Sicherheit der Cloud-Telefonie

Worauf sollten Unternehmen beim Telefonieren in der Cloud achten?

Das Angebot an Cloud-Services wächst ohne Unterlass. Gleichzeitig nehmen Unternehmen die Dienstleistungen aus der Wolke immer häufiger in Anspruch. Auch die Telefonie kann über einen Cloud-Anbieter bezogen werden (IP-Centrex), so dass man keine eigene, lokale TK-Anlage mehr benötigt. Allerdings haben viele deutsche Unternehmen noch Bedenken, was die Sicherheit der Cloud-Telefonie betrifft. Und das obwohl die Sicherheitsvorkehrungen der Cloud-Anbieter in der Regel deutlich besser sind, als bei den Servern im eigenen Rechenzentrum. Wer eine sichere Cloud-basierte Kommunikation im Unternehmen etablieren möchte, der sollte zum einen mit Bedacht einen geeigneten Anbieter auswählen, der auf seiner Seite entsprechende Sicherheitsmaßnahmen etabliert hat. Zum anderen sollten parallel geeignete interne Vorkehrungen getroffen werden, um die virtuelle Telefonie möglichst sicher zu gestalten.

Externe Faktoren: Das sollte der Anbieter zur Sicherheit der Cloud-Telefonie beitragen

Möchte ein Unternehmen die virtuelle Telefonanlage eines externen Anbieters nutzen, sollte es vor der Entscheidung für einen bestimmten Provider die von ihm getroffenen Schutzmaßnahmen analysieren, bewerten und vergleichen. Darauf ist dabei zu achten:

✓ Sicherheit des externen Rechenzentrums:
Anerkannte Zertifizierungen zeigen, dass der Anbieter alle aktuell möglichen Sicherheitsmaßnahmen getroffen hat. Dazu gehören z. B. die ISO-Norm 27001 für Informationssicherheit und die ISO-Norm 9001 für Qualitätsmanagement sowie die Erfüllung des Anforderungskatalogs (C5) zur Beurteilung der Informationssicherheit von Cloud-Diensten, herausgegeben vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
Außerdem muss der Anbieter selbstverständlich entsprechend gegen Einbruch, Manipulation und Verlust der Daten geschützt sein. Regelmäßige Software-Updates des Anbieters zum Schutz der Telefonanlage sollten selbstverständlich sein.

✓ Redundante Infrastruktur:
Zum Schutz vor Ausfällen sollte die Infrastruktur des Cloud-Anbieters geographisch auf mehr als ein Rechenzentrum verteilt sein. So wird durch Redundanz eine Backup-Struktur geschaffen, die eine störungsfreie Internet-Telefonie gewährleistet.

✓ Verschlüsselung der Kommunikation:
Für die genutzte Internetverbindung empfiehlt sich eine TLS-Verschlüsselung (Transport Layer Security). Noch mehr Sicherheit bietet eine zusätzliche Verschlüsselung mit SRTP (Secure Real Time Protocol). Dieses Verschlüsselungs-Protokoll schützt speziell Audio- bzw. Sprachdaten.

✓ Europäische Datenschutzgrundverordnung (DSGVO):
Der Cloud-Telefonie Anbieter muss die Anforderungen der EU-DSGVO (Europäische Datenschutzgrundverordnung) erfüllen. Optimalerweise speichert er die Daten deshalb innerhalb der Europäischen Union. Erfolgt die Datenhaltung in deutschen Rechenzentren, ist sichergestellt, dass sogar die speziellen Anforderungen der deutschen Datenschutzbestimmungen eingehalten werden.

Interne Faktoren: Das können Unternehmen selber für eine sichere Cloud-Telefonie tun

Beim Thema Sicherheit der Cloud-Telefonie sollte man sich aber nicht auf den Anbieter alleine verlassen. Das Marktforschungszentrum Gartner geht davon aus, dass 95 % aller Cloud-Sicherheitsvorfälle bis 2022 vom Kunden selber verschuldet werden. Deshalb lohnt es sich, nicht nur die Sicherheitsvorkehrungen des Providers unter die Lupe zu nehmen, sondern auch die eigenen. Diese internen Maßnahmen können Unternehmen selber treffen:

✓ Anforderungen an die Internetverbindung:
Um Störungen und Ausfälle zu vermeiden, sollten die SLAs (Service Level Agreements), die der Internet-Anbieter dem Kunden zusichert, passen. Dazu gehören Verfügbarkeit sowie Reaktions- und Wiederherstellungszeiträume, innerhalb derer eine Störung behoben werden muss. Und natürlich sollte man Netzqualität, Bandbreite und Latenzzeiten kritisch beurteilen. Eine redundante Zweitleitung bietet zusätzlichen Schutz vor Ausfällen.

Idealerweise bezieht man die Internetverbindung beim gleichen Anbieter, der auch die Cloud-Telefonie zur Verfügung stellt. Denn so erhält man in der Regel eine qualitativ hochwertige Anbindung mit entsprechenden QoS (Quality of Service). Außerdem sollte der Zugriff auf die Cloud-Telefonie Leistung damit nicht über das öffentliche Internet erfolgen, was die Sicherheit zusätzlich erhöht.

✓ Anforderungen an den Datenschutz:
Welche Daten werden im Unternehmen verarbeitet? Welche Art von Schutz benötigen diese Daten? Durch die Beantwortung dieser Fragen, können die unternehmenseigenen Sicherheitsanforderungen definiert werden. Diese müssen anschließend vertraglich mit dem Cloud-Telefonie Anbieter festgehalten werden.

✓ Eingrenzen der Zugangsberechtigungen:
Zugangsberechtigungen sollten nur da vergeben werden, wo sie wirklich nötig sind. Und auch nur in dem Umfang, der tatsächlich erforderlich ist. Außerdem sollten sie regelmäßig auf Aktualität geprüft werden.

✓ Sicherheit der Zugänge:
Verbindliche Richtlinien für Passwortstärke und -hygiene sorgen für sichere Zugänge. Ebenso sollte, wenn möglich, eine Zwei-Faktoren-Authentifizierung eingerichtet sein. Scheidet ein Mitarbeiter aus, sollten seine Zugangsberechtigungen automatisch erlöschen.

✓ Sicherheit der Zugangsgeräte:
Die eingesetzten Geräte der Anwender – wie Rechner, Smartphones und Tablets – sollten ausreichend gegen Viren und Malware geschützt sein.

✓ Eigene Verteidigungsmaßnahmen:
Mit Hilfe eines sog. Pentests (Penetrationstests) können Unternehmen die Qualität ihrer Verteidigungsmechanismen gegen externe Angriffe auf die IT prüfen und ggf. Gegenmaßnahmen verbessern.

Sie haben Fragen zur Sicherheit der Cloud-Telefonie in Ihrem Unternehmen? Wir beraten Sie mit unserem umfassenden Know-how unabhängig und kompetent. Nehmen Sie hier Kontakt mit uns auf.