Cyberbedrohungen gibt es in allen Formen und Größen, ob es sich nun um Einzelpersonen handelt, die in kleinem Rahmen einen Betrug begehen wollen. Oder um staatlich geförderte Cyberwarfare-Abteilungen, die das Leben in der gesamten westlichen Welt stören wollen. MSPs spielen eine wichtige Rolle bei der Absicherung von Unternehmen gegen diese Bedrohungen. Insbesondere wenn es um die Kommunikation geht. Denn wenn Ihre VoIP-Sicherheit gefährdet ist, bedeutet dies, dass Angreifer Zugang zu Ihrer gesamten Kommunikation haben.
Sind VoIP-Telefone sicher?
Das hängt von den Systemen Ihres Anbieters ab. Viele VoIP-Telefone sind funktional sicher, d.h. sie werden regelmäßig aktualisiert und sind schwer zu knacken. Die Frage „Sind VoIP-Telefone sicher?“ ist jedoch eine schwierige Frage. Diese hängt von so vielen anderen Aspekten Ihres VoIP-Systems ab. Schauen wir uns also im Folgenden die gängigen Formen von Cyberangriffen an. Sie bekommen eine Vorstellung davon, wie sicher VoIP-Telefone tatsächlich sind.
Häufige Formen von Cyberangriffen
Verschiedene Formen der VoIP-Sicherheit sind gegen verschiedene Formen von Cyberangriffen wirksam. Daher ist es wichtig zu verstehen, wie Sicherheitsspezialisten die Schwachstellen in einem System sehen. Im Allgemeinen können Sie sich auf einen der folgenden Kernbereiche eines VoIP-Systems konzentrieren.
- Hardware
- Software
- Menschen
VoIP-Hardware
Wenn es um VoIP-Hardware geht, betrachten Sie die VoIP-Telefone selbst und alles, was daran angeschlossen ist. Ein sicheres VoIP-System stellt sicher, dass die Daten, die das Telefon sendet, von Anfang bis Ende verschlüsselt sind. Ebenfalls stellt es sicher, dass das Telefon eine aktuelle Firmware verwendet. Aber das ist noch nicht alles. Jede Verbindung dazwischen muss ebenfalls sicher sein.
Das bedeutet, dass ein sicheres VoIP-System den Router, die Firewall, die Server, über die die Daten laufen, und das Endgerät berücksichtigen muss. MSPs können das Endgerät nicht kontrollieren (es sei denn, es handelt sich um ein internes Gerät oder einen ihrer eigenen Kunden). Sie können aber ein sicheres VoIP-System schaffen, das allen Beteiligten die besten Erfolgschancen bietet.
Leider hat das Wachstum des Internets der Dinge gezeigt, dass es relativ einfach ist, die Sicherheit von Hardware zu untergraben, vor allem von Routern und Kameras. Selbst vernetzte Küchengeräte wie intelligente Kaffeemaschinen können als Einfallstor in ein Netzwerk oder zum Senden bösartiger Daten genutzt werden, da die Firmware dieser Geräte nur selten aktualisiert wird.
Zwar wird der VoIP-Sicherheit etwas mehr Aufmerksamkeit gewidmet, aber all diese Arbeit kann durch kompromittierte Hardware in anderen Bereichen des Netzwerks zunichte gemacht werden. Deshalb brauchen Sie eine Lösung, die vollständig verschlüsselt ist.
VoIP-Software
Im Allgemeinen ist Hardware leichter zu hacken, weil sie oft veraltet ist. Software hingegen sollte ständig aktualisiert werden… aber das tut sie natürlich nicht.
Manchmal gibt es Probleme mit Unternehmen, die Software aufgeben, die dann nach und nach immer unsicherer wird. Sicherheit durch Unklarheit ist nichts, auf das sich ein Unternehmen verlassen sollte. Ein sicheres VoIP-Telefon ist großartig. Wenn aber die Software, über die es seine Nachrichten überträgt, kompromittiert wurde (unabhängig davon, auf welcher Seite das geschieht), wird es nicht sicher bleiben.
MSPs können die Software, die ihre Kunden verwenden, immer kontrollieren. In der Regel durch eine gute Auswahl des Anbieters und indem sie sicherstellen, dass alles, was am Ende der Lebensdauer ist, auf die beste Version aktualisiert wird. Deshalb ist Software als Service so wichtig: Sie stellt sicher, dass die Software immer auf dem neuesten Stand bleibt und nicht nur für das erste Jahr. Aus diesem Grund beginnt eine gute PBX-Sicherheit mit einem sicheren, aktualisierten Software-Client Dieser ermöglicht verschlüsselte Sprachanrufe sowie Video- und Datenverbindungen.
Menschliches Versagen
Leider können Sie das beste VoIP-Telefon kaufen, das Sie sich leisten können, und das sicherste VoIP-System erwerben, aber all das kann zunichte gemacht werden, wenn die Menschen in der Kette einem Phishing-Betrug zum Opfer fallen.
Betrüger versuchen oft, über scheinbar legitime E‑Mails an Zugangsdaten zu gelangen. Obwohl die Spam-Systeme viele von ihnen gut abwehren können, sind sie nicht perfekt. Ein gutes IT‑Sicherheitssystem muss Informationen so weit wie möglich einschränken. Es muss sichergestellt werden, dass selbst wenn jemand kompromittiert wird, er nicht allzu viel Schaden anrichten kann.
Dazu gehört auch der Zugang zu Ihrem VoIP-System. Zu einer guten VoIP-Netzwerksicherheit gehört natürlich auch die Berücksichtigung des menschlichen Elements. Zum Beispiel die Verwendung von 2FA/MFA zur Verringerung des Passwortrisikos, die Sicherstellung, dass Geräte von Drittanbietern durch den Einsatz eines integrierten SBC minimiert werden, und das Salzen und Hashing gespeicherter Passwörter. Zu einer guten VoIP-Netzwerksicherheit gehört aber auch, dass Sie Ihre Mitarbeiter darin schulen, die Anzeichen von Social Engineering zu erkennen. Sodass Sie sie ermutigen, potenzielle Sicherheitsverletzungen zu melden (selbst wenn sie diese selbst verursacht haben) und dass Sie sicherstellen, dass sie scheinbar legitime E‑Mails oder Gespräche hinterfragen können, die das Risiko einer Sicherheitsverletzung zu bergen scheinen (z. B. wenn jemand Benutzerdaten verlangt).
Es ist auch wichtig, den Zugang für diejenigen zu beschränken, die ihn nicht brauchen. Selbst wenn sie glauben, dass sie ihn brauchen. So ist es zum Beispiel üblich, dass Unternehmen CEOs und anderen Führungskräften hochrangige Zugangsdaten zur Verfügung stellen, auch wenn sie diese nicht benötigen. Diese Praxis kann die Sicherheit erheblich untergraben. CEOs besitzen Autorität und können Befehle erteilen, die nicht immer hinterfragt werden. Darüber hinaus verfügen sie oft über die meisten öffentlich zugänglichen Informationen über sich selbst.
Kombinierte Angriffe
Die meisten Cyberangriffe, die Schaden anrichten, verwenden natürlich eine Mischung von Methoden.
Wie wir bei dem 3CX-Angriff im Jahr 2023 gesehen haben, bestand die erste Schwachstelle darin, dass ein Entwickler des Unternehmens Software heruntergeladen hatte, die kompromittiert worden war – menschliches Versagen. Was dann geschah, war, dass der Entwickler an Projekten arbeitete, während die Angreifer begannen, bösartigen Code in die Software einzufügen – und so kompromittierte Software schufen. Die Qualitätssicherung für die Software hat den kompromittierten Code, aus welchen Gründen auch immer, nicht entdeckt und das Ergebnis ging in Produktion. Tausende von Anwendern luden die kompromittierte Software herunter. Sie erlebten aufgrund dieses Versagens der Telefonanlagensicherheit eine Menge Stress und Sorgen.
Schlimmer noch, einige Kunden gaben ihren MSPs die Schuld an der Sicherheitsverletzung. Viele mussten sich zusammenreißen, um die Folgen abzumildern.
Ein weniger bekanntes Problem war der Fall der Yealink-Telefone, von denen einige offenbar Daten an chinesische Server zurücksendeten. Dies war ein Beispiel für eine potenziell gefährdete Hardware. Es ist schwer zu sagen, ob die VoIP-Sicherheit dieser Telefone tatsächlich gefährdet war. Es sah aber nicht gut für Yealink aus. Im US‑Kongress wurden Fragen aufgeworfen, ob Anrufe in US‑Diensten abgefangen wurden.
Fast ebenso schlimm war die Endbenutzer-Lizenzvereinbarung. Diese zwang Benutzer, das chinesische Recht zu akzeptieren, so dass es kaum Rechtsmittel gab, wenn ein Unternehmen oder eine Regierung ein Problem hatte.
Die kompromittierte Hardware könnte zu einer kompromittierten Software führen, wenn sie als Angriffsvektor verwendet wird. Sie könnte immer einen Anruf mit sensiblen Daten abfangen (menschliches Versagen).
Warum Cyberangreifer die VoIP-Sicherheit kompromittieren
Es gibt drei Hauptgründe, warum Cyberangreifer die VoIP-Sicherheit gefährden:
- Monetärer Gewinn
- Störung verursachen
- Denn sie können
Die ersten beiden sind im Großen und Ganzen miteinander verbunden: Es gibt eine Art von Gewinn, wenn man ein VoIP-System hackt oder in es einbricht. Ransomware ist die klassische Methode, um ein ganzes Netzwerk lahmzulegen, indem Computer mit Hilfe von Software ausgesperrt werden. Diese Software ist bekanntermaßen schwer zu knacken und verschlüsselt oft den Inhalt eines Speichers, so dass er nicht mehr wiederhergestellt werden kann. Normalerweise müssen Ransomware-Opfer eine Gebühr zahlen, wenn sie keine guten Backups haben, um ihre Daten (vielleicht) wiederzubekommen. In einigen Fällen wird die Gebühr jedoch bezahlt und die Daten werden nie wiederhergestellt.
Oder sie versuchen, das Geld auf Offshore-Konten zu verschieben, von wo aus es rund um die Welt auf ihre Konten transferiert wird. Das könnte so einfach sein wie die Überredung eines Kunden, eine Bestellung aufzugeben, bei der das Geld auf ein von ihnen kontrolliertes Konto überwiesen wird. Wenn sie Zugang zu einem ungesicherten VoIP-System haben, könnte dies sehr einfach sein. Vor allem, wenn das Unternehmen keine bewährten VoIP-Sicherheitspraktiken anwendet.
Staatlich gesponserte Hacker und Hobby-Hacker im Fokus
In vielen Fällen, insbesondere wenn Hacker von einem Staat gesponsert werden, besteht das Ziel darin, Störungen zu verursachen und nicht, finanziell zu profitieren. Das liegt daran, dass bestimmte Staaten wie Russland darauf abzielen, westliche Unternehmen zu stören, um Unzufriedenheit zu säen. Das alles ist Teil eines Informationskriegs Russlands (und anderer Länder), den sowohl Deutschland als auch die Ukraine kürzlich erlebt haben. Durch die Störung der Technik im Allgemeinen (einschließlich der VoIP-Systeme) hoffen sie, auf der ganzen Welt Probleme zu verursachen und das Tempo und den Fluss des Lebens zu stören. Dabei spielt es keine Rolle, dass es sich um Systeme für Krankenhäuser, Schulen und lokale Behörden handelt, die einfach nur versuchen, das Leben der Menschen zu verbessern.
Und dann gibt es Leute, die Systeme knacken wollen, nur weil sie es können. Dabei handelt es sich in der Regel um Personen, die sich langweilen, die ein Interesse daran haben, in Systeme einzubrechen und die sich selbst testen wollen. In den 80er und 90er Jahren hätte man sie wahrscheinlich als Phreaker bezeichnet (wenn sie physische Telefonsysteme gehackt hätten – natürlich gibt es eine ganze Diskussion über die Sicherheit von VoIP und Festnetz). Jetzt sind sie einfach Hacker.
In der Regel versuchen sie, in ein System einzudringen und es wieder zu verlassen, vielleicht mit einigen zufälligen Daten. Obwohl sie in der Regel keinen allzu großen Schaden anrichten, ist es immer besorgniserregend, wenn eine unbefugte Person auf Ihre Konten zugreift.
Wie bauen Sie ein sicheres VoIP-System?
Schaffen Sie ein sicheres VoIP-System mit verschlüsselten Sprachanrufen (und Video und Daten). Verwenden Sie ein System mit MFA oder 2FA sowie standardmäßig aktivierter Einzelanmeldung. Stellen Sie sicher, dass es die Erkennung und Überwachung von Eindringlingen ermöglicht. Dies sind jedoch nur die ersten Best Practices für die VoIP-Sicherheit.
Jedes PBX-Sicherheitssystem benötigt Berichte, Salting und Hashing von Passwörtern, stark verschlüsselten Datenverkehr von Anfang bis Ende und DoS-Schutz.
Aber auch die Mitarbeiter müssen geschult werden, um zu erkennen, wie man häufige (und viele weniger häufige) Betrügereien vermeiden kann. Wer die Frage stellt, ob VoIP sicher ist, wird immer die Antwort erhalten: „Es kommt darauf an“ – und das liegt daran, dass es auf das System und den Unternehmensethos ankommt. Wer gut geschult ist, wird seine VoIP-Sicherheit erheblich verbessern. Die Antwort auf die Frage „Ist VoIP sicher“ wird „Ja“ lauten. Diejenigen, die keine gute Schulung anbieten, könnten sich in Schwierigkeiten befinden.
Wie MSPs von sicheren VoIP-Systemen profitieren
MSPs und ihre Kunden brauchen eine gute VoIP-Sicherheit. Vor allem, da sich VoIP allmählich durchsetzt (dank der mehrfachen Abschaltung von Kupferleitungen ist die Frage nach der Sicherheit von VoIP im Vergleich zum Festnetz gar nicht mehr relevant). Mit einem sicheren VoIP-Telefonie-Paket, das Wildix enthält, können sie ihre Kunden schützen und ihren Ruf wahren. Schließlich war der 3CX-Sicherheitsverstoß ein großes Problem für MSPs. Plötzlich stand der Ruf von MSPs auf dem Spiel, und es wurde viel darüber berichtet.
Das Hauptproblem ist die Tatsache, dass billige Lösungen oft nicht gut optimiert sind, um einen mäßig kompetenten Hacker zu schlagen. Und große, klobige Unternehmen, die sich nicht unbedingt auf VoIP konzentrieren, haben vielleicht nicht die besten Prozesse, wenn es darum geht, Löcher in ihren Systemen zu stopfen. Allerdings verfügen sie oft über mehr Ressourcen als preisgünstige Asterisk-basierte Lösungen.
Letztendlich besteht der Weg zu einer guten VoIP-Sicherheit darin, eine gute Lösung wie Wildix zu verwenden, bei der die Sicherheit an erster Stelle steht. Auf diese Weise ist Ihr MSP geschützt, Ihre Kunden sind geschützt und Ihr Ruf ist geschützt.
Wenn Sie mehr über Technik und Cybersicherheit erfahren möchten, abonnieren Sie unser kostenloses Magazin!