Best Practices für den Einsatz von VoIP – Sicherheitsrisiken - Aircall Blog

Best Practices für den Einsatz von VoIP – Sicherheitsrisiken

Understand which voip security risks you should pay close attention to.
von
Victoria Guetter

Kein Zweifel: VoIP ist die Zukunft der Computer Telephony Integration (Computer-Telefonie-Integration, CTI). Weil Cybersicherheit in der heutigen Welt eine große Rolle spielt, sollten Sie sich unbedingt über die Sicherheitsrisiken beim Einsatz von VoIP informieren.

Ein VoIP-System eröffnet Ihrem Unternehmen unglaublich viele Möglichkeiten dank erweiterter Telefonsystemfunktionen und VoIP-Integrationen. Zudem gewinnen VoIP-Telefonsysteme weiter an Beliebtheit, da sie vielseitig, flexibel und zuverlässiger als je zuvor sind. Und das ist längst nicht alles. VoIP-Technologie ist außerdem auch noch effizient und kostengünstig.

Und auch in Sachen Sicherheit hat VoIP einiges zu bieten – trotzdem bedeutet jede Nutzung elektronischer Geräte oder des Internets ein gewisses Sicherheitsrisiko. Wir informieren Sie im Folgenden darüber, welche Risiken es gibt und welche Vorsichtsmaßnahmen Sie unbedingt ergreifen sollten.

Auch ohne IT-Fachkenntnisse können Sie die Sicherheitsrisiken beim Einsatz von VoIP verstehen – allerdings ist es hilfreich, ein grundlegendes Verständnis für potenzielle Sicherheitsrisiken zu haben. Bewährte Verfahren zur Vermeidung von Sicherheitsrisiken beim Einsatz von VoIP befassen sich mit Infrastruktur, Software und Mitarbeiter:innen.  

Welche Sicherheitsrisiken können beim Einsatz von VoIP entstehen?

Kurz vorweg: VoIP steht für „voice over internet protocol“ (dt.: Sprachübertragung über das Internetprotokoll). Im Wesentlichen ist ein VoIP-Telefonsystem dazu da, Sprachnachrichten über das Internet zu übermitteln. Jede Internetnutzung geht mit gewissen Risiken einher, die Sie beachten sollten. Da Unternehmen weltweit mit Computern, Softwareprogrammen, Computernetzwerken und Social Media arbeiten, sind sie immer anfälliger für Cyberbedrohungen.

Was genau ist also ein Risiko durch den Einsatz von VoIP? Genau genommen handelt es sich hierbei um Verluste oder Gefährdungen durch einen Cyberangriff oder eine Datenpanne im Zusammenhang mit Ihrem VoIP-Telefonsystem.

Deshalb sollte es in jedem Unternehmen ein gut ausgearbeitetes Risikomanagement geben. Zuerst sollten Sie Ihren Risikomanagementplan überarbeiten und herausfinden, welchen Bedrohungen Ihr VoIP-Telefonsystem oder andere Business-Systeme ausgesetzt sein könnte(n).   

Bereit besser zu telefonieren?

Werfen Sie einen Blick auf einige aussagekräftige Zahlen von der Website Cyber Observer zum Thema Cybersicherheit: 

  • Laut Gartner werden sich die weltweiten Ausgaben für Cybersicherheit bis 2022 voraussichtlich auf 133,7 Milliarden US-Dollar pro Jahr belaufen.
  • Ungefähr 68 % der Unternehmen machen sich Sorgen um Risiken im Zusammenhang mit Cybersicherheit.
  • 4,1 Milliarden Datensätze wurden in der ersten Jahreshälfte 2019 offengelegt (RiskBased).
  • 71 % der Datenpannen hatten ein finanzielles Motiv (Verizon).
  • 25 % der Datenpannen resultierten aus Spionage (Verizon).
  • Bei 52 % der Datenpannen handelte es sich um Hackerangriffe, bei 28 % handelte es sich um Malware und ungefähr 32 % hatten mit Phishing oder Social Engineering zu tun (Verizon).

Als Unternehmensbesitzer:in sollten Sie die angemessenen Vorkehrungen für einen sicheren Einsatz von VoIP treffen. Wenn Ihre Dienstleistungen durch Sicherheitslücken beeinträchtigt werden, kann dies Ihre Kundenbeziehungen negativ beeinflussen und Ihrer Marke schaden. Indem Sie sich über Sicherheitsprobleme beim Einsatz von VoIP informieren und sich mit den jeweiligen Lösungsansätzen vertraut machen, können Sie Ihr Unternehmen gut vor Angriffen schützen. 

Die verschiedenen Risikoarten beim Einsatz von VoIP

Jedes Telefonsystem birgt seine eigenen Risiken. Minimieren Sie diese, indem Sie die verschiedenen Risikoarten verstehen und wissen, welchen Einfluss sie auf Ihr Unternehmen haben können.

Vishing (die telefonische Version des „Phishing“)

Vishing ist eine Betrugsmasche, bei der jemand die Person am anderen Ende der Leitung durch Angabe falscher Daten dazu bringen will, sensible Daten preiszugeben. Üblicherweise geben sich Cyberkriminelle als Mitarbeiter:innen eines seriösen Unternehmens aus – oft aus der Finanzdienstleistungsbranche, wie beispielsweise als Mitarbeiter:innen einer Bank oder eines Kreditkartenunternehmens. Es ist nicht ganz einfach, solche Angriffe zu verhindern, da sie auf Kundinnen und Kunden Ihres VoIP-Callcenters und nicht auf das VoIP-System selbst abzielen. 

Denial of Service (DoS)

Bei einem DoS-Angriff wird ein System mit so vielen Anfragen überflutet, dass es verlangsamt wird oder sogar komplett zusammenbricht. Hierdurch entstehen Probleme beim Telefonieren: Gespräche werden unterbrochen oder Anrufe können erst gar nicht getätigt werden. Außerdem besteht die Gefahr, dass Hacker aus der Ferne die Kontrolle über Systemverwaltungstools erlangen und sich so Zugriff zu sensiblen Daten verschaffen. 

Abhören

Eine der häufigsten Bedrohungen beim Einsatz von VoIP-Systemen ist das Abhören. Cyberkriminelle können hierbei Gespräche abhören und anschließend die Daten für Identitätsdiebstähle missbrauchen.

Phreaking

Bei diesen Angriffen kommt es zu einem signifikanten Anstieg der Telefonrechnung des Unternehmens. Hacker dringen hierbei in das System eines Service-Providers ein und fügen mehr Guthaben hinzu, ändern Tarife oder tätigen unzählige Anrufe. Beim Phreaking können Hacker zudem Gespräche aufzeichnen, um Sprachpasswörter zu stehlen und so auf Finanzdaten oder andere sensible Daten zuzugreifen.

So schützen Sie Ihre VoIP-Systeme vor Angriffen

Wenn Sie Ihr VoIP-System schützen wollen, müssen Sie Ihre gesamte VoIP-Infrastruktur schützen, darunter: 

  • SIP-Trunk
  • VoIP-System
  • Rechenzentrum

Session Border Controllers (SBC) dienen als Firewall für Ihr VoIP-System zum Schutz vor DoS-Angriffen. Sie schützen Ihr System, indem sie eine sichere Verbindung zwischen Ihnen und Ihrem Service-Provider herstellen, wodurch Sie VoIP-Anrufe und Sprachverkehr besser unter Kontrolle haben. 

Wenn Sie Ihre Endgeräte ausreichend schützen – sowohl im Homeoffice als auch im Büro –, können Sie Phreaking-Angriffe weitgehend verhindern.

Dies klingt zugegebenermaßen alles ziemlich technisch. Aber auch simple Dinge, wie das Sensibilisieren Ihrer Mitarbeiter:innen für Risiken im Zusammenhang mit Cybersicherheit, gehören zum Schutz Ihres VoIP-Systems dazu. Durch Mitarbeiterschulungen minimieren Sie Angriffe durch Malware. Ihr Personal muss unbedingt in der Lage sein, verdächtige Links, Anhänge und Absender zu erkennen. Erinnern Sie Ihre Teams im Homeoffice sowie Ihre Teams an unterschiedlichen Standorten an die Risiken von WLAN-Hotspots mit ungesicherten Netzwerken. 

Verschlüsselung von Kundendaten 

Sprachtechnologie kombiniert Anrufe und Daten und führt all Ihre Unternehmenslösungen an einem einzigen Ort zusammen, an dem Ihre Callcenter-Agentinnen und -Agenten darauf zugreifen können. Durch die End-to-End-Verschlüsselung jedes Endgeräts arbeiten diese Lösungen auf umfassende und verlässliche Weise zusammen. 

Um Abhören zu verhindern, sollten Sie die Sicherheit Ihrer VoIP-Anlage durch Daten- und Sprachverschlüsselung erhöhen: 

  • Richten Sie Transport Layer Security (TLS) ein, um ein- und ausgehende Anrufe zu sichern.
  • Nutzen Sie ein sicheres Real-Time Transport Protocol (SRTP) zur Verschlüsselung von Datenpaketen, die bei Anrufen übertragen werden, sodass sie von Hackern nicht entschlüsselt werden können.
  • Virtual Private Networks (VPN) ermöglichen eine geschützte verschlüsselte Verbindung, über die Sie Daten sicher übertragen und empfangen können.

Malware & Sicherheit beim Einsatz von VoIP

Malware ist zum Synonym für bösartige Software geworden. Zu dieser Art von Cyberangriffen zählen Trojaner, Ransomware, Spyware, Würmer und andere unangenehme Bugs, die Ihre Daten und Geräte befallen können. Wurmartige Software dringt in andere Geräte im Netzwerk ein und blockiert das gesamte System. Kriminelle haben es in der Regel auf Geld abgesehen und verlangen üblicherweise einen Geldbetrag, bevor sie Ihr System wieder freigeben.

Auch Malware, die Systeme auf unterschiedliche Weise befällt, gibt es leider zuhauf. Cyberkriminelle nutzen Malware, um Passwörter zu stehlen, Dateien zu löschen und Ihre Computer lahmzulegen. Aber Malware greift nicht nur Geräte an, sondern kann ebenso Ihr VoIP-System befallen. Malware-Angriffe laufen meist über eine E-Mail, die ein:e Mitarbeiter:in versehentlich auf einem Laptop oder PC öffnet. Solche Angriffe können Ihr VoIP-System und Ihre Kommunikationsplattformen schwer beschädigen. 

Aus dem Data Breach Investigations Report 2020  von Verizon geht hervor, dass 34 % der Angriffe durch Zutun von Mitarbeiterinnen und Mitarbeitern erfolgten. Was bedeutet das? RSConnect nimmt als Beispiel einen Angriff, bei dem ein „Pseudo-Mitarbeiter“ den Helpdesk von einer der Unternehmensnummern aus anruft. Er bittet den technischen Mitarbeiter um Hilfe und behauptet, eine bestimmte Website nicht öffnen zu können. Das Unternehmen half dem Betrüger daraufhin beim Zugriff auf die Website, woraufhin er die Malware auf den Helpdesk-Computer laden konnte. 

RSConnect gibt Unternehmen als Tipp mit auf den Weg, dass Betrüger:innen logischerweise keine mit Malware infizierte E-Mail öffnen würden. Überwachen Sie Ihr System deshalb ganz genau, um Mitarbeiter:innen zu identifizieren, die ihre E-Mails nicht öffnen. Ein ungewöhnliches Verhalten kann ein Warnsignal für ein Sicherheitsrisiko sein.

Bewährte Verfahren zur Vermeidung von Sicherheitsrisiken beim Einsatz von VoIP 

Es gibt keine 100-prozentig sichere Methode zur Vermeidung von Sicherheitsrisiken beim Einsatz von VoIP. Wenn Sie sich jedoch die folgenden Ratschläge zu Herzen nehmen, sind Sie so gut wie möglich vor Hackerangriffen geschützt.

10 Tipps zur Vermeidung von Sicherheitsrisiken beim Einsatz von VoIP: 

  1. Überarbeiten Sie Ihre Sicherheitsverfahren bei jeder Änderung oder Erweiterung Ihres Systems.
  2. Informieren Sie sich über neue Sicherheitsrisiken, die Ihr System gefährden könnten.
  3. Schützen Sie Computer, Mobiltelefone, Tablets und andere Geräte, die mit Ihrem Netzwerk verbunden sind, mit sicheren Passwörtern.
  4. Sensibilisieren Sie Ihre Mitarbeiter:innen bei regelmäßigen Schulungen für solche Risiken und zeigen Sie ihnen, wie Angriffe verhindert werden können. Dies ist besonders wichtig, wenn Ihr Unternehmen mit sensiblen Daten arbeitet.
  5. Überwachen Sie Ihr System, um ungewöhnliche Aktivitäten festzustellen. Alles, was ungewöhnlich oder nicht normal erscheint, könnte eine Bedrohung darstellen. Reagieren Sie auf jedes potenzielle Warnsignal, bevor etwas außer Kontrolle gerät.
  6. Bestimmen Sie eine Person, die für die regelmäßige Kontrolle Ihres Systems verantwortlich ist, z. B. eine:n Mitarbeiter:in der IT-Abteilung.
  7. Richten Sie eine Kontoauthentifizierung ein. Jeder Computer hat seine eigene IP-Adresse, anhand der festgestellt werden kann, welches Gerät auf das Netzwerk zugreifen möchte. So können Sie ausschließlich den Agentinnen und Agenten Ihres Callcenters Zugriff erteilen. Wenn Ihre Teams im Homeoffice oder an unterschiedlichen Standorten arbeiten, können Sie IP-Blacklists erstellen. Hierfür legen Sie Parameter fest, durch die IP-Adressen blockiert werden, über die mehrmals falsche Passwörter eingegeben werden, und die Nutzer:innen nach einer bestimmten Anzahl von Versuchen blockieren.  
  8. Bereiten Sie sich auf das Worst-Case-Szenario vor. Leider kann es trotz aller Vorsichtsmaßnahmen zu Sicherheitslücken kommen. Erstellen Sie einen Notfallplan und schulen Sie Ihre Mitarbeiter:innen darin, wie sie sich im Falle eines Systemausfalls verhalten sollen. Wenn Sie nach einem Sicherheitsvorfall schnell die richtigen Schritte ergreifen, können Sie das Schlimmste unter Umständen noch verhindern.
  9. Bei Problemen sollten Sie sofort Ihren VoIP-Service-Provider kontaktieren. Dieser kann die meisten Sicherheitsprobleme lösen, ohne dass Sie weitere Schritte ergreifen müssen.
  10. Entscheiden Sie sich für einen guten VoIP-Service-Provider, der sich für seine Zuverlässigkeit und Sicherheit einen Namen gemacht hat.

Aircall und der sichere Einsatz von VoIP

Aircall weiß, wie wichtig Sicherheit beim Einsatz von VoIP ist. Deshalb verschlüsseln wir alle Daten und speichern sie in branchenführenden modernen Rechenzentren, wo sie rund um die Uhr überwacht werden. Wir haben ein unabhängiges Expertenteam, das regelmäßig Penetrationstests durchführt, um die Sicherheit zu verstärken. 

Aircall trifft die erforderlichen Sicherheitsvorkehrungen, um Kundendaten vor Zugriffen oder Angriffen durch unbefugte Personen zu schützen. Wir überlassen nichts dem Zufall. Aircall befolgt die Empfehlungen verschiedener Rahmenregelungen für Informationssicherheit, einschließlich ISO 27001/27002, SOC 2 und PCI/DSS. Unsere redundante Infrastruktur gewährleistet den Schutz von Kundendaten und sorgt für ein effizientes Disaster Recovery. Mit dem SIP-Protokoll geführte Telefonate können auch mit TLS verschlüsselt werden. Aircall speichert niemals Passwörter oder Kreditkartendaten von Kundinnen und Kunden für eigene Zwecke. 

Sie sind dafür verantwortlich, Ihr VoIP-System zu überwachen und die Daten Ihrer Kundinnen und Kunden sicher aufzubewahren. Aircall ist ein branchenführendes Unternehmen, weil wir nicht nur ein solides Cloud-basiertes Telefonsystem und eine Public API anbieten, sondern außerdem die bewährten Sicherheitsverfahren beim Einsatz von VoIP genau befolgen.

Das Business Telefonsystem für moderne Teams