Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.373 Erstellung einer Sicherheitsrichtlinie für VoIP - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.373 Erstellung einer Sicherheitsrichtlinie für VoIP

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, IT-Sicherheitsmanagement

Bei der Telefonie werden hohe Erwartungen in deren Verfügbarkeit gesetzt. Ebenso wichtig ist aber deren Vertraulichkeit. Daher ist der sichere und ordnungsgemäße Betrieb von Telekommunikationseinrichtungen besonders wichtig. Dieser kann nur sichergestellt werden, wenn das Vorgehen in die bestehenden sicherheitstechnischen Vorgaben integriert ist.

Die zentralen sicherheitstechnischen Anforderungen an VoIP sowie das zu erreichende Sicherheitsniveau ergeben sich aus der organisationsweiten Sicherheitsleitlinie. Sie sollten in einer spezifischen Sicherheitsrichtlinie für VoIP formuliert werden, um die übergeordnete und allgemein formulierte Sicherheitsleitlinie zu konkretisieren und umzusetzen. In diesem Zusammenhang ist zu prüfen, ob neben der organisationsweiten Sicherheitsleitlinie weitere übergeordnete Vorgaben wie beispielsweise IT-Richtlinien, Passwortrichtlinien, Richtlinien zu den IT-Systemen, auf denen die VoIP-Komponenten betrieben werden, oder Vorgaben zur Internetnutzung zu berücksichtigen sind.

Die VoIP-Sicherheitsrichtlinie muss allen Personen und Gruppen, die an Planung, Beschaffung und Betrieb der VoIP-Komponenten beteiligt sind, bekannt und Grundlage für deren Arbeit sein. Wie bei allen Richtlinien sind ihre Inhalte und ihre Umsetzung im Rahmen einer übergeordneten Revision regelmäßig zu prüfen.

Die Sicherheitsrichtlinie sollte zunächst das generell zu erreichende Sicherheitsniveau spezifizieren und grundlegende Aussagen zum Betrieb von VoIP treffen. Nachfolgend sind einige Punkte aufgeführt, die berücksichtigt werden sollten.

Allgemeine Regelungen für die VoIP-Nutzung

Alle VoIP-Benutzer sollten über potentielle Risiken und Probleme bei der VoIP-Nutzung sowie über den Nutzen, aber auch die Grenzen der eingesetzten Sicherheitsmaßnahmen aufgeklärt sein.

Da für die VoIP-Komponenten immer wieder neue Sicherheitslücken offen gelegt werden, sollte sich das IT-Sicherheitsmanagement regelmäßig über aktuelle Risiken informieren. Gegebenenfalls ist es angebracht, die Mitarbeiter regelmäßig über die neu bekannt gewordenen Gefahren zu informieren und damit auch zu sensibilisieren.

Bei der Erstellung einer Sicherheitsrichtlinie ist es empfehlenswert, so vorzugehen, dass zunächst ein Maximum an Forderungen und Vorgaben für die Sicherheit der Systeme aufgestellt wird. Diese sollten anschließend zwischen allen Beteiligten abgestimmt werden und auf Machbarkeit überprüft werden. Idealerweise wird so erreicht, dass alle notwendigen Aspekte berücksichtigt werden. Für jede im zweiten Schritt verworfene oder abgeschwächte Vorgabe sollte der Grund für die Nicht-Berücksichtigung dokumentiert werden.

In der Sicherheitsrichtlinie muss klar geregelt sein,

Mitarbeiter müssen darüber informiert sein, unter welchen Bedingungen sie VoIP außerhalb der eigenen Institution benutzen dürfen, da hier unter Umständen andere Sicherheitsregelungen gelten.

VoIP-Middleware

Für den Betrieb von VoIP-Middleware muss unter anderem folgendes geregelt werden:

VoIP-Endgeräte

Im Folgenden werden Vorgaben für den Betrieb von VoIP-Endgeräten vorgestellt, die in der Sicherheitsrichtlinie ergänzt werden sollten.

Die Verantwortung für die Umsetzung der VoIP-Sicherheitsrichtlinie liegt beim IT-Betrieb, Änderungen und Abweichungen hiervon dürfen nur in Abstimmung mit dem IT-Sicherheitsmanagement erfolgen.

Ergänzende Kontrollfragen: