die Daten automatisch dem Schutz durch die EU-DSGVO unterliegen. Darüber hinaus haben wir DSGVO Compliance Statements für sämtliche Plattformen und Applikationen aus unserem Hause für unsere Partner und Kunden zur Verfügung gestellt, damit auch diese die Verantwortung ihren Mitarbeitern gegenüber im Hinblick auf persönliche Daten und deren Verarbeitung wahrnehmen können.“ Auch Schmieske unterstreicht die Bedeutung von Datenverschlüsselung: „Die sogenannte Transportverschlüsselung gibt auch nach einem Datenleck oder vorsätzlichem Datendiebstahl nur verschlüsselte Daten preis, anstatt sensible Inhalte und Passwörter direkt verwendbar darzustellen. Transportverschlüsselungen, wie die immer prominentere HTTPS-Verbindung, sorgen über den Austausch von Web-Zertifikaten und Zugangsschlüsseln dafür, dass nur gegenseitig authentifizierte Geräte Informationen untereinander austauschen können.“

Im Zeichen der DSGVO

Produktmanager Mario Baurmann vom Dortmunder Lösungsanbieter Swyx verweist im Hinblick auf die Anforderungen der EU-DSGVO darauf, dass die Swyx-Software über automatisierte Löschmechanismen und Anonymisierungsfunktionalitäten verfügt. Diese „Bordmittel“ auch aktiv einzusetzen ist ein zentrales Anliegen, dass man Partnern und Kunden vermitteln möchte: „Für die DSGVO war es vor allem nötig, diese Mechanismen transparent zu machen und die Möglichkeiten hinsichtlich der verfügbaren Löschzyklen weiter zu schärfen, sowie die Datenübertragbarkeit zu berücksichtigen. Unser wichtigstes Tool in diesem Bereich ist hier unsere DSGVO-Checkliste, die alle datenschutzrelevanten Bereiche in der Software beschreibt und Hilfestellung zur Erfüllung von Betroffenenrechten bietet.“

Leidet womöglich die Nutzerfreundlichkeit von teils seit Jahren etablierten Unified-Communications-Lösungen, damit nicht gegen die schärferen Gesetzesanforderungen verstoßen wird? „Diese Frage kann ich klar mit ‚Nein‘ beantworten“, betont David Welzmiller, Head of Product bei Estos: „Die Benutzer unserer UCC-Software spüren keinerlei Auswirkungen der EU-DSGVO auf die von ihnen genutzten Oberflächen. Die Verarbeitung und Speicherung der personenbezogenen Daten erfolgt nicht in den Anwenderoberflächen. So greifen einige unserer Lösungen auf Unternehmensdatenquellen zu, um beispielsweise Anrufer zu identifizieren oder Faxe an den richtigen Empfänger zuzustellen. Änderungen, die wir in unseren UCC-Softwareprodukten aufgrund der Anforderungen der EU-DSGVO vorgenommen haben, hatten keine Auswirkungen auf die Handhabung der Benutzeroberflächen und damit auch nicht auf die Nutzerfreundlichkeit.“

Während IP-Telefonie und neue Datenschutzanforderungen – nicht nur bei Estos – die einzelnen Produkte kaum verändert haben, gilt es mehr denn je, dem Anwender eine ganzheitliche Beratung zu bieten, die nicht nur Hard- und Software, sondern auch Sicherheitsaspekte, den Kunden-Workflow und gesetzliche Anforderungen im Blick behält.

Digital Security: Zurück zu den Grundlagen

Neuorientierung in der Cyber Security

Digital Security: Zurück zu den Grundlagen

26.06.18 - Zu jeder neuen Bedrohung kommen neue Security-Lösungen auf den Markt. Trotzdem steigt die Zahl der IT-Sicherheitsvorfälle. Die Security-Branche steht vor einem Wandel: Digitale Sicherheit braucht nicht mehr Innovationen, sondern ein besseres Fundament. lesen

Security in Zeiten von DSGVO und IoT

Roundtable zu Sicherheit im Berufsalltag

Security in Zeiten von DSGVO und IoT

05.07.18 - Die DSGVO bringt viele dazu, über ihre Daten und die Sicherheit ihrer Systeme nachzudenken. Gut so, finden die Teilnehmer unseres Security-Roundtables. Denn IoT, Smart Home & Co. würden uns oft eine Sicherheit vorgaukeln, die es gar nicht gibt. lesen

Security Services sind gefragter denn je

Gartner-Prognose

Security Services sind gefragter denn je

20.08.18 - Gartner wagt für die weltweiten Marktzahlen für IT-Security einen Blick in die Glaskugel. Besonders bei Security Services erwarten die Marktforscher starke Umsätze. Cloud Security läuft dagegen eher schleppend. lesen

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45520873 / IT-Security)