Compliance steht erst am Anfang:
Thema der Woche: IT-Sicherheit bei Unified-Communications & Collaboration, Teil 1

von Werner Veith (werner.veith@networkcomputing.de), vu

Share
20.10.2008

Unified-Communications & Collaboration (UCC) vereint verschiedene Kanäle wie Sprache, Daten oder Video für eine gemeinsame Zusammenarbeit. Schnellere Entscheidungen und bessere Abstimmung sind das Ziel. Doch ohne IT-Sicherheit gleicht das einem Riesen auf tönernen Füßen.

(Fortsetzung des Artikels von Seite 4)

Netzwerk Computing sprach mit Alcatel-Lucent [1], Ernst & Young [2], Logica [3], RDS [4] und Siemens [5] über die IT-Sicherheit im Bereich von Unified-Communications & Collaboration (UCC). Lesen Sie im folgenden den ersten Teil der Antworten.

Network Computing: Wie sollten die Unternehmen ihre Multi-Kanal-Kommunikation absichern?

Jörg Fischer, Leiter für Strategische Geschäftsentwicklung bei Alcatel-Lucent in Deutschland

Jörg Fischer, Leiter für Strategische Geschäftsentwicklung bei Alcatel-Lucent in Deutschland: »Wird die Kommunikation und das geschäftliche Handeln von Daten- auf Sprach- und Videoprozesse ausgeweitet, müssen auch diese auf ihren Sicherheitsbedarf hinterfragt werden. Nicht nur das: Die Verkettung von Kommunikationskanälen und Workflows sollte hinreichend durchdrungen werden. Andernfalls kann es später zu gefährlichen Domino-Effekten kommen, wenn nur eine offene Sicherheitsflanke übersehen wurde.«

Carsten Muck, Berater IT-Security bei RDS Consulting: »Die nötige Sicherheit für UCC herzustellen, ist nicht nur eine technische Herausforderung. Sie ist auch organisatorischer und personeller Natur. Alle Seiten müssen auf einen sorgsamen Umgang mit den Kanälen eingestimmt werden. Das gilt auch für IT-Ressourcen und Inhalte, die für das Geschäft kritisch sind. Wichtig: Überlastet UCC das Personal nicht, wird es motivierter und gewissenhafter mit Sicherheitsrichtlinien umgehen.«

Andreas Essing, Experte im Bereich Systems-Integration für Kollaborationslösungen bei Siemens IT-Solutions and Services: »Spätestens, wenn die Videokonferenz-Plattform für Online-Collaboration genutzt wird, gilt es, die involvierten Applikationen und Dokumente genau zu sichten. Wichtig ist in diesem Zusammenhang: Welche Wege gehen die Applikationen und Inhalte. Entlang dieser Strecken gilt es, die notwendigen Sicherheitsmechanismen zu setzen. An den WAN-Zugängen enden allerdings die direkten Absicherungsmöglichkeiten des Anwenders.«

Network Computing: Steuern die IT-Hersteller für die Sicherheit bei UCC schon genügend Absicherungsmechanismen bei?

Lars Weimer, verantwortlich für Informationssicherheit im Bankenbereich bei Ernst & Young

Lars Weimer, verantwortlich für Informationssicherheit im Bankenbereich bei Ernst & Young: »Die Sicherheitsmechanismen für Datenprozesse sind weitgehend ausgereift. Bei Prozessen mit Sprache und Echtzeit-Video haben viele Hersteller noch Nachholbedarf. Hinzu kommt bei herstellerspezifischen UCC-Lösungen, dass die gebotenen Sicherheitsmechanismen meist auf die eigene Systemwelt begrenzt sind. Dadurch kann es zu Schwierigkeiten bei der Zusammenführung und Administration kommen. UCC muss also offener werden.«

Alp Babayigit, Consultant bei Logica: »Ja. Durch die Konsolidierung der Kommunikations-Tools und Systeme werden die potenziellen Angriffsziele auf den Systemen und Endgeräten reduziert. Zudem lassen sich letztere die Endgeräte über standardisierte Tools zentral verwalten. Über eine Föderation können Unternehmen ihre Geschäftsprozesse grenzüberschreitend mit Geschäftspartnern verschlüsselt abwickeln. Mit Föderation ist also die Verbindung von zwei oder mehreren autonomen UC-Systemen gemeint.«

Essing: »Theoretisch müssten die Sprach- und Videoapplikationen, gleichrangig den Datenapplikationen, in eine umfassende Zugriffskontrolle einbezogen werden. Nur so ist eine Ende-zu-Ende-Zugriffskontrolle möglich, ungeachtet der involvierten Kommunikationskanäle. Die Realität sieht bisher anders aus: Generell gesehen ist eine Ende-zu-Ende-Sicherheit über alle Kommunikationsformen nur schwierig darstell- und umsetzbar.

Network Computing: Wo sehen Sie bei UCC die größten Sicherheitslücken?

Alp Babayigit, Consultant bei Logica

Babayigit: »Bei UCC können Sofortnachrichten, Sprachinformationen und Bildinhalte verschlüsselt werden. Die größten Sicherheitsrisiken sehe ich bei den Endanwendern, wenn die grundlegenden Sicherheitsvorschriften eines Unternehmens missachtet werden. Der Umgang mit den Informationen sollte dokumentiert und funktional innerhalb der Geschäftsprozesse berücksichtigt werden.«

Fischer: »Hersteller, Unternehmen und Provider sind gefordert, eine Ende-zu-Ende-Sicherheit aufzubauen. Weil sich diese Sicherheitsüberlegung nur langsam durchsetzt, entstehen entlang der Geschäftsprozesse Sicherheitslöcher. Was für Datenprozesse gilt, hat insbesondere für UCC und die Verkettung unterschiedlicher Kommunikationskanäle Bedeutung. Fehlt die richtige Sicht, führt das – technisch wie organisatorisch – zu Sicherheitslücken.«

Weimer: »Bei den IAM-Systemen (Identity- und Access-Management) zur Zugriffskontrolle bleiben Videokonferenz- und Sprachapplikationen oft außen vor. Der Schutz vor Schadsoftware ist bei Sprache und Video längst nicht so ausgeprägt wie bei Daten. Außerdem: Die Hersteller von Sicherheitssystemen müssen erst noch nachvollziehen, dass mit UCC die Grenzen zwischen den unterschiedlichen Kommunikationsformen fallen. Dies verlangt von ihnen, dass sie ihre Abwehrmittel dementsprechend gestalten.«

Network Computing: Wie ist es bei UCC um die Verfügbarkeit von Verbindungen und Prozessen bestellt?

Andreas Essing, Experte im Bereich Systems-Integration für Kollaborationslösungen bei Siemens IT-Solutions and Services

Essing: »Die Verfügbarkeit der leitungsgebundenen Kommunikation liegt höher als die der drahtlosen, mehrheitlich repräsentiert durch den Mobilfunk. Deshalb sollten die Unternehmen ihre Erwartungen an UCC auf der mobilen Seite nicht zu hoch schrauben. Nicht nur der Grad der Verfügbarkeit, auch die Performance zählt. Die verfügbare Bandbreite im LAN und WAN driftet weit auseinander, auch wenn über Leitungen kommuniziert wird.«

Muck: »Zieht man eine Linie vom LAN ins WAN, fällt entlang dieser Linie die Verfügbarkeit. Diese Verringerung ist besonders groß, wenn Mobilfunknetze dazwischen treten. Dieses Gefälle kann sich bei der Telefonie, besonders beim Video-Conferencing mit seinen Synchronisationsanforderungen, in Ausgabeeinschränkungen auswirken. Entlang dieser Linie fällt auch die Bandbreite. Das kann zusätzlich zu Ausgabeeinbußen führen.«

Fischer: »In den eigenen Netzen können die Unternehmen ihre Installation nach allen Regeln der Kunst absichern. Jenseits ihrer Domänen sind sie auf die Verfügbarkeits- und Performance-Vorkehrungen der Carrier und Provider angewiesen. Die müssen deutlich mehr tun, damit die Unternehmen bei UCC auf eine angemessene Verfügbarkeit und Performance zählen können. Vor allem die Mobilfunknetze und WAN-Zugänge erweisen sich als Nadelöhr.«

Network Computing: Wie ist es um Compliance für Sprach- und –Videoprozesse bestellt?

Carsten Muck, Berater IT-Security bei RDS Consulting

Muck: »UCC befindet sich in einem frühen Einsatzstadium. Demzufolge haben weder Hersteller, Provider noch Unternehmen die zusätzlichen Compliance-Anforderungen vollzogen. Diese kommen durch die integrierte Sprach- und Videokommunikation hinzu. Ich rate den Unternehmen, sich der zusätzlichen Compliance-Anforderungen bewusst zu werden, um die Hersteller und Provider dazu zu bewegen, initiativ zu werden.«

Weimer: »Compliant zu sein heißt, zum einen die einzuhaltenden Vorgaben zu kennen. Dies gilt aber zum anderen auch für die externe wie internen Prozesse, die transportierten Inhalte sowie die beteiligten Mitarbeiter. Neben den Daten- müssen die Sprach- und Videoprozesse analysiert werden. Die unterschiedlichen Prozesse müssen parallel betrachtet und bewertet werden, da sie aufeinander aufbauen. Nur so lassen sich später die rechtlichen und eigenen Vorgaben einhalten.«

Babayigit: »Das einzelne Unternehmen muss spezifisch für sich analysieren und festhalten, was aufgezeichnet und ausgewertet werden muss beziehungsweise soll. Davon ist beispielsweise abhängig, welche Daten verschlüsselt werden können und welche nicht. Die Archivierung von Sofortnachrichten und Verbindungsdaten muss so organisiert und ausgelegt werden, dass sich für eine Prüfung jederzeit manipulationsfreie Inhalte schnell abrufen lassen.«

[1] http://www.alcatel-lucent.com/
[2] http://www.ey.com/
[3] http://www.logica.com/germany
[4] http://www.rds.de/
[5] http://www.siemens.de/

Verwandte Artikel