Hessenpunkte rot
Infokorb

Mit dem Infokorb können einzelne Artikel gezielt gesammelt werden. Die Daten werden im PDF-Format in den Infokorb gelegt und können anschließend gespeichert und gedruckt werden.

Artikel hinzufügen Artikel hinzufügen
Artikel entfernen Artikel entfernen

Regeln zur Erhöhung der Kommunikationssicherheit für TK-Anlagen, Telefone und Mobiltelefone

Fast alle handelsüblichen Telekommunikationsanlagen (TK-Anlagen), Telefone und Mobiltelefone können so manipuliert werden, dass
  • Telefongespräche abgehört und
  • Anrufe unerlaubt umgeleitet werden können,
  • die Freisprecheinrichtung, bzw. das Handy zur Raumüberwachung eingesetzt und
  • die TK-Anlage zum Telefonieren von außerhalb nach außerhalb auf Firmenkosten missbraucht werden kann.

 

Im Folgenden wollen wir Ihnen einige Grundregeln für den sicheren Umgang mit Telefonen und Telefonanlagen geben:
  • Bedienungsanleitungen für TK-Anlagen oder Telefone gehören nicht ins Internet, sondern werden den Nutzern individuell ausgehändigt.
  • In der TK-Anlage sollten alle Leistungsmerkmale gesperrt sein, die nicht gebraucht werden. Insbesondere sollte der Wartungskanal der TK-Anlage nach Möglichkeit geschlossen werden und nur ggf. für den Zeitraum der Wartung freigeschaltet werden. Über den Wartungskanal lässt sich nicht nur die TK-Anlage administrieren, sondern häufig auch personenbezogene Daten erreichen und auslesen.
  • Zum Vermeiden des Raumabhörens durch Mobiltelefone können passive Mobilfunk-Detektoren eingesetzt werden, die Mobiltelefone im Sendebetrieb melden.
  • In TK-Anlage, Telefon und Mobiltelefon sollten alle werksseitig eingestellten Passwörter von vornherein geändert werden. Auch individuelle Passwörter sollten regelmäßig geändert werden.
  • Passwörter müssen sicher hinterlegt sein. Stellvertreter müssen im Notfall an die Passwörter herankommen und wissen wo diese sind.
  • Bewegungsprofile von Handy-Nutzern lassen sich durch Einrichtung eines Handy-Pools einschränken, in dem die Geräte mit Rufnummern (SIM-Karte) mit anderen Benutzer getauscht werden.
  • Mitarbeiter sollten motiviert werden, auf die Displays von Telefon und Mobiltelefon zu schauen, und in der Lage sein, die sicherheitsrelevanten Anzeigen und Signaltöne zu interpretieren.
  • Service-Rufnummern und Auslandsvorwahlen sind grundsätzlich zu deaktivieren, es sei denn, sie werden individuell benötigt. Dabei sind etwa die Vorwahlen 0180 und 0800 weitgehend unkritisch.
  • Telefone sind abends (mit einer PIN/Geheimnummer) ebenso abzuschließen wie Büroschränke und Türen. Auf die anderenfalls möglicherweise vorhandene Fahrlässigkeit sollten die Mitarbeiter deutlich hingewiesen werden.
  • Die Protokolldateien der TK-Anlage sollten regelmäßig u.a. darauf überprüft werden, ob möglicherweise ein Anrufer (War-Dialer) durch massiv wiederholtes Anwählen einer Nummer versucht, die PIN eines Endgerätes (Telefon) zu ermitteln. Mit dieser PIN können etwa die Raumüberwachung eingeschaltet, gespeicherte Gespräche abgehört oder gelöscht, der Ansagetext gespeichert oder gelöscht, die Anrufweiterschaltung geändert (etwa auf eine 0190er-Nummer) oder andere Fernwirkmöglichkeiten (Gerätesteuerung) aktiviert werden.
  • Die Protokolldateien sollten ebenso wie die Konfiguration der TK-Anlage regelmäßig gesichert werden (Back-Up). Ausserdem sollte gelegentlich die für das Unternehmen geplante Konfiguration mit der tatsächlich eingestellten Konfiguration verglichen werden.
  • PC-basierte Faxserver und Voiceboxsysteme (Anrufbeantworter) sollten daraufhin überprüft werden, ob sie auf gesicherten Systemen laufen und ob sich von diesen Systemen kritische Infrastrukturen erreichen lassen.
  • Telefonate werden häufig auch eingesetzt, um durch Vorspiegelung einer falschen Anruferidentität unternehmensinterne Daten (Personen, Funktionen, Passwörter und Konfigurationen, (Mobil-)Telefonnummern, Projektinformationen) zu erfragen (Social Engineering). Typischerweise gibt der Anrufer sich als Sekretariat einer anderen Abteilung, als Aushilfskraft, Entstörungsstelle, Sicherheitsbeauftragter oder Mitarbeiter der IT-Abteilung aus. Meist soll die Anfrage 'nur kurz' oder 'ganz dringend' beantwortet werden. Schon Abwesenheitsinformationen können für Hacker oder andere Interessierte hilfreich sein.
  • Mitarbeiter sollten auch für das Nichtweitergeben sensibler Daten über Handys in Gegenwart unbekannter Dritter sensibilisiert werden (Bus, Bahn, Messe, Kaufhaus). Die morgendliche Straßenbahnfahrt zur CeBIT ist häufig ein schönes Beispiel.
  • Findet sich ein Handy nach unerklärlicher Nichtauffindbarkeit plötzlich wieder ein, könnte es hard- oder softwareseitig manipuliert worden sein. Selbst wenn man den Aufwand der Sicherheitsüberprüfung des Handy scheut, sollte man zumindest die Anrufliste für den kritischen Zeitraum überprüfen.

 

In dieser Liste sind Aspekte der Datenübertragung über TK-Anlagen oder Mobiltelefone nicht berücksichtigt. So empfehlen wir etwa für die Datenübertragung die Verschlüsselung auf dem Endgerät (etwa Laptop). Unterstützt werden könnte die Verschlüsselung zum Beispiel durch die digitale Signatur. Aus Platzgründen gehen wir an dieser Stelle aber nicht auf Sicherheitsaspekte im Zusammenhang mit Infrarot-, Bluetooth- oder W-LAN-Schnittstellen oder mit Organizern (PDA) ein. Sollten Sie aber zu diesen oder weiteren Themen aus dem Bereich IT-Sicherheit Fragen haben, werden Sie über die Linkliste passende Antworten erhalten. Insbesondere seien folgende Adressen erwähnt:
Artikel dem Infokorb hinzufügen
  verwandte Themen