Network Computing: Steuern die IT-Hersteller für die Sicherheit bei UCC schon genügend Absicherungsmechanismen bei?

Jörg Fischer, Leiter für Strategische Geschäftsentwicklung bei Alcatel-Lucent in Deutschland

Jörg Fischer, Leiter für Strategische Geschäftsentwicklung bei Alcatel-Lucent in Deutschland: »Hersteller von Managementsystemen müssen mit Blick auf die Sprach- und Videokommunikation aktiver werden. Ich sage Managementsysteme, weil ich sowohl das Sicherheits- als auch das IT-Service-Management meine. Andererseits sind zahlreiche solcher Managementwerkzeuge für eine Ende-zu-Ende-Überwachung und –Absicherung schon verfügbar. Was oft fehlt, ist die Bereitschaft der Unternehmen und Provider, sie einzusetzen.«

Carsten Muck, Berater IT-Security bei RDS Consulting: »Offensichtlich warten die Hersteller ab, bis sich für sie das Geschäft mit Sicherheits-Software speziell für die Sprach- und Videokommunikation lohnt. Deshalb sind hier die Schutzmechanismen längst nicht so ausgeprägt wie auf der Datenseite. Nur ein Beispiel: Die Abwehr von Malware an UDP-Ports hinkt weit hinter dem Niveau an TCP-Daten-Anschlüssen hinterher. Die Hersteller müssen also für UCC aktiver werden.«

Network Computing: Wo sehen Sie bei UCC die größten Sicherheitslücken?

Carsten Muck, Berater IT-Security bei RDS Consulting

Muck: »Bis auf die Verschlüsselung sehe ich innerhalb aller Sicherheitsdisziplinen Rückstände für die Absicherung der Sprach- und Videokommunikation. Offene Flanken können nicht nur aus fehlenden Sicherheitstechniken, sondern auch auf organisatorischer und personeller Ebene entstehen. Wird der komplexe Kommunikationsbereich von UCC nicht durchdrungen, können keine geeigneten, nicht-technischen Vorkehrungen getroffen werden.«

Andreas Essing, Experte im Bereich Systems-Integration für Kollaborationslösungen bei Siemens IT-Solutions and Services: »Während IAM-Systeme (Identity-and-Access-Management) eine breite Palette an Konnektoren für Datenapplikationen bieten, ist es darum bei Sprach- und Videoapplikationen eher schlecht bestellt. Zudem macht es die Vielfalt der mobilen Betriebssysteme schwierig, die Zugriffskontrolle auf die drahtlose Kommunikation auszudehnen. Es sei denn, das Unternehmen setzt durchgängig auf Microsoft-Technologien. Was über alle Kommunikationskanäle gut greift, ist die Verschlüsselung.«

Network Computing: Wie ist es bei UCC um die Verfügbarkeit von Verbindungen und Prozessen bestellt?

Alp Babayigit, Consultant bei Logica

Babayigit: »Diese Verfügbarkeit ist nicht nur die zweite Seite der Sicherheit. Für eine umfassende Sicherheit müssen beide Seiten zusammenwirken. So können nicht nur mangelnde Hochverfügbarkeitsvorkehrungen, sondern auch Angriffe die Verfügbarkeit von Systemen, Verbindungen und Prozessen beeinträchtigen. Unternehmen tun für diese doppelte Sicherheit mehr als die Provider, die eigentlich als Mittler der Prozesse gleichziehen müssten.«

Weimer: »Die Unternehmen setzen besonders hohe Erwartungen in den mobilen Part einer UCC-Installation. Doch genau hier, beim Mobilfunk, müssen sie Abstriche nicht nur bei der Verfügbarkeit, sondern mangels Bandbreite auch bei der Performance machen. Bei Fluss- und synchronisationskritischen Prozesse wie Videokonferenzen, mit oder ohne Online-Collaboration, gibt es mobil bis auf weiteres Einbußen bei der Ausgabe.«

Network Computing: Wie ist es um Compliance für Sprach- und –Videoprozesse bestellt?

Andreas Essing, Experte im Bereich Systems-Integration für Kollaborationslösungen bei Siemens IT-Solutions and Services

Essing: »Es ist zu befürchten, dass viele Unternehmen die Relevanz von Sprachsequenzen und Videobildern für Compliance unterschätzen. Dabei können diese Kommunikationsformen für Prüfungen ebenso wichtige Informationen transportieren wie ein Datenaustausch. Einmal digitalisiert und gespeichert, lassen sich Sprach- und Videoinformationen genauso prüfen wie Daten. Das alles will im Vorfeld bedacht sein.«

Fischer: »Compliant gegenüber rechtlichen Vorschriften und internen Auflagen zu sein, setzt aus technischer Sicht entsprechende Auditing- und Reporting-Tools voraus. Die sind in der Regel innerhalb IT-Management- und Sicherheits-Managementlösungen verankert. Allerdings konzentriert sich deren Auditing und Reporting bisher meist nur auf Daten. Die Werkzeuge müssen also für den Einsatz von Sprache und Video erweitert werden.«