IRStone - stock.adobe.com
Unfied Communications: Sicherheitsrisiken und Gegenmaßnahmen
Vier zentrale Gefahren für Unified Communications kompakt aufbereitet mit klaren Hinweisen für Schutz und Betrieb. Geeignet für IT-Teams, die Kommunikation sicher gestalten wollen.
Mit dem zunehmenden Einsatz von Unified Communications (UC) in Unternehmen jeder Größe steigt auch die Bedeutung dieser Technologie. Die Sicherheit der UC-Infrastruktur ist dabei ein wesentlicher Faktor.
Wie bei allen Sicherheitsfragen erfordert auch die Sicherheit von Unified Communications einen mehrschichtigen Ansatz, um wirksam zu sein. Wenn Sie Ihre UC an einen Drittanbieter ausgelagert haben, fällt der Schutz in dessen Verantwortungsbereich. In der Praxis handelt es sich dabei um ein geteiltes Modell (Shared Responsibility): Die Konfiguration, Identitäten und Endgeräte verbleiben bei Ihnen, während der Provider für die Plattform- und Infrastrukturkontrollen zuständig ist. Wenn Ihre UC-Infrastruktur jedoch intern verwaltet wird, reicht die allgemeine Sicherheitsinfrastruktur, die aus einer Firewall, einer Antivirenlösung und passwortgeschützten Systemen besteht, womöglich nicht aus, um sich vor vielen UC-spezifischen Bedrohungen zu schützen. Setzen Sie deshalb zusätzlich auf Zero-Trust-Prinzipien (starke Identitäten, Gerätezustand, geringste Rechte) und Telemetrie aus UC-/SaaS-Diensten.
Insbesondere für UC muss der Fokus auf die Sicherheit von Sprach- und Videoanwendungen gelegt werden. Diese Anwendungen nutzen allesamt das offene Session Initiation Protocol (SIP). SIP übernimmt den Sitzungsaufbau für VoIP- und Videositzungen, für deren Ausführung das Real-Time Transport Protocol (RTP) zum Einsatz kommt. Der Session Border Controller (SBC) ist wiederum die Infrastrukturkomponente, die für den Aufbau und die Ausführung der VoIP- und Videositzungen zuständig ist. Sie sollten die Signalisierung per SIP-TLS, möglichst mTLS (mutual TLS) zu Trunks/Providern, und die Medien per SRTP absichern und SIP über UDP an Perimeterschnittstellen nach Möglichkeit deaktivieren.
In der Vergangenheit verließ man sich typischerweise auf eine VoIP-fähige Firewall, um UC netzwerkseitig abzusichern. Zwar erkannten solche Firewalls die für SIP genutzten Ports und konnten bestimmte Angriffe, etwa Denial of Service (DoS), abwehren. Doch viele dieser Firewalls waren nicht sessionsfähig und deshalb nicht in der Lage, raffiniertere Attacken zu stoppen. Heute verfügen moderne Next-Generation-Firewalls (NGFW) über SIP-/Anwendungsinspektion, ersetzen jedoch keinen SBC für Trunking, Topology Hiding (SBC-Funktion, die interne IPs und Domains versteckt)und Richtlinienvollzug. Für Interconnects (zum Beispiel zu Carriern oder Microsoft Teams Direct Routing) bleibt ein zertifizierter SBC die beste Praxis.
In den letzten Jahren haben einige SBC-Anbieter SIP-spezifische Sicherheitskomponenten in ihre SBCs integriert. Diese können die SIP- und VoIP-Sicherheit, die von Ihrer bestehenden Firewall bereitgestellt wird, ersetzen oder verbessern. Dazu zählen u. a. Stateful-/Anomaly-Detection, DoS-/Flood-Schutz, ENUM-/Extension-Abwehr, Topology-Hiding, B2BUA-Isolierung ((Back-to-Back User Agent)) und feingranulare Wählplanrichtlinien.
Werfen wir nun einen Blick auf die vier größten Bedrohungen für die Sicherheit von Unified Communications.
1. Denial of Service (DoS)
Es dürfte kaum überraschen, dass es eine Reihe von DoS-Angriffen gibt, die sich speziell gegen VoIP-Systeme richten. DoS-Attacken kommen in mehreren Varianten vor. Beim Flooding zum Beispiel wird das System durch eine Flut von Anfragen lahmgelegt. Bei anderen DoS-Angriffen werden gezielt Sessions gestartet, die dann durch Aktionen wie einen fehlenden Abschluss des Protokoll-Handshakes oder die Manipulation des Protokolls blockiert werden.
Weitere Methoden sind Call Flooding, Message Flooding, fehlerhafte oder ungültige Nachrichten sowie Disruptive Signaling.
Eine Möglichkeit, UC-orientierte DoS-Angriffe zu bekämpfen, besteht darin, festzustellen, welche Ihrer Netzwerkkomponenten (Switches, Router oder Firewalls) eine Ratenbegrenzung unterstützen. Wenn diese Funktion vorhanden ist, sollten Sie sie auf Ports aktivieren, die mit wichtigen UC-Komponenten verbunden sind. So verhindert das Netzwerkgerät, dass die Flut die UC-Komponenten überhaupt erreicht. Richten Sie außerdem gezielte Schutzmechanismen für die Steuerungsebene ein (Control Plane Policing, CoPP) mit Ratenbegrenzung für SIP-Signalisierung und Administrationszugriffe. Aktivieren Sie im SBC den Schutz vor Anfragefluten sowie die Erkennung ungewöhnlicher Zustandswechsel.
Denken Sie daran, dass DoS-Angriffe nicht unbedingt von externen Quellen ausgehen. Unternehmen haben heute oft eine beträchtliche Anzahl von IoT-Geräten in ihren internen Netzwerken. Dazu können Videokameras, verschiedene Sensoren und andere Geräte gehören. Viele dieser Komponenten, vor allem die preiswerten, sind nur rudimentär gesichert und lassen sich leicht angreifen. Hacker können die Kontrolle über diese Geräte übernehmen und DoS-Attacken sowie andere Angriffe auf interne Ressourcen hinter der Firewall starten, die dann ungeschützt sind. Segmentieren Sie IoT-Geräte per VLAN/VRF und erzwingen Sie Ost-West-Filterung (zum Beispiel per ZTNA/Mikrosegmentierung), um laterale Bewegungen zu erschweren.
2. Theft of Service
Theft of Service ist sozusagen die Kehrseite von DoS. Während DoS-Angriffe ziemlich offensichtlich sind, trifft dies auf Theft of Service nicht zu – zumindest nicht unmittelbar. Solche Attacken bemerken Sie möglicherweise nicht einmal, es sei denn, Ihr System wird nutzungsbasiert abgerechnet.
Dabei tarnen sich die Angreifer als rechtmäßige Nutzer, um Ihr UC-System für ihre eigenen Zwecke zu missbrauchen. Es handelt sich um eine moderne Version des alten PBX-Hacks für Ferngespräche. Damals waren Ferngespräche teuer. Heute sind Ferngespräche nicht mehr kostspielig. Infolgedessen liegt der Fokus nun auf verbotenen und illegalen Anrufen. Besonders verbreitet ist dabei das sogenannte International Revenue Share Fraud (IRSF) über hochpreisige Zielorte.
Einmal in Ihr System eingedrungen, kann der Hacker betrügerische Anrufe tätigen. Wenn die Angerufenen die angezeigte Telefonnummer den Behörden melden, führt die Spur nicht zu den tatsächlichen Hackern, sondern zu Ihrem Unternehmen. Das könnte Ihre Firma in Schwierigkeiten bringen und zu einem echten Problem werden, wenn Sie den Behörden gegenüber beweisen müssen, dass Ihr System gehackt wurde. Mögliche Präventionsmaßnahmen sind: restriktive Wählpläne (Allowlists für Länder/Nummernblöcke), Zeit-/Kostenlimits, Anomalie-Erkennung auf CDRs (Call Detail Record, Verbindungsprotokoll), Geo-Blocking, Provider-Fraud-Alerts und Sperrlisten. Wo verfügbar, sollte außerdem die Authentifizierung der Anrufer-ID eingesetzt werden.
3. Hacking-Tools
Öffentlich zugängliche Hacking Tools können sowohl von außerhalb als auch von innerhalb Ihres Netzwerks genutzt werden, um Probleme zu verursachen. Einige dieser Tools waren ursprünglich als legitime Möglichkeiten zur Überprüfung von VoIP-Umgebungen vorgesehen, lassen sich jedoch auch missbrauchen, um Ihr System zu kompromittieren. Ein Beispiel hierfür ist SIPVicious. Die Software gibt es seit vielen Jahren und sie steht auf GitHub zum Download bereit. Als Open-Source-Suite eignet sie sich auch für legitime Security-Tests Ihrer eigenen Umgebung.
SIPVicious ist eine Programmsuite, die aus mehreren Einzel-Tools besteht, darunter svmap, svwar und svcrack. Ersteres lässt sich nutzen, um Ihr Netzwerk zu scannen und die Adressen von SIP-Servern zu ermitteln. svwar kann aktive PBX-Nebenstellen identifizieren und svcrack wird verwendet, um Passwörter für Registrar- und Proxy-Server zu knacken. Mögliche Gegenmaßnahmen sind: starke, nicht wiederverwendete SIP-Credentials, keine anonymen INVITEs, Login-Lockout/Fail2Ban, Schutz vor Extension-Enumeration, TLS-erzwingende Registrare und IP-Allowlists für Administrationspfade.
4. UC in a Box
Die durch die Corona-Pandemie und die damit einhergehende Fernarbeit angeheizte Ära von Zoom hat eine neue Reihe von UC-Sicherheitsproblemen hervorgebracht. Zoom und ähnliche Anbieter wie Cisco Webex, RingCentral, Microsoft Teams, 8x8 und Amazon Chime sind im Grunde genommen UC-in-a-Box-Produkte – also Softwarelösungen. Diese Systeme bieten ein komplettes UC-Ökosystem in einer einzigen Anwendung, einschließlich Videokonferenzen, Instant Messaging und Telefonie. Die riesige installierte Basis einiger dieser Systeme – insbesondere Zoom und Teams – macht sie zu einem attraktiven Ziel für Hacker, was für Sie zu einem großen Problem werden kann.
Die Zoom-Software ist für viele Unternehmen das UC-System schlechthin geworden. Ein Sicherheitsproblem, das Zoom, Teams oder Webex betrifft, könnte zu einem unternehmensweiten UC-Ausfall führen. Gleichzeitig haben die Anbieter ihre Kryptografie ausgebaut: Zoom bietet E2EE (einschließlich post-quantenresistenter E2EE für Meetings), Microsoft Teams bietet E2EE für 1:1-Anrufe, für Meetings bestehen jedoch teilweise Funktions- und Lizenzbeschränkungen.
Noch schlimmer ist, dass es den Hackern nicht nur darum geht, Zoom oder einen anderen UC-Dienst zu beeinträchtigen. Sobald sie in den Computer eines Benutzers und in dessen Firewall eingedrungen sind, können Angreifer die UC-Plattform nutzen, um andere interne Angriffe zu starten. UC-Systeme sind komplexe Gebilde mit vielen Komponenten, sodass es für Hacker zahlreiche Angriffspunkte gibt. Planen Sie deshalb Resilienz ein: Provider-Statusmonitoring, Fallback-Carrier/PSTN-Routen, alternative Meeting-Pfadoptionen und klare Betriebsverfahren für großflächige Störungen.
Möglichkeiten zum Schutz Ihrer UC-Infrastruktur
Was können Sie tun? Zunächst sollten Sie wissen, welche UC-Systeme Ihre Endanwender nutzen. Diese erhalten Kalendereinladungen von mehreren Personen, die im Wesentlichen einen Link zum Herunterladen eines UC-Systems deren Wahl für das Meeting enthalten. Mit der Zeit können fünf oder sechs UC-Anwendungen auf einem Computer installiert sein, ohne dass diese genutzt werden. Wenn Sie nur die Sicherheit der aktiv genutzten UC-Systeme überprüfen, bewachen Sie möglicherweise nur die Vordertür und lassen die Hintertür offen. Inventarisieren und kontrollieren Sie installierte Clients per Endpoint-Management und deaktivieren Sie ungenutzte Add-ins/Protokoll-Handler.
Wenn Sie einen Cloud Access Security Broker (CASB) installiert haben, können Sie dieses System außerdem verwenden, um die Nutzung von UC-Anwendungen zu überwachen, zu verfolgen oder zu blockieren. Aktualisieren Sie Ihren Ansatz auf Security Service Edge (SSE): CASB plus Secure Web Gateway (SWG) plus ZTNA, um UC-SaaS granular zu überwachen, nicht genehmigte Clients zu blockieren und Richtlinien an Identität und Gerätezustand zu knüpfen.
Des Weiteren können Sie, auch wenn es mehr Arbeit bedeutet, den Änderungsverlauf Ihres UC-Hauptsystems verfolgen und steuern, also wie oft Aktualisierungen vorgenommen werden. Automatische Aktualisierungen sind zwar bequem, bedeuten aber auch, dass bedeutende Funktions-Upgrades neue Schwachstellen mit sich bringen können, die sich leicht ausnutzen lassen.
Zu empfehlen sind Updates mit geprüfter digitaler Signatur (Code Signing), eine gestaffelte Ausrollung in Ringen oder Wellen (zunächst eine Pilotgruppe, dann ein erweiterter Kreis und schließlich die Gesamtmenge) sowie Positivlisten für Update-Server und Bezugsadressen (Allowlisting). Darüber hinaus sollten Sicherheitslücken schnell behoben werden und die Bereitstellung sollte nachvollziehbar sowie wiederholbar sein und klare Rückfallpläne (Rollback) umfassen, statt Updates generell aufzuschieben.
Dann gilt es, Identitäten und Admin-Oberflächen zu härten. Erzwingen Sie Multifaktor-Authentifizierung (MFA) und Privileged Identity Management (PIM) sowie Privileged Access Management (PAM) für PBX-/SBC-/UC-Adminportale, getrennte Admin-Arbeitsplätze, Conditional Access und Just-in-Time-Berechtigungen.
Fazit
Diese Angriffe sind nur einige der vielen Bedrohungen für die Sicherheit von Unified Communications, denen UC-Systeme heute ausgesetzt sind. UC-spezifische Sicherheit auf Firewalls, SBCs und anderen Systemen ist ein Muss. Zusätzlich sind durchgängige Verschlüsselung (SIP-TLS/mTLS, SRTP), starke Identitäten, SSE-Kontrollen und betrugsfeste Wahlpläne entscheidend. Auch wenn die Sicherheit von UC und VoIP nicht so viel Aufmerksamkeit erhält wie Bedrohungsszenarien in Form von Ransomware, darf man nicht vergessen, dass Angriffe auf UC-Komponenten erhebliche Probleme verursachen können, wenn sie nicht erkannt und unterbunden werden.
Letztlich geht es um mehrschichtige Sicherheit. Je mehr Schichten zum Schutz Ihrer UC verfügbar sind, desto geringer ist die Wahrscheinlichkeit einer Kompromittierung. Kombinieren Sie Netzwerk-, SBC-, Identitäts- sowie SaaS-Schichten und testen Sie regelmäßig mit kontrollierten, legalen Tools.
Dieser Artikel wurde ursprünglich von Kevin Tolly verfasst und von der ComputerWeekly-Redaktion im November 2025 aktualisiert, um Branchenveränderungen widerzuspiegeln.
