Sicherheit für UCC-Services

EnterpriseProjekteSicherheitSoftwareSoftware-Hersteller

Wenn es um den sicheren Einsatz von Unified-Communications- und Collaborations-Lösungen (UCC) geht, wäre ein abgeschottetes Firmen-Netzwerk in punkto Sicherheit kaum zu übertreffen. Wer aber seinen Schutzbedarf kennt und ein entsprechendes ganzheitliches Sicherheitskonzept für sich entwickelt hat, kann getrost auch auf Cloud-basierende UCC-Services zurückgreifen. Ein Artikel von Pietro Guidato, Director Consulting & Presales Support bei Damovo.

Früher war die ITK-Welt einfach und überschaubar. Auf dem Schreibtisch im Büro standen der PC und das Telefon und im Rechenzentrum liefen die Telefonanlage sowie die Server mit allen Applikationen. Das alles ist nicht verschwunden, wurde aber durch immer neue Applikationen, Endgeräte und Kommunikationskanäle ergänzt – und vielfach immer komplexer. Daten, Sprache und Video sind zusammengewachsen, der Mobilitätsgrad ist gestiegen und eine Vielzahl neuer mobiler Endgeräte ist hinzugekommen, Blackberrys und Smartphones waren nur der Anfang. Heute sind es iPhones, iPads sowie Dells Streak und viele andere neue Devices.

Die Komplexität nimmt zu, wenn eine immer größere Zahl von Mitarbeitern nur noch in seltenen Fällen einen festen Arbeitsplatz im Büro ansteuert und ansonsten unterwegs, bei Kunden oder als Teleworker im Home Office arbeitet. Sie alle benötigen Applikationen und Arbeitsumgebungen, die mit der internen und externen Unternehmenskommunikation und der Zusammenarbeit mit Kollegen, Lieferanten, Geschäftspartnern und Kunden zu tun haben – zusammengefasst unter dem Begriff Unified Communications und Collaboration (UCC).

Ziel ist es, zu jeder Zeit und von jedem Ort mit jedem Gerät einen uneingeschränkten Zugriff auf relevante Informationen und Daten zu haben, sowie alle zur Verfügung stehenden Kommunikationskanäle zu nutzen, wie Sprache, Video, Instant Messaging. Ähnlich wie sich Arbeitsformen ändern, ändert sich die Art und Weise, wie Applikationen, Daten und Kommunikations-Tools bereitgestellt werden. Aus organisatorischen und wirtschaftlichen Gründen sind immer mehr Unternehmen dazu übergegangen, zumindest Teile – zum Beispiel Kommunikationsanwendungen – an einen Dienstleister auszulagern. Entscheidend dabei ist, dass der Betreiber solcher Applikationen sich nahtlos in das Sicherheitskonzept integriert und den eigenen Schutzbedarf erfüllt. Bei Unified Communications and Collaboration etwa lassen sich die Grundformen Eigenbetrieb, Managed Services und SaaS unterscheiden.

Eigenbetrieb

Hier ist wie gewohnt das interne IT-Personal eines Unternehmens für den Betrieb und die Verwaltung der UCC-Infrastruktur zuständig. Die Telefonanlage und die Mail-Server als zentrale Bausteine und andere Infrastrukturelemente wie Nebenstellenanlagen sowie weitere Anwendungsserver sind auf dem Firmengelände installiert und ihre Nutzung erfolgt ausschließlich durch die eigenen Mitarbeiter. Dass alles aus einem Rechenzentrum kommt und dort im Eigenbetrieb administriert wird, ist aber heute schon fast die Ausnahme.

Managed Services

In diesem Modell gibt es einen externen IT-Dienstleister, der für den Betrieb und die Wartung der beim Kunden installierten Infrastruktur verantwortlich ist. Organisatorisch machbar ist, dass sich der Dienstleister auf einzelne Teile, etwa das Mailsystem oder die Nebenstellenanlage fokussiert, oder dass er die gesamte Kommunikationsinfrastruktur betreut.

UCC as a Service (UCaaS)

Grundbestandteile von UCaaS, Grafik: Damovo
Grundbestandteile von UCaaS, Grafik: Damovo

Dabei wird die gesamte UCC-Lösung durch einen Dienstleister bereitgestellt. Ein Anbieter unterhält ein eigenes Rechenzentrum, an das er seine Kunden über ein Virtual Private Network (VPN) anbindet. Beim Kunden selbst, in der Firmenzentrale, einer Niederlassung oder an einem Teleworking-Arbeitsplatz, werden keine Nebenstellenanlagen oder Mail-Server mehr benötigt. Die Mitarbeiter verwenden Kommunikations-Services ausschließlich über ihre gewohnten physischen Endgeräte (IP-Telefone) oder über Software-Clients. Die UCC-Lösung besteht aus Software und wird als Cloud-Service genutzt. Statt Beschaffung und dem Unterhalt von Servern fallen laufende monatliche Gebühren an. Darin enthalten sind die Entgelte für die Softwarenutzung sowie Beträge für Service und Support.

Allein schon deshalb, weil in vielen Fällen unternehmenskritische Daten mit UCC-Lösungen gelesen und bearbeitet werden, müssen in allen drei Betriebs- und Nutzungsmodellen hohe Sicherheitsanforderungen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit der Daten gelten. Die Regeln und Maßnahmen dazu werden in einem unternehmensweit geltenden IT-Security-Regelwerk definiert und umgesetzt.

Sicherheit von A bis Z

Security Services für UCC umfassen viele Maßnahmen, Grafik: Damovo
Security Services für UCC umfassen viele Maßnahmen, Grafik: Damovo

Unabhängig vom UCC-Betriebsmodell müssen eng aufeinander abgestimmte Maßnahmen auf drei Ebenen implementiert sein: Server, LAN und WAN-Infrastruktur sowie stationäre und mobile Endgeräte. Dabei sind alle Einzelmaßnahmen technisch und organisatorisch aufeinander abgestimmt. Insbesondere dann, wenn UCC als Cloud-Service zum Einsatz kommt, wird die Datensicherheit zur Nagelprobe. ITK-Security fängt im Rechenzentrum an – ob im eigenen oder in dem des UCaaS-Providers – und reicht bis zum mobilen Endgerät des Vertriebs- oder technischen Mitarbeiters im Außendienst. Die Sicherheitsmaßnahmen müssen den gesamten End-to-End-Informations- und Kommunikationsprozess umfassen und reichen von Servern und den darauf vorhandenen Daten und Applikationen über das LAN/WAN und mobilen Endgeräten wie Notebooks und Smartphones bis hin zu den Anwendern. Diese Methodik stellt alle notwendigen Werkzeuge bereit, um in individuellen Lösungen bestimmte Bausteine ganz gezielt zur Verbesserung der Sicherheitslage einzusetzen. Eine UCaaS-Lösung erfordert daher besondere Aufmerksamkeit, wenn Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikation gewährleisten wollen.

Ein ganzheitlicher Ansatz setzt bei den Servern für Daten und Sprache im Rechenzentrum an. Für IP-Telefonie-Server ist der Einsatz optimierter und gehärteter Betriebssysteme mit integrierten Firewall-Funktionen erforderlich – seien es spezielle Varianten von Linux oder Windows. Notwendig sind darüber hinaus Viren-Scanner, die auf den Servern Viren aufspüren, sie isolieren und löschen. Ergänzt werden die Viren-Scanner durch Intrusion-Detection/Prevention-Systeme (IDS/IPS).

Um ein besonders hohes Maß an Sicherheit zu erzielen, sollten Unternehmen bei der Netzwerk-Infrastruktur – ob im eigenen LAN/WAN oder der Verbindung zum UCaaS-Provider – eine gesicherte End-to-End-Verschlüsselung unter Nutzung von SRTP (Secure Real-time Transport Protocol), IPsec und MPLS (Multiprotocol Label Switching) installieren. Bei MPLS geht es unter anderem um die Quality of Services (QoS).

Viele der Aspekte, die für Sicherheit im WAN und LAN sorgen, gelten ebenfalls für die Endgeräte, seien es IP-Telefone, Soft-Clients auf Desktops oder Notebooks, aber auch Smartphones und andere IP-fähige Mobiltelefone. Auch hier zählen Funktionen wie Viren-Scanner, eine Personal Firewall, die Authentifizierung, die Datenverschlüsselung auf den Devices und die verschlüsselte Übertragung der Informationen zu den unabdingbaren Bausteinen der ITK-Security im Unternehmen.

Allerdings ist es mit Technologie alleine nicht getan. Denn die besten Security-Tools nutzen nichts, wenn Mitarbeiter die grundlegenden Sicherheitsvorschriften missachten. Zu den wichtigsten Maßnahmen zählt neben der Verwendung eines in bestimmten Intervallen zu ändernden Passworts die gründliche Schulung der Benutzer sowie eine regelmäßige Bewertung und Anpassung der Sicherheitsvorkehrungen. Beim Einsatz von Unified Communications as a Service kommt es darauf an, dass ein durchgängiges Security-Konzept definiert und umgesetzt wird, das vom Rechenzentrum des Service-Providers bis zu mobilen Endgeräten der Mitarbeiter reicht.