Voice over IP (VoIP)
Best-Practice-Einsatz im Unternehmen und sichere Anbindung im Homeoffice
Voice-over-Internet-Protocol-(VoIP)-Telefonie bietet eine Menge spannender Möglichkeiten – allerdings auch für Angreifer. Der vorliegende Beitrag stellt verschiedene VoIP-Konzepte vor und beschreibt Best Practices für die zugehörige IT-Sicherheit im Unternehmen und Homeoffice.
Von Kai-Oliver Detken, Bremen
Voice over Internet-Protocol (VoIP) hat im Vergleich zum klassischen ISDN neue Kommunikationsmöglichkeiten eröffnet: Standen in der Vergangenheit die Funktionsvielfalt und die Anbindung von Unified Communication (UC) im Vordergrund, so steht heute eine flexible Nutzung ganz oben auf der Prioritätenliste. Unternehmen wollen sich nicht mehr mit hardwarebasierten Telefonanlagen befassen, sondern setzen eher auf Sprachdienste, die sich je nach Bedarf einbinden lassen. Heute spielt es kaum noch eine Rolle, ob IP-Telefonie auf einer Hardware-Appliance, einer virtuellen Maschine (VM) oder in der Cloud ihren Dienst verrichtet.
Telefoniekonzepte
VoIP hat mit der ehemals starren Telefonie-Infrastruktur von Telefonanlagen gebrochen, die oft proprietäre Herstellerlösungen waren. Mit klassischen Telefonanlagen war man meist auf die Endgeräte des Herstellers angewiesen und konnte nur sogenannte Systemtelefone einsetzen. Das lag an dem Umstand, dass zwar standardisierte Kommunikationsprotokolle zum Einsatz kamen, diese aber herstellerspezifisch erweitert wurden, um mehr Leistungsmerkmale als die Konkurrenz anbieten zu können. Frühere ISDN-Telefonanlagen grenzten sich hauptsächlich durch ihren Funktionsumfang voneinander ab, was durch proprietäre Protokoll Erweiterungen erkauft wurde.
Darüber hinaus wurden solche Anlagen als reine Hardware-Systeme konzipiert, die allerdings mit hoher Verfügbarkeit glänzten. Weitere Merkmale waren: Telefonleitungen wurden als eigenes Kommunikationsnetz verlegt und Änderungen in der Konfiguration des Wählplans waren oft nur durch Systemtechniker zu bewerkstelligen. All das hat sich durch VoIP grundlegend verändert, was unterschiedliche Telefonkonzepte verdeutlichen.
Während man vor einiger Zeit noch überlegte, ob man VoIP überhaupt einführt, und die Vor- und Nachteile miteinander abwog, steht heute meist nur noch die Frage im Raum, wann man sich von seiner alten Telefonanlage trennen sollte. Die VoIP-Entwicklung hat dabei ganz neue Hersteller und Anbieter hervorgebracht, die unterschiedliche Strategien verfolgen:
- Hardwarebasierte VoIP-Anlagen: stammen meist von traditionellen Telefonie-Herstellern, die ihre bestehende Telefonanlage um eine VoIP-Schnittstelle erweitert haben (z. B. die Unify-HiPath-Familie – ehemals Siemens Enterprise Communications – bei Atos durch OpenScape Voice abgelöst).
- Software-basierte VoIP-Anlagen: liefern Telefonie-Hersteller und -Anbieter, deren Lösungen nicht mehr auf einer bestimmten Hardware basieren, sondern die auf einem beliebigen Server (auch virtuell) einsetzbar sind (z. B. Asterisk-VoIP-Systeme auf Open-Source-Basis, www.asterisk.org).
- Hybride VoIP-Anlagen: basieren zwar einerseits auf Serversystemen, benötigen aber zusätzlich noch herstellerspezifische Hardware (z. B. der Cisco Unified Communications Manager / Call Manager mit routerbasierter Hardware).
Vorteilhaft bei VoIP ist, dass man eine viel größere Auswahl an Endgeräten und Lösungen hat – unabhängig von einem bestimmten Hersteller. Auch die Verbindung von VoIP mit vorhandenen Anwendungen (z. B. Telefonie aus einem ERP- oder CRM-System heraus) sowie Systemen (z. B. Einbindung einer Alarm- oder Türöffnungsanlage) erhöht die Flexibilität und schafft ganze neue Funktionalität.
Allerdings sind gleichzeitig auch neue Randbedingungen für Themenfelder zu berücksichtigen, deren Umsetzung früher ganz selbstverständlich war:
- Sprachqualität: Bei ISDN stand eine exklusive Telefonleitung zwischen den Teilnehmern zur Verfügung, die eine gute Sprachqualität garantierte. Waren keine Netzressourcen mehr vorhanden (z. B. bei Netzüberlastungen zu Silvester) wurden einfach keine neuen Verbindungen mehr aufgebaut. Das ist bei VoIP nicht mehr der Fall – Verbindungen kommen auch zustande, wenn eine schlechte Sprachqualität vorhanden sein kann.
- Bedienbarkeit/Nutzbarkeit: VoIP-Telefone bieten neue Funktionen gegenüber ihren ISDN-Pendants. Zudem gibt es neue Endgeräte-Optionen, beispielsweise Softphones, die sowohl auf einem Laptop und Desktop-PC als auch auf einem Smartphone oder Tablet laufen können. So lässt es sich quasi hard- und softwareunabhängig kommunizieren, ganz nach Vorlieben der Nutzer.
- Abhörsicherheit: ISDN baute einen dedizierten Kanal auf, der vergleichsweise schwierig abzuhören war, da man dafür einen direkten Zugang zur Leitung, Vermittlungsstelle oder Telefonanlage benötigte. Gespräche mitzuhören ist bei VoIP wesentlich einfacher, da die Kommunikation über das interne Netzwerk oder das öffentliche Internet geschieht. Zwar gibt es hier auch Möglichkeiten der Absicherung – diese werden aber von den meisten VoIP-Providern nicht angeboten oder bereitgestellt. Auch bei internen Anlagen wird gerne auf die Verschlüsselung verzichtet, da diese mit einem Performance-Verlust einhergehen kann.
- Ausfallsicherheit: Während man bei einer ISDN-Telefonanlage ganz automatisch davon ausging, dass sie nicht ausfällt, ist VoIP hier theoretisch anfälliger, wenn es sich um reine Serverlösungen handelt. Bei entsprechenden Anforderungen muss man also Redundanz und Skalierbarkeit selbst einplanen, wenn erreichen möchte wie in der ISDN-Welt. Auch eine zweite Internet-Anbindung man die gleiche Ausfallsicherheit ist eventuell vonnöten, um Hochverfügbarkeit zu bekommen.
Hinzu kommt, dass eine VoIP-Telefonanlage ohne spezifisches Fachpersonal bedienbar sein soll – das war bei den geschlossenen Lösungen der führenden Telefonhersteller früher nicht möglich (und wahrscheinlich auch gar nicht gewollt). Cloudbasierte Telefonanlagen leben von der Einfachheit der Bedienung und auch On-Premises-Anlagen müssen dieses Leistungsmerkmal heute anbieten. So sind beispielsweise für das Open-Source-System Asterisk, das viele Hersteller und Anbieter „unter der Haube“ verwenden, verschiedene Oberflächen entstanden. Diese führen den Benutzer durch die Konfiguration und ersparen den Nutzern, Konfigurationsdateien kompliziert direkt beschreiben zu müssen.
VoIP-Szenarien
VoIP kann in sehr unterschiedlichen Szenarien umgesetzt und implementiert werden – je nachdem, wie es zum Einsatz kommt, muss man dann allerdings auch andere Kriterien an die Sicherheit stellen. Zusätzlich sind im VoIP-Umfeld eine Vielzahl von Protokollen (und deren gesicherte Derivate) im Einsatz, unter anderem das Session-Initiation-Protocol (SIP/SIPS, nach RFC 3261), das Real-Time-Transport-Protocol (RTP/SRTP nach RFC 3550) inklusive RTP-Control-Protocol (RTCP), ITU H.323 (vgl. www.itu.int/rec/T-REC-H.323/), das InterAsterisk-eXchange-Netzwerkprotokoll (IAX/ IAX2) sowie das Media-Gateway-Control-Protocol (MGCP).
Manche Protokolle sind proprietär, andere arbeiten nach offenen Standards der Internet Engineering Task Force (RFCs der IETF) oder der International Telecommunication Union (ITU). Die größte Verbreitung besitzt heute das Session-Initiation-Protocol (SIP) im Zusammenspiel mit RTP, die VoIP-Anbieter in der Regel standardkonform einsetzen. Beide Protokolle lassen sich über Verschlüsselung absichern, sodass externe Endgeräte auch über das Internet sicher angebunden werden könnten – leider ist dieses Leistungsmerkmal aber, wie bereits angesprochen, oft nicht aktiviert.
Bei VoIP kann man grundsätzlich zwischen zwei Hauptszenarien unterscheiden:
- IP Centrex/ Hosted IP (Szenario 1): Diese VoIP-Variante umfasst eine virtuelle IP-basierte Nebenstellenanlage in der Cloud, die von einem Provider zur Verfügung gestellt wird. Der Provider ist hierdurch in der Lage, Sprachdienste anzubieten, ohne dass Unternehmen eigene Gateways oder Telefonanlagen anschaffen müssten. Aus Sicht des Unternehmens sind nur eine ausreichende Internet-Anbindung sowie IP-Telefone und/oder Softphones notwendig.
- Campus-VoIP (Szenario 2): Eine Campus-VoIP-Umgebung verwendet eine Nebenstellenanlage auf IP-Basis, mit der hardwarebasierte IP-Telefone und/oder Softphones verbunden sind. Der Verbindungsaufbau in das öffentliche Telefonnetz kann über Gateways oder SIP-Trunks erfolgen, die das Pendant zu früheren Anlagenanschlüssen darstellen. Realisieren lässt sich ein solches System hardwarebasiert (aufgerüstete Nebenstellenanlage mit VoIP-Interface) oder softwarebasiert (Serversystem mit VoIP-Software). Heute kommen meist SIP-Trunks zum Einsatz, wodurch die VoIP-Anlage direkt mit einem SIP-Provider kommuniziert.
Abbildung 1 zeigt die Nutzung einer virtuellen VoIP-Provier-Anlage mit zwei Standorten und unterschiedlichen Endgeräten: Das Unternehmen benötigt in diesem Szenario ausschließlich hardwarebasierte IP-Telefone, die sich per SIP über die Firmen-Firewall direkt mit der Provider-Anlage verbinden (Hosted-IP-Szenario). Alternativ können in der Firma oder im Homeoffice Softphones auf unterschiedlichen Endgeräten (Einzelplatzrechner,
Laptops, Smartphones, Tablets) zum Einsatz kommen. So ist der Anwender flexibel in der Nutzung und kann auch unterwegs auf die VoIP-Anlage zugreifen.
Falls das Unternehmen keine dezidierten Telefone (sog. Hardphones) mehr verwenden möchte, könnten auch reine Softphones zum Einsatz kommen. Dabei ist allerdings zu berücksichtigen, dass diese nur dann funktionieren, wenn die verwendeten Computer auch eingeschaltet sind. Beim Einsatz von WLAN sind zudem die verfügbare Bandbreite und das Shared-Media zu berücksichtigen, da durch die umfangreiche Datennutzung auch Gesprächsabbrüche zustande kommen können. Hier ist oft „Digital Enhanced Cordless Telecommunications“ (DECT) die bessere Wahl, wenn es um schnurlose Telefone geht, da dieses Netz exklusiv der Sprache zur Verfügung steht. Mit DECT-Basisstationen lassen sich sogar vermaschte Netze aufbauen, sodass man sich ohne Telefonabbrüche durch die Firma bewegen kann.
Die Verwendung einer virtuellen Telefonanlage bedeutet allerdings auch, dass die Firewalls entsprechend konfiguriert werden müssen: Denn nicht nur SIP muss via TCP und UDP den Weg zum Endgerät finden, sondern auch die UDP-Pakete des RTP. Die vorherrschenden „privaten“ Netzwerke und damit einhergehende Network-Adress-Translation-(NAT)-Regeln können dabei dazu führen, dass Hin- und Rückweg nicht immer gefunden werden und es zu fehlerhaften Verbindungen kommt. Für VoIP müssen eine Reihe notwendige Ports in der Firewall freigeschaltet werden und gegebenfalls „Session Traversal Utilities for NAT“ (STUN, RFC 8489) aktiviert sein: Dieses Protokoll hilft dabei, eine bidirektionale Verbindung zwischen Geräten aufzubauen, die sich hinter NAT-Firewalls befinden.
Abbildung 2 veranschaulicht das Szenario 2, in dem die Nutzung einer eigenen Telefonanlage vorgesehen ist: Im Beispiel besitzt jeder von zwei Standorten sein eigenes VoIP-System und beide sind über einen SIP-Trunk mit einem SIP-Provider verbunden. Alternativ können beide Standorte über eine direkte VPN-Kopplung miteinander
telefonieren: Beide VoIP-Systeme können über SIP oder im Falle einer Asterisk-Lösung über das IAX2-Protokoll direkt und verschlüsselt miteinander kommunizieren. Bei einer solchen Direktkommunikation fallen keine Telefongebühren an – das war früher teilweise konzeptionell entscheidend, fällt aber aufgrund der geringeren Telefonkosten und bei Flat-Tarifen heute kaum noch ins Gewicht. Fällt ein VoIP-System aus, kann in diesem Szenario allerdings das zweite System die Anbindung aller Endgeräte übernehmen, sodass hierdurch auch eine Ausfallsicherheit gegeben wäre.
Ebenfalls angebunden ist im Beispiel ein Homeoffice-Standort, der die Telefonie über einen festen VPN-Tunnel ermöglicht. Solche Telefonate würden dabei immer über die Firmenzentrale erfolgen, sodass beim Gesprächspartner die Büronummer angezeigt wird, auch wenn sich das Homeoffice in einem anderen Wahlkreis befindet. Die Anbindung kann wie im Beispiel über eine gesicherte VPN-Anbindung erfolgen, wenn noch andere Applikationen von zu Hause erreicht werden sollen – alternativ kann sich das IP-Telefon direkt mittels VPN-Protokoll mit der Telefonanlage der Firma verbinden.
Video-Kopplung
In der Praxis spielen noch weitere Anforderungen eine Rolle: So findet durch die aktuelle Corona-Pandemie vermehrt eine Kommunikation über Videokonferenzsysteme statt. Ein Beispiel ist die Open-Source-basierte Software-Lösung Jitsi Meet (https://jitsi.org/jitsi-meet/), die man auch mittels Browser ohne Installation einer Software auf dem Client nutzen kann (ähnlich wie Microsoft Teams oder Zoom). Vorteil bei selbst-gehostetem Jitsi Meet: Der Server steht im Unternehmensnetz und die Daten wandern nicht in eine Cloud.
Allerdings lassen sich mit solchen WebRTC-Lösungen (Web Real-Time Communication) keine Signalisierungen durchführen – vielmehr stellt man temporäre Konferenzräume zur Verfügung, die in einem bestimmten Zeitraum besucht werden können. Dazu ist in jedem Fall ein Rechner mit Browser notwendig. Eine Anbindung an bestehende VoIP-Systeme ist meist nicht enthalten, sodass Teilnehmer ohne Internet- und Rechnerzugang auf der Strecke bleiben. Daher ist auch an Lösungen gearbeitet worden, um Videokonferenzsysteme direkt mit VoIP-Systemen zu verbinden. So kann der VoIP-Teilnehmer dann zwar kein Bild der anderen sehen (und diese ihn nicht), sich aber immerhin an der gemeinsamen Diskussion beteiligen. Da es immer noch weiße Flecken bezüglich des Internet-Breitband-Ausbaus in Deutschland gibt, ist dies eine nicht zu verachtende Funktionalität. Telefonkonferenzsysteme wie Jitsi Meet und Microsoft Teams können daher auch Telefonie mit einbeziehen – teilweise verliert die klassische Telefonie dadurch bei einigen Unternehmen bereits deutlich an Bedeutung und wird ganz durch Teams & Co. ersetzt.
Einsatz im Homeoffice
Des Weiteren wurde in der Corona-Zeit die Anbindung von Homeoffices eine wichtige Anforderung für VoIP-Systeme, um externe Mitarbeiter nahtlos einbinden zu können. Dazu gehört auf der einen Seite die uneingeschränkte Nutzung von Telefonie-Funktionen sowie die Erreichbarkeit unter der Büronummer, aber auch die Einbindung von Corporate-Working-Tools (z. B. mittels des Open-Source-Tools Rocketchat zur gegenseitigen Abstimmung), um die Kommunikation mit der Firma nicht zu verlieren. Diese Tools sollen die Telefonie ergänzen und lassen sich teilweise auch mit VoIP kombinieren.
Das eine funktionierende Umsetzung heute trotz allem nicht selbstverständlich ist, kann man in vielen Negativbeispielen erfahren, bei denen Homeoffice-Mitarbeiter nur per E-Mail erreichbar sind, weil sie ihre privaten Telefonnummern nicht herausgeben wollen – was sie müssten, weil eine vernünftige VoIP-Anbindung fehlt. Für moderne VoIP-Systeme stellt die nahtlose Homeoffice-Einbindung allerdings keine Herausforderung dar, sondern wurde häufig bereits vor der Corona-Zeit umgesetzt, um eine möglichst hohe Kommunikationsflexibilität zu verwirklichen.
Gerade bei vielen IT-Unternehmen war mobiles Arbeiten bereits vor Corona standardmäßig möglich – ob auf Geschäftsreisen, beim Kunden oder nach Feierabend zu Hause, Mitarbeiter:innen konnten schon lange per VPN-Anbindung schnell und flexibel mit dem Geschäftslaptop auf die Unternehmensdaten zugreifen. Deshalb war diese Branche auch auf die Corona-Beschränkungen in Deutschland am besten vorbereitet und konnte nahezu nahtlos weiterarbeiten. Schwieriger war und ist das hingegen bei Firmen oder Behörden, die normalerweise die Anwesenheit der Arbeitnehmer voraussetzen: Durch die plötzliche Homeoffice-Pflicht waren deren Mitarbeiter:innen plötzlich von ihrem Arbeitsplatz abgeschnitten, telefonisch nicht mehr erreichbar und mussten nicht selten privates IT-Equipment nutzen, um zu Hause überhaupt arbeiten zu können. Zusätzlich wurde dadurch eine neue Bedrohungslage geschaffen, da man notgedrungen auf einmal einen VPN-Zugriff über fremdes Equipment zulassen musste.
Spezielle Absicherung
Aber auch grundsätzlich sind Arbeitspläzte im Homeoffice oft schlechter gesichert als das Firmennetzwerk – und daher prädestiniert als Einfallstor für Angreifer. Da bei Software-Lösungen die grundlegende Sicherheit der für VoIP genutzten Plattform sich auch auf die Telefonie auswirkt, sollte man einige Grundregeln beherzigen, damit das sichere Telefonieren (und Arbeiten) von zu Hause aus gelingen kann:
- Falls möglich sollte ein Firmen-Laptop gestellt werden, das mit unternehmensspezifischer Sicherungssoftware versehen ist.
- Private und personenbezogene Daten sollten auf diesem Laptop nicht enthalten sein – das kommt auch dem Datenschutz entgegen.
- Als Alternative bietet sich eine verschlüsselte Festplatte an, die einem Desktop-PC eine zweite Boot -Umgebung anbietet. Ein gesicherter Bootvorgang für sensitive Arbeiten funktioniert heutzutage sogar auch von einem USB-Stick aus.
- Als dritte Variante könnte für ein privates Endgerät ein Remote-Desktop-Protocol-Zugang (RDP) zu einem Terminal-Server zum Einsatz kommen.
- Der Datenaustausch mit dem Unternehmen darf nur über gesicherte Kanäle erfolgen (z. B. VPN, Terminal-Zugang).
- Virenschutz und Sicherheitsupdates müssen auf dem Homeoffice-Rechner auf dem neusten Stand sein – auch bei Nutzung eines Remote-Terminal-Zugangs. Der zentrale Policy-/Anti-Malware-Server muss daher auch die Homeoffice-Rechner erreichen können.
- Der Zugriff auf Laptop oder PC muss über eine Desktop-Firewall zusätzlich gesichert werden – auch um sich vor anderen Teilnehmern im Heimnetzwerk schützen zu können.
- Für mobiles Arbeiten sollte ein dediziertes Datensicherungskonzept existieren – das heißt, Daten sollten möglichst nur auf dem Firmenserver abgespeichert werden, damit diese im täglichen Backup landen.
Einbezug der Telefonie
In Sachen Telefonanbindung waren traditionelle (ISDN)-Telefonanlagen nur in der Lage, Weiterleitungen zu initiieren: Man bekommt zwar durch externe Anrufe den entsprechenden Mitarbeiter ans Telefon, dieser kann aber nicht mit seiner Bürorufnummer zurückrufen. Falls das Unternehmen bereits in eine native VoIP-Anlage investiert hat, taucht dieses Problem nicht auf – reine ISDN-Anlagen oder aufgerüstete ISDN-Anlagen mit VoIP-Modulen sind aber oft nicht in der Lage diesen Komfort zu unterstützen. Daher gab es aus Datenschutzgründen oft ein Problem bei den Rückrufen, wenn Mitarbeiter:innen ihre private Nummer nicht preisgeben wollten.
Bei nativen VoIP-Telefonanlagen sind hingegen meist auch im Homeoffice IP-Telefone im Einsatz. Das lässt sich unterschiedlich realisieren (Abb. 3): So kann man IP-Telefone über eine bestehende VPN-Verbindung zur Firma an der VoIP-Anlage anmelden. Falls kein VPN-Router verfügbar ist, lässt sich das auch über ein IP-Telefon mit eingebautem VPN-Client realisieren. Gleiches wäre natürlich auch über ein Laptop machbar, wenn ein Softphone Verwendung findet – dann lässt sich sogar Hardware einsparen.
Fazit
Moderne VoIP-Systeme besitzen eine maximale Flexibilität hinsichtlich der Kommunikationsmöglichkeiten: Zum einen kann man, unabhängig vom eingesetzten Szenario, standortunabhängig kommunizieren. Zum anderen lassen sich fast beliebige 3rd-Party-Tools einbinden, um Telefonie medienübergreifend zu nutzen. Dabei gewinnen Video- und Corporate-Working-Tools immer mehr an Bedeutung.
Bei der Auswahl neuer VoIP-Systeme sollte man daher auf die Anbindungsmöglichkeiten achten, bevor man sich wichtige Leistungsmerkmale verbaut. Die Flexibilität von VoIP ist auf jeden Fall am höchsten, wenn es als reines Software-System implementiert ist und man VoIP als „noch eine weitere IT-Anwendung“ begreift. Offene Standards helfen dabei, systemübergreifende Kommunikation herzustellen.
Ob eine Cloud-Lösung oder ein eigenes VoIP-System zum Einsatz kommen soll, hängt neben dem Funktionsumfang allerdings auch von den Themen Datenschutz, IT-Sicherheit und Internet-Anbindung des Unternehmens ab – die Rahmenbedingungen sollte man in einem Vorprojekt abklären. Die IT-Sicherheit nimmt dabei einen immer höheren Stellenwert ein, seit Cyberattacken auf Unternehmenssysteme an der Tagesordnung sind – daher sollte man auch die Verschlüsselung der Telefonverbindung immer aktivieren, selbst wenn man dafür Leistungsreserven einplanen muss.
Prof. Dr.-Ing. Kai-Oliver Detken ist Geschäftsführer der DECOIT GmbH (www.decoit.de), doziert an der Hochschule Bremen und arbeitet als freier Autor im IT-Umfeld.