Will ein Unternehmen die Services eines UC-as-a-Service-Anbieters (UCaaS)nutzen, muss es bereit sein eine Ende-zu-Ende-Sicherheit für die Kommunikation mit der Cloud zu realisieren.
Es ist schon lange kein Geheimnis mehr, dass Unternehmen ihre Unternehmenskommunikation – einschließlich Telefon-, Collaboration und Messaging-Anwendungen – in die Cloud verschieben. Da die Geschwindigkeit der Geschäftswelt immer schneller wird, erkennen die meisten Unternehmen dass sie nur durch eine digitale Transformation ihrer Prozesse mit den Anforderungen der Zukunft genügen werden. Dabei ist es völlig unerheblich, ob es sich um Mitarbeiter oder Kunden handelt, die heutigen Technologiebenutzer fordern eine problemlose Kommunikation.
Einer der attraktivsten Aspekte des Umzugs eines Dienstes wie die Sprache in die Cloud ist die Konvergenz. Mit einem Cloud-basierten VoIP-System verschieben sich die Sicherheitsanforderungen von Sprach- und Datennetzen zu einem gemeinsamen Ziel. Allerdings sollten wir nicht ignorieren, dass durch den Internet-Zugang der Cloud-Services die Dienste höheren Gefahren ausgesetzt sind, als wenn diese von einem Unternehmen auf den internen Systemen betrieben würden.
Die Cloud-VoIP-Dienste ebenso wie die Telefonie-Systeme, VoIP-Dienste und physikalische VoIP-Telefone innerhalb der Unternehmen gehören zu den attraktiven Angriffszielen für Hacker und Betrüger. Die Communications Fraud Control Association hat jüngst einen Bericht (http://www.cfca.org/pdf/survey/2015_CFCA_Global_Fraud_Loss_Survey_Press_Release.pdf) über die weltweit durch Betrug verursachten Verluste veröffentlicht. Demnach sind die Betrugsmethoden für fast 7,5 Milliarden Dollar jährlichen verantwortlich.
Den meisten IT-Verantwortlichen sind sich bewusst, dass die Absicherung eines Cloud-basierten VoIP-Systems eine andere Strategie erfordert als der Schutz lokal im Unternehmen installierter VoIP-Ressourcen. Oft wird dabei jedoch die Tatsache übersehen, dass für eine Absicherung einer Cloud-Lösung eine Partnerschaft mit einem Cloud-Anbieter eingegangen werden muss. Folglich ist für die Absicherung der VoIP-Dienste ein Schutz auf einer Ende-zu-Ende-Basis erforderlich und Lücken in der Sicherheit müssen vermieden werden. Der Cloud-Provider ist von sich aus nicht in der Lage, alle Teile einer Ende-zu-Ende-Sicherheit für seinen Kunden zu adressieren. Man muss daher akzeptieren, dass beide Partner ein gemeinsames Risiko tragen und in einer gemeinsamen Verantwortung stehen.
In der heutigen IT-Welt müssen die Unternehmen ihre Daten aktiv schützen. Wenn die Kunden ihre Endpunkte nicht aktiv gegen clientseitige Angriffe verteidigen, kann ein Cloud-Provider wenig zur Sicherheit beitragen. Aus diesem Grund sollte ein Cloud-Provider seine Kunden über die Sicherheitsrisiken aufklären und sich als Partner für eine Maximierung der Schutzmaßnahmen engagieren. Eine gemeinsam zwischen dem Kunden und dem Cloud-Provider realisierte Sicherheitsstrategie lässt sich viel umfassender umsetzen, als Einzellösungen. Aus diesem Grund sollte man sich bei der Sicherheitsplanung im Bereich der Cloud an folgenden vier Leitlinien orientieren:
- Verstehen der Risiken: Unternehmen, die ihre Daten in die Cloud transferieren, müssen verstehen, wie sich durch die Cloud die Daten- und Kommunikationsrisiken verändern. Der UCaaS-Anbieter sollte in der Lage sein, die möglichen Sicherheitsrisiken für seinen Kunden darstellen zu können und aufzeigen, wie die Sicherheitsrisiken zu minimieren sind. Hierfür muss die individuelle Sicherheit (und auch die notwendigen Sicherheitsaudits) vom UCaaS-Anbieter und vom Kunden gemeinsam erarbeitet werden.
- Transparenz ist Pflicht: Die Unternehmen müssen sicherstellen, dass entsprechende Vertragsbedingungen einen transparenten Blick auf die wichtigen Parameter, die nicht vom Kunden kontrolliert werden können, garantieren. Verfügt das Unternehmen (der Kunde) über keine Kontroll- und Sicherheitsmechanismen, wenn die VoIP-Dienste in die Cloud verschoben werden, dann können auf der Strecke zwischen dem Cloud-Provider und den vom Kunden kontrollierten Ressourcen entsprechende Angriffsflächen und ungewollte Sicherheitslücken entstehen. Die Hacker nutzen solche Sicherheitslöcher gnadenlos für einen Gebührenbetrug, das Abhören von Gesprächen und zum Zugriff auf Nutzerinformationen aus.
- Identifizieren des Datensicherheitsbedarfs: Ein Unternehmen muss sich vor dem Umstieg in die Cloud darüber bewusst werden, welche Informationen einen Wert haben und welches Haftungsrisiko diese Daten für das Unternehmen darstellen. Daher müssen die unterschiedlichen Daten im Unternehmen klassifiziert werden. Versucht man bis zum letzten Bit alle Daten nach der gleichen Sicherheitsregel abzusichern, dann wird das Sicherheitsprojekt schnell scheitern. Klare Prioritäten tragen dazu bei, dass sich das IT-Personal auf den Schutz der wichtigsten Daten konzentriert.
- Regulatorische Anforderungen erfüllen: Viele Unternehmen unterliegen besonderen regulatorischen Verpflichtungen, die auch vom genutzten Cloud-Anbieter unterstützt werden müssen. Aus diesem Grund müssen die Anforderungen des Unternehmens vor dem Umzug in die Cloud identifiziert werden und diese mit dem Angebot des Cloud-Providers abgeglichen werden. Im ersten Schritt wird festgelegt, welche Cloud-Kommunikationsdienste die besonderen regulatorischen Verpflichtungen einhalten. Viele kleinere und mittlere Unternehmen verfügen nicht über umfangreiche interne Sicherheitsressourcen. Aus diesem Grund sollten sich diese Unternehmen beim Übergang in die Cloud an die großen Cloud-Anbieter wenden. Warum? Diese Anbieter haben bereits Verträge mit großen Unternehmen verhandelt und abgeschlossen und kennen sich wesentlich besser mit komplexen Sicherheitsbedingungen als kleinere Unternehmen aus.
VoIP und Collaboration aus der Cloud gehört zu den wichtigsten Themen der IT-Welt. Bei der Partnerschaft mit einem Cloud-Anbieter muss der Kunde die unterschiedlichen Aspekte der Sicherheit beachten. Nur durch die enge Zusammenarbeit zwischen dem Cloud-Communications-Anbieter lässt sich eine durchgängige Sicherheit realisieren.
