Internet-Telefonie - Billig telefonieren, teuer bezahlen

von Dipl.-Ök. Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft Freie Berufe mbH

Immer mehr Unternehmen telefonieren über das Internet, auch Voice over IP (VoIP) genannt. Allerdings gibt es ein Problem, denn das Telefonieren über das Internet unterliegt denselben Sicherheitsproblemen wie normale Datenanwendungen im Netz. Dies ist auch der Grund dafür, dass beim Einsatz dieser Technik rechtliche, technische und organisatorische Fragen geklärt werden müssen.

Mit zunehmender Verbreitung von Hochgeschwindigkeits-Internetzugängen wächst die Zahl der Nutzer, die über das Internet telefonieren. Ziel ist es, über ein Netzwerk Sprache, Text, Daten, Video und Bild zu übertragen. Mithilfe der Voice over Internet Protocoll-Technik (VoIP) lässt sich also nicht nur über das Internet telefonieren, sondern auch Bildkonferenzen abhalten. Anwender merken aber oft gar nicht, dass sie die Technik verwenden, da sich die Endgeräte von herkömmlichen Telefonapparaten kaum unterscheiden.

Herkömmliche Telefonate lassen sich abhören, indem der Angreifer direkt in das Netz eingreift und "Wanzen" an den Endgeräten oder den Kabelverbindungen anbringt. Ebenso lassen sich Vermittlungsstellen anzapfen. Anders bei der Internet-Telefonie – hier wird Datennetzwerk, meist das Internet, an den Empfänger gesendet. So werden prinzipiell auch E-Mails verschickt. Bei beiden Dingen, ob beim Telefonieren über das Internet oder bei E-Mails, können ähnliche Sicherheitsprobleme auftreten, etwa in Form des sogenannten "Sniffings" oder "Spoofings". Damit wird das Mitlesen von Datenpaketen in einem Netzwerk bezeichnet, ob im Inter-oder Intranet. Eine solche Attacke ist im Internet schwierig, da einzelne Datenpakete einen willkürlichen Weg durch das Netz nehmen.

Der Router gilt als Schwachpunkt, ermöglicht Angriff auf Daten, allerdings werden in Kanzleien häufig Router des jeweiligen Internet-Anbieters eingesetzt, die die Verbindung zwischen der Kanzlei und dem Internet herstellen und vorkonfiguriert sind. Kanzleien ist es oft vertraglich untersagt, in diese Konfiguration einzugreifen. Wird dieser Standard-Router erfolgreich angegriffen und für einen Sniffing-Angriff umkonfiguriert, kann ein Angreifer den gesamten Datenverkehr abhören.

VolP-Endgeräte sind eigentlich Computer in einem Telefongehäuse, weswegen sie auch regelmäßige Sicherheits-Updates für das Betriebssystem und die Anwendungsprogramme brauchen. Ansonsten können Angreifer bekannte Sicherheitslücken ausnutzen und die Geräte zum Abhören des Raums verwenden.

Bei der Einführung der Internet-Telefonie gelten unter anderem die Regelungen des Bundesdatenschutzgesetzes (BDSG), die des Telekommunikationsgesetzes (TKG) und die kollektivrechtlichen Aspekte des Arbeitsrechts. Auf die VoIP-Telefonie findet das Telemediengesetz (TMG) allerdings keine Anwendung. Bei der Anwendung des TKG ist zu klären, ob die Kanzlei Diensteanbieter im Sinne des Gesetzes ist. Dies ist der Fall, wenn sie "ganz oder teilweise geschäftsmäßig

1. Telekommunikationsdienste erbringt oder

2. an der Erbringung solcher Dienste mitwirkt" (§ 3 Abs. 6 TKG).

Erlaubt die Kanzlei die private Nutzung der Telekommunikationseinrichtungen, so ist die Kanzlei gegenüber dem Arbeitnehmer (Dritter) Dienstanbieter und muss entsprechende TKG-Bestimmungen umsetzen. Weist die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen auf, unterliegen sie der Vorkontrolle (§ 4d Abs. 4 BDSG). Bei der Einführung von Internet-Telefonie ist im Einzelfall zu prüfen, ob dieser VoIP-Dienst einer Vorabkontrolle unterliegt. Trifft dies zu, muss der Datenschutzbeauftragte (DSB) eine Vorabkontrolle durchführen. Sollte aufgrund der Personengrenze des § 4f Abs. 1 BDSG kein DSB bestellt sein, muss dies für den Zeitraum von der Vorabkontrolle bis zur Außerbetriebnahme der VoIP-Anlage erfolgen (§ 4e Abs. 6 BDSG).

Bundesamt hat für Internet-Telefonie eigenen Baustein entwickelt Bei Einführung und Betrieb von VoIP-Anlagen sind die technischen und organisatorischen Maßnahmen gem. § 9 BDSG zu beachten. Sie werden durch die Bestimmungen des § 109 Abs. 1 BDSG konkretisiert. Das Bundesamt für Sicherheit hat für VoIP den Baustein 4.7 VoIP entwickelt. Für den sicheren Einsatz der Anlagen sind diese Empfehlungen unbedingt zu beachten.

Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.,
externer Datenschutzbeauftragter, Datenschutzbeauftragter (TÜV)
E-Mail: info@scope-and-focus.com
http://www.scope-and-focus.com/

Diplom-Ingenieur Ralf Röhr,
Geschäftsführer der KRK Computer Systeme GmbH.
E-Mail: info@krk-computersysteme.de
http://www.krk-computersysteme.de/

Veröffentlicht in: Steuer-Consultant 5/2009

• Datenschutz
• | Produkte
  • | externer DSB
  • | DS-Organisation
  • | Schulung
• | Fachinformationen
  • | Fachinformationen
• | Seminare
  • | DS-Seminare
• | Ansprechpartner
  • | Koordination
  • | Ansprechpartner

 

Seite drucken
Seite empfehlen
Kontakt