 |
 |
Die Forderung nach einem angemessenen Sicherheitsniveau der Telekommunikation, das dem der IT entspricht, liegt auf der Hand. Die Schutzziele und die zu deren Erreichung erforderlichen Maßnahmen sind risikoorientiert aus den Facetten des Gefährdungspotenzials abzuleiten.
Möglich sind hier der Missbrauch von ISDN- Leistungsmerkmalen wie Anrufumleitung, Rufweiterschaltung, Konferenzschaltungen, Anrufbeantworterfunktionen oder die direkte Weitervermittlung durch Telefonauskünfte (118XX).
Das Spektrum der Abhörmöglichkeiten ist groß. Es reicht vom Missbrauch von ISDN- Leistungsmerkmalen wie automatisches Aufschalten, d.h. der Realisierung der Funktion einer Wechselsprechanlage, Konferenzschaltungen mit zwei externen Teilnehmern, wobei die optische und akustische Signalisierung an diese nicht weitergereicht wird, über das Schalten eines Prüfkanals auf einen Teilnehmeranschluss bis zum Einsatz von Prüftelefonen und Schnittstellentestern oder speziellem professionellem Equipment.
Aus Kommunikationsprofilen ist ersichtlich, wer wann mit wem wie lange unter Nutzung welchen Dienstes (Sprache, Fax) kommuniziert hat. Die unberechtigte Kenntnisnahme von Kommunikationsprofilen kann gravierende Konsequenzen haben. Dazu ein Beispiel: Ein Unternehmen steht zum Verkauf. Die aus dem Kommunikationsprofil mit Leichtigkeit ableitbare Information, ob es einen oder mehrere Bieter gibt und um wen es sich dabei handelt, kann mit etlichen Millionen gehandelt werden.
Gelingt es einem Angreifer, auf Administrationsebene Zugang zu TK-Anlagen zu bekommen, steht ihm das gesamte Missbrauchspotential offen. Besonders gefahrenträchtig ist die Remote-Wartung aus dem öffentlichen Netz. Eine angemessene technische und organisatorische Absicherung aller beteiligten Komponenten wie Management-Tool, Laptops, Fernwartungssoftware, IT-Netz sowie der Zugänge, Übertragungswege und Verfahren ist unverzichtbar.
Die Gefährdung der physischen Sicherheit ist vollkommen analog zum IT-Bereich zu sehen. Aufgrund gewachsener Strukturen findet man in der Praxis immer wieder die Situation, dass Komponenten der Telekommunikation wie Nebenstellenanlage und Hauptverteiler so untergebracht sind, dass enorme Risiken vorhanden sind. Ein Beispiel: TK-Anlage und Hauptverteiler befinden sich in einem Raum, der als Lager, Werkstatt und zum Pausenaufenthalt genutzt wird. Die Gefahr eines Entste- hungsbrandes und die Brandlast sind enorm, wasserführende Leitungen durchqueren den Bereich, die Tür steht während des ganzen Arbeitstages offen.
Ohne Telekommunikation geht in vielen Unternehmen (fast) gar nichts. Trotzdem ist eine funktionsfähige Contingency- und Wiederanlaufplanung eine absolute Rarität. Es sind zwar Vorkehrungen gegen technische Ausfälle vorhanden, aber es fehlt schon an den elementaren Grundlagen, um die Folgewirkungen von Schäden beispielsweise durch einen Brand abfangen zu können. Die Datensicherung der TK- Anlagen wird nicht ausgelagert. Es ist keine Teilnehmeranschluss-Dokumentation vorhanden und erst recht gibt es keine funktionsfähigen Möglichkeiten zur Notfallüberbrückung und Ausweichlösungen.
Auch für die Sicherheit im Telekommunikationsbereich gilt, dass Entwicklungen von Anfang an unter Sicherheitsaspekten zu berücksichtigen sind. Viele Unternehmen planen unter Rationalisierungsaspekten den Einstieg in Voice-over-IP. Dabei muss jedoch dem Aspekt der Verfügbarkeit und der Gefährdung durch Abhören und Manipulation sowie den Aspekten Contingency- und Wiederanlauffähigkeit ausreichend Rechnung getragen werden.
