Sicherheits aspekte der TK-Fernwartung - Bundesverband Telekommunikation eV
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Informationen für
mittelständische
Systemhäuser
Mitgliedermagazin 1/2019
Foto: shutterstock.com
Sicherheitsa spekte
der TK-Fernwartung
Überblick zur aktuellen Technik Seite 16
SIP-Know-how Power-over-Ethernet TKG-Novelle
VAF schafft neue Höhere Leistung Erster Ausblick auf
Lernangebote Seite 4 fachgerecht planen Seite 26 Gesetzesänderung Seite 12
Perspectives 2019 10. Mai 2019 Jetzt anmelden unter: perspectives.herweck.de Trends entdecken, Technik erleben, Geschäftschancen nutzen. Am 10. Mai 2019 setzen wir wieder neue Maßstäbe. Rund 80 Hersteller aus den Bereichen TK und Connectivity (Netzinfrastruktur), präsentieren ihre neuesten Geräte und Leistungen. Freuen Sie sich auf direkten Herstellerkontakt und interessante Gespräche. Nach der Messe erwartet Sie im Saarbrücker E-Werk die legendäre Perspectives Party. Wir freuen uns auf Sie! Dieses Jahr neu mit dabei:
INHALT
EDITORIAL VERBANDSNACHRICHTEN
4 Know-how | SIP-Schulungen des VAF sind gefragt
VAF-Projekt gestartet | Aufbau einer SIP-Lehrdatenbank
VAF-Kooperation | Kontakte zu Unify-Partnern
in Österreich
5 DigitalPakt Schule | Aktuelles Förderprogramm zur
digitalen Ausstattung von Schulen
6 Bericht zum Workshop | Herausforderungen:
Gerhard Förtsch IoT und Sicherheit
1. Vorsitzender,
VAF-Mitgliederservice | Beratung zum Vergaberecht
VAF Bundesverband
Rechtsrahmen | TKG-Novelle steht vor der Tür
Telekommunikation e. V.
7 Bundesleistungswettbewerb | Gratulation!
Jetzt online frei verfügbar | Amtsblatt der
Bundesnetzagentur
8 Forschungskooperation | VAF zieht positives Fazit
32. Treffen des Innovationskreises | Zu Gast bei
Fundel und Kurtz
Sehr geehrte Damen und Herren,
10 VAF-Wissenswerkstatt | Kursbücher
liebe Kolleginnen und Kollegen, »Netzwerke Grundlagen« umfassend aktualisiert
Aktuelle Umfrage | WLAN im Laden ist für jeden
mit dem Voranschreiten des technologischen Wandels in der Telekom- Zweiten ein Muss
munikation kristallisieren sich immer klarer neue Kompetenz- und 12 Rechtsrahmen | Das Telekommunikationsgesetz
Handlungsfelder für die VAF-Mitglieder heraus. So gehört zu den neu- wird novelliert
en Schlüsselkompetenzen die souveräne Beherrschung des Session VAF-Team | Sportlicher Rückblick
Initiation Protocol, kurz SIP, das universelle Steuerungsprotokoll in der 14 Bericht zur Jahrestagung Technik & Service 2018 |
IP-basierten Kommunikationswelt. Adieu, ISDN und D-Kanal. Dabei Aktuelle ITK-Technologie im Fokus
mag die Einsicht als solche nicht völlig neu sein. Darum liegt das be-
sondere Verdienst der technischen Facharbeit des VAF in der tieferen
Durchdringung des Themenkomplexes und in der Ableitung eines Maß- FACHBEITRÄGE
nahmenbündels für den mitgliederorientierten, systematischen Auf-
16 Überblick zur aktuellen Technik |
und Ausbau der benötigten Kompetenzen.
Sicherheitsaspekte der TK-Fernwartung
24 Tropfen auf Tropfen
So haben wir im Anschluss an die letzte Jahrestagung Technik & Service
bereits eine neue Schulung zu SIP-Grundlagen gestaltet, die von Ihnen, 26 Die neue Generation »Power-over-Ethernet« |
PoE: Viel Leistung muss gut geplant sein
den Mitgliedern, sehr positiv aufgenommen wird. Ebenso wurde mit
dem Aufbau einer SIP-Lehrdatenbank für die Mitglieder begonnen,
und auch mit der Hochschule Nürnberg wollen wir das Themenfeld DAMALS
SIP-Know-how praxisorientiert weiterbearbeiten. Ich möchte darum
an Sie, geschätzte Kolleginnen und Kollegen, appellieren: Nutzen Sie 30 »Bitte sprechen Sie nach dem Signalton« |
die Angebote und tragen Sie durch Ihre Erfahrungen, Fragen und An- Eine kleine Technikgeschichte des Anrufbeantworters
regungen selbst zu deren Weiterentwicklung bei. So bedeutsam das
Handlungsfeld SIP-Kompetenz auch ist, so steht es doch nicht allein
da. Auch an vielen anderen Stellen zeigt sich die hohe Veränderungs- PRODUKTE & LÖSUNGEN
dynamik im ITK-Markt. In dieser Ausgabe des VAF Reports beleuchten
wir darum als Schwerpunkt aktuelle Sicherheitsaspekte der IP-basierten 32 Voiceworks GmbH | Ferrari electronic GmbH
Fernwartung und informieren zu weiteren relevanten Themen rund 33 innovaphone GmbH | estos GmbH
um das ITK-Systemhausgeschäft. Ich wünsche Ihnen eine anregende 34 Horst Platz GmbH | VPL Leasing GmbH
Lektüre!
SERVICE
35 Verbands- und Kurstermine 2019
Impressum
VAF REPORT 1/2019 3
VERBANDSNACHRICHTEN
Know-how
SIP-Schulungen des VAF sind gefragt
Die neue SIP-Grundlagenschulung des VAF zwischen an den offenen Kursen begleitend
mit Prof. Dr.-Ing. Gerd Siegmund kommt teil, um die Erkenntnisse aus den Praxisbe-
bei den Mitgliedern gut an. Die Schulung richten möglichst effektiv in die Entwicklung
wurde in den ersten Monaten des laufenden weiterer und vertiefender Kompetenzange-
Jahres bereits viermal als offener Kurs für bote des VAF einfließen zu lassen. K
Mitarbeiter aus Mitgliedsunternehmen
wiederholt. Darüber hinaus finden In- Nächster Schulungstermin:
house-Schulungen bei einzelnen Mitglie- 5.–6. September 2019 in Hilden
dern statt. Die Kursteilnehmer bringen in Kontakt:
den Schulungen auch Erfahrungsberichte Julia Noglik, noglik@vaf-ev.de,
zu SIP-Problematiken aus dem Alltag ein. 02103 700-253
VAF-Technikleiter Mathias Hein nimmt in-
VAF-Projekt gestartet
Aufbau einer SIP-Lehrdatenbank
Am 27. März fand die Frühjahrssitzung des metrisierung gefördert werden. Die SIP-Traces
VAF-Fachkreises ITK-Technik in Würzburg werden in definierten Systemumgebungen
statt. Ein zentrales Thema war der weitere mit Unterstützung aus dem Fachkreis erzeugt.
Know-how-Aufbau zu SIP als dem aktuellen Weitere Unterstützer aus der Mitgliedschaft
und universellen Signalisierungsprotokoll in werden gesucht und sind willkommen. Mit-
der Kommunikationstechnik. Die Sitzungs- schnitte realer Sessions, die im Rahmen des
teilnehmer sprachen sich für den schrittwei- Troubleshootings erzeugt wurden, können
sen Aufbau einer Lehrdatenbank zu SIP- hingegen für den Aufbau der Lehrdatenbank
Abläufen mit Anwendungsbeispielen, keine Anwendung finden, da die gesetzlichen
Erläuterungen und Muster-Traces aus. An- Bestimmungen zum Telekommunikationsge-
hand der einzeln zu erzeugenden Beispiele heimnis und Datenschutz dem entgegenste-
sollen die üblichen Abläufe in Kommunika- hen. Das Projekt wurde im April gestartet, Kontakt:
tionssessions anschaulich beschrieben und spätestens zur Jahrestagung & Technik, so Mathias Hein, Fachleiter Technik, VAF
dadurch auch das Verständnis für die das erklärte Ziel, soll den Mitgliedern eine hein@vaf-ev.de
vielfältigen Umsetzungsvarianten in der Para- nutzbare Version präsentiert werden. K
VAF-Kooperation
Kontakte zu Unify-Partnern in Österreich
Der VAF und eine Gruppe von zehn Uni- Wesentlicher Bestandteil ist gegenwärtig die
fy-Partnern im Nachbarland Österreich sind wechselseitige Unterstützung in der be-
zu Beginn des Jahres in Kontakt getreten. darfsweisen Kontaktvermittlung, beispiels- eine erfolgreiche und bald 70-jährige Tradi-
Nach einem persönlichen Kennenlernen von weise wenn dies für Kundenprojekte mit tion verfügt. K
Vertretern beider Seiten wurde im März eine Unify-Lösungen und Lokationen in beiden
informelle Kooperation vereinbart und dies Ländern sinnvoll wird. – Der Ansatz ist ana- Weitere Informationen finden Sie im
den Mitgliedern mit internem VAF-Rund- log zum »VAF-Servicepool«, der als Modell VAF-Rundschreiben Nr. 10/2019 vom
schreiben bekannt gemacht. der Kollegenunterstützung im VAF über 4. April 2019.
4 VAF REPORT 1/2019
VERBANDSNACHRICHTEN
»DigitalPakt Schule« gabe erfolgt jedoch durch die Länder. Dafür
kann jedes Bundesland eigene Förderricht-
Aktuelles Förderprogramm zur linien in Abstimmung mit dem Bund erlas-
sen. Die Ansprechstellen in den Ländern zur
digitalen Ausstattung von Schulen Mittelbeantragung sollen bis Sommer 2019
eingerichtet werden. Wann geht’s also
Gefördert werden u. a. WLAN und interaktive Whiteboards in Schulen. praktisch los? Dazu äußert sich das Bundes-
Mitglieder sollten sich jetzt mit dem Programm befassen. ministerium für Bildung und Forschung
(BMBF) ganz diplomatisch: »Wenn das alles
Am 15. März 2019 hat der Bundesrat dem Schulen deren Trägervereine. Zwar bringt zügig weitergeht, könnten die ersten Schu-
Förderprogramm zum Ausbau digitaler In- der Bund mit 5 Milliarden Euro den Löwen- len noch in diesem Jahr mit ihren Investiti-
frastrukturen in Schulen zugestimmt. Ins- anteil in den Fördertopf ein, die Mittelver- onsmaßnahmen beginnen.« K
gesamt stellt das Programm 5,5 Milliarden
Euro über einen Zeitraum von fünf Jahren
zur Verfügung. Gefördert werden neben
groß angelegten und länderübergreifenden
Projekten wie der »Schul-Cloud« insbeson-
dere auch der Aufbau von WLAN und die
Anschaffung von digitalen, interaktiven
Foto: shutterstock.com
Whiteboards in Schulen.
Antragsberechtigt sind ausschließlich die
Schulträger, also in der Regel die Kommu-
nen bzw. Gemeindekreise oder bei privaten
Informationsseite des BMBF: www.bmbf.de/de/wissenswertes-zum-digitalpakt-schule-6496.html
Anzeige
Communicate.
Connect.
Collaborate.
myApps myApps
IP
Telefonie
UC
VAF REPORT 1/2019 5
VERBANDSNACHRICHTEN
Bericht zum Workshop
Herausforderungen: IoT und Sicherheit
den hatte der ATRT als Beratungsausschuss ralen) sowie behördenseitig von BSI, Bun-
der Bundesnetzagentur. Schätzungen zu- desnetzagentur, Bundesinnenministerium
folge werden bereits im Jahr 2020 weltweit und Bundeswirtschaftsministerium. Wieder-
über 20 Milliarden vernetzte Geräte im Ein- kehrendes Thema war der Wunsch der
satz sein. Längst zählen dazu nicht mehr Wirtschaft nach klarer Orientierung zu den
nur die klassischen IT/TK-Geräte. Zuneh- einschlägigen Regelwerken und der Ver-
mend kommunizieren über das Internet meidung von Insellösungen. Die gemeinsa-
auch Waschmaschinen, Leuchten, Heizun- me Diskussion soll fortgesetzt werden. Die
gen, Videokameras, Drohnen – kurzum Vortragsfolien sind öffentlich verfügbar. K
nahezu alles, was sich mit Sensoren und
Aktoren ausstatten und zumeist per Funk
steuern lässt. Damit wächst auch die Zahl Sicherheit im
Am 28. März 2019 trafen sich im Bun potenzieller Angriffsziele und zusätzliche Internet of Things (IoT),
deswirtschaftsministerium in Berlin rund Missbrauchsszenarien bilden sich heraus. mit Fokus auf den »Massenmarkt«
70 Fachvertreter aus Wirtschaft und Behör- Der Workshop wurde von VAF-Geschäfts- Workshop
den, um neue Herausforderungen, aktuelle führer Martin Bürstenbinder moderiert, die 28. März 2019 in Berlin
Praxis und Regulierungsansätze im Bereich Vorträge hielten Fachvertreter von VDE, Vortragsfolien:
der Sicherheit des Internets der Dinge (Inter- Deutsche Telekom, Vodafone, Nokia Bell www.bundesnetzagentur.de/atrt
net of Things, IoT) zu diskutieren. Eingela- Labs, Miele, Bosch, vzbv (Verbraucherzent-
VAF-Mitgliederservice Rechtsrahmen
Beratung zum Vergaberecht TKG-Novelle steht
vor der Tür
Wenn sich ein konkreter Geschäftsvorgang
mit einem öffentlichen Auftraggeber für das Das Telekommunikations-
anbietende Unternehmen als problematisch gesetz (TKG) soll in weiten
darstellt, dann ist im ersten Schritt die Teilen überarbeitet und
schnelle, kundige Orientierung zum weite- damit an die Technik im
ren Vorgehen wichtig. Gerade bei öffentli- IP-Zeitalter, die aktuellen Marktverhältnisse
chen Ausschreibungen und Projektabwick- sowie Regulierungsansätze angepasst wer-
lungen spielen Fristen und Formalia eine den. Die verbindliche Grundlage für die
sehr wichtige Rolle. VAF-Mitglieder können Reform bildet der »Europäische Kodex für
in solchen Fällen schnellen und kompeten- die elektronische Kommunikation« (EKEK,
ten Rat einholen. Der VAF bietet den Mit- engl. EECC), der am 20. Dezember 2018 in
gliedern mit dem erfahrenen Vergaberechts- Kraft getreten ist. Der Kodex muss bis zum
experten und Rechtsanwalt Dr. Werner 31. Dezember 2020 von den Mitgliedsstaa-
Holtkamp eine neue Möglichkeit zur Ein- ten in nationales Recht umgesetzt worden
holung juristischer Hilfestellung im Rahmen sein. Einen Ausblick auf die Reformpunkte
der für Mitglieder entgeltfreien Orientie- Rechtsanwalt liefert ein Eckpunktepapier, das am 21. Fe-
rungsberatung. K Dr. Werner Holtkamp bruar 2019 von deutschen Ministerien ver-
öffentlicht wurde. K
Weitere Informationen: VAF-Rundschreiben Nr. 9/2019 vom 22. März 2019 Mehr dazu im Beitrag auf Seite 12.
6 VAF REPORT 1/2019
VERBANDSNACHRICHTEN
Bundesleistungswettbewerb ternehmen TFA Gesellschaft für Kommuni-
kations-Elektronik mbH in Kreuzau-Stock-
Gratulation! heim absolviert. TFA-Geschäftsführer und
Ausbildungsleiter Jörg Brose: »Die Ausbil-
Beim 67. Bundesleistungswettbewerb des dung besitzt für uns einen hohen Stellen-
Handwerks im November des Vorjahres er- wert, sie ist seit Jahrzehnten fester Bestand-
rang Philipp Wollgarten den Titel des teil unserer Personalpolitik. Natürlich freuen
1. Bundessiegers in der Berufsgruppe Elek- wir uns jetzt mit Philipp Wollgarten über
troniker Fachrichtung Informations- und den tollen Erfolg im Bundeswettbewerb.«
Foto: ZDH
Telekommunikationstechnik (IT-Elektroni- Jedes Jahr finden bei der TFA in Kreuzau
ker). Die Auszeichnung überreichte am 1. drei bis vier junge Menschen einen Ausbil-
Dezember 2018 Hans Peter Wollseifer, Prä- dungsplatz als IT-Elektroniker. Der VAF gra-
Philipp Wollgarten, 1. Bundessie-
sident des Zentralverbandes des Deutschen tuliert dem Bundessieger und dem Ausbil-
ger im Beruf IT-Elektroniker, mit
Handwerks (ZDH). Philipp Wollgarten hat dungsbetrieb. K Handwerkspräsident Hans Peter
seine Ausbildung bei dem VAF-Mitgliedsun- www.tfa.de Wollseifer
Jetzt online frei verfügbar
erforderlich gewesen. Hinweis für Mitglie-
Amtsblatt der Bundesnetzagentur der: Das Amtsblatt wird regelmäßig in der
VAF-Geschäftsstelle ausgewertet. Sofern
Das sogenannte Amtsblatt ist das offizielle seit Januar 2019 kostenfrei und online ver- sachlich erforderlich oder sinnvoll, werden
Mitteilungsorgan der Bundesnetzagentur. fügbar. Bis Dezember 2018 war für dessen die Mitglieder informiert. K
Es erscheint ca. alle zwei Wochen und ist Bezug ein kostenpflichtiges Abonnement www.bnetza-amtsblatt.de
Anzeige
VAF REPORT 1/2019 7
VERBANDSNACHRICHTEN
Forschungskooperation
VAF zieht positives Fazit
In den Jahren 2017 und 2018 fanden in Ko-
operation mit der Hochschule Nürnberg
Verkehrsanalysen von Applikationen in rea-
len Netzen bei Mitgliedsunternehmen des Gerhard Förtsch,1. Vorsitzender,
VAF statt. Die neuen Erkenntnisse wurden VAF Bundesverband
auf der Techniktagung des VAF und im VAF Telekommunikation e. V.
Report vorgestellt. Darüber hinaus bilden sie
einen wichtigen Teil der benötigten Daten-
basis für applikationsspezifische Lastgene- »Die Kooperation fördert den praxisnahen Erkenntnisgewinn
ratoren, deren Entwicklung an der Hoch- für alle Mitglieder und darum unterstütze ich deren
schule weiter vorangetrieben wird. Die
wissenschaftliche Leitung des Gesamtvor- Fortführung. Zudem passt das Engagement als Forschungs-
habens und der Teilprojekte liegt bei Prof.
sponsor hervorragend zu jedem innovativen ITK-Systemhaus.«
Dr.-Ing. Gerd Siegmund. Die Messungen
und die Analyse der Daten führte Marius
Istel im Rahmen seiner Abschlussarbeit (Sci- Folgeprojekt:
ence Master) durch. Die für die umfangrei- Auslobung im Mai
chen Arbeiten benötigte wissenschaftliche Im Mai des laufenden Jahres soll ein Folge-
Stelle wurde von einer Gruppe engagierter projekt im SIP-Umfeld an der Hochschule als Kontakt
Mitgliedsunternehmen gesponsert. Die weiteres Kooperationsvorhaben mit dem VAF für Sponsoring-Interessenten
VAF-Geschäftsstelle unterstützte die effek- ausgelobt werden. Die konkrete Aufgaben-
tive Nutzbarmachung des Sponsorings im beschreibung basiert auf Beratungsergeb- Martin Bürstenbinder,
Marketing der Mitglieder und koordinierte nissen des VAF-Fachkreises ITK-Technik mit Geschäftsführer, VAF
alle Abläufe des Projekts. – Marius Istel ar- Prof. Siegmund. Sponsoring-Interessenten buerstenbinder@vaf-ev.de
beitet seit Beginn des Jahres bei Alcatel-Lu- können sich für weitere Informationen an 02103 700-252
cent Enterprise als Solution Designer. die VAF-Geschäftsstelle wenden. K
32. Treffen des VAF-Innovationskreises
Zu Gast bei Fundel und Kurtz
Die Mitglieder des VAF-Innovationskreises versammelten sich im
Februar des Jahres zu ihrem 32. Treffen bei der Fundel und Kurtz
GmbH in Baden-Württemberg. Auf dem Programm standen Er-
fahrungsaustausch und Diskussion von Verbandsprojekten. Ein-
geladen hatte Unternehmer Dierk Proppe, der für den zweitägigen
Besuch der Kollegen alles bestens organisiert hatte. Dieses Mal
waren die Gäste besonders gespannt auf die Betriebsführung, denn
Proppe hatte dafür seine neue Niederlassung »Sicherheitshaus Fun-
del und Kurtz« mit Ladengeschäft in Ehingen ausgewählt. – Der
das Systemhausgeschäft ergänzende Betrieb eines Ladengeschäfts
bildet eher die Ausnahme im Mitgliederkreis. So gab es viele inte-
ressierte Fragen (und Nachfragen), die der Gastgeber geduldig und
gern beantwortete. K
fundel-kurtz.de, sicherheits.haus
Gastgeber Dierk Proppe (Bildmitte) mit Verbandskollegen
8 VAF REPORT 1/2019
VERBANDSNACHRICHTEN
VAF-Wissenswerkstatt
Kursbücher »Netzwerke Grundlagen« umfassend aktualisiert
Die Basisschulung »Profes- sonders geschätzt werden seit jeher die sowie mit einer Einführung zu Cloud-Com-
sionelle Netzwerktechnik« umfangreichen Kursbücher, die der VAF in puting. K
ist seit über zehn Jahren fes- Zusammenarbeit mit dem Trainer Axel www.vaf-ev.de
ter Bestandteil im Schu- Brandt und dem Herdt-Verlag den Teilneh-
lungsprogramm des mern der Schulungen zur Verfügung stellt. Kursbücher:
Professionelle Netzwerktechnik
VAF. Sie legt in zwei Beide Lehrmaterialien wurden umfangreich
Grundlagen: Technik, Protokolle und Dienste
Modulen den Grund- überarbeitet und die neuen Ausgaben fin-
Modul A: LAN, 186 Seiten;
stein für weiterfüh- den seit Beginn des Schulungsjahrs 2019 Modul B: WAN, 215 Seiten
rende Kurse und Anwendung. Neben Aktualisierungen zum Vierte und umfassend überarbeitete
ebenso für den eigen- Stand der Technik wurden auch Erweiterun- Ausgabe, Berlin 2019
ständigen weiteren Kompetenzauf- gen vorgenommen, u. a. durch vertiefende Hrsg.: VAF, Herdt-Verlag, federführend
Trainer Axel Brandt
bau im Bereich der IP-basierten Netze. Be- Erläuterungen zu WLAN und Virtualisierung
Aktuelle Umfrage
WLAN im Laden ist für jeden Zweiten ein Muss
Auch stationäre Händler brauchen eine Di- auf WLAN zugreifen zu können. Bei den
Foto: shutterstock.com
gitalstrategie: Sie können durch den Einsatz 30- bis 49-Jährigen ist es jeder Zweite
digitaler Technologien im Geschäft das Ein- (52 Prozent), bei den 50- bis 64-Jährigen
kaufserlebnis für den Kunden verbessern. sind es 39 Prozent und vier von zehn (42
Die Mehrheit der Kunden wünscht sich Prozent) der befragten über 65-Jährigen
solche Möglichkeiten. Zu dem Ergebnis wünschen sich ebenfalls WLAN während
kommt der Digitalverband Bitkom auf Basis der Shoppingtour.
einer in seinem Auftrag durchgeführten Dazu kommentiert Mathias Hein, Technik-
repräsentativen Befragung im April 2019. leiter des VAF: »Deutschlandweit sind die
Für die Hälfte der Kunden (49 Prozent) ist Mitglieder des VAF stark aufgestellt, wenn WLAN zu einem breiten und dynamischen
demnach WLAN im Geschäft ein »Must- es darum geht, moderne WLAN-Netze in- Geschäftsfeld entwickelt. Für Mitglieder
have«. Vor allem für die junge Zielgruppe dividuell zu planen und zu bauen. Zugleich könnte es sinnvoll sein, mit gezielten Aktio-
von 14 bis 29 Jahren sind solche Hotspots sind sie dank ihrer Vor-Ort-Präsenz nah dran nen auf Kundengruppen in der jeweiligen
essenziell: Hier äußern sechs von zehn Be- an der Kundschaft und können optimalen Region zuzugehen. K
fragten (62 Prozent) den Wunsch, im Laden Service bieten.« Aus Sicht des VAF hat sich www.bitkom.org
Das branchenoptimierte Betreuungsmodell für VAF-Mitglieder
Topservice für Arbeitssicherheit in Ihrem Unternehmen
Moderne Lösungen für den Bereich Arbeitsschutz im ITK-Systemhaus
Effiziente und rechtssichere Erfüllung der gesetzlichen Vorschriften
Individualisierte Online-Plattform kombiniert mit persönlichen Vor-Ort-Leistungen
Fachgerechte Unterstützung durch zertifizierte Fachkraft für Arbeitssicherheit
Foto: shutterstock
Detaillierte Informationen zum Angebot erhalten Sie in der VAF-Geschäftsstelle.
Kontakt: Christian Grünewald, Referent
In Kooperation mit dem Fachdienstleister
gruenewald@vaf-ev.de, Tel.: 02103 700-257
VAF Bundesverband Telekommunikation e. V.
10 VAF REPORT 1/2019Ausgezeichnet: ProCall 6 Enterprise
Präsenz-Management als Grundlage für exible
Arbeitsplatz- und Arbeitszeitmodelle von morgen
Das Präsenz-Management-System von ProCall 6 Enterprise ermöglicht eine nie
dagewesene Transparenz über die Erreichbarkeit eines Kollegen. So kann einer,
der Situation ideal angepasster Kommunikationsweg gewählt werden, um diese
Person zu kontaktieren.
ProCall 6 Enterprise ist eine Unied Communications & CTI Software Suite,
die alle wichtigen Kommunikationswege in einer einzigen Anwendung vereint.
Mehr erfahren
estos.de/praesenzmanagementVERBANDSNACHRICHTEN
Rechtsrahmen
Das Telekommunikationsgesetz wird novelliert
Das Telekommunikationsgesetz (TKG) den. Das ist terminlich ein sportliches Ziel, klar zu verankern, dass »Ortsangaben des
stammt in seiner ursprünglichen Fassung denn zahlreiche zentrale Themen des TK- Endgeräts zur besseren Bestimmung des
aus dem Jahr 1996 und ist unverkennbar in Rechts stehen zur Überprüfung und Ände- Ursprungs eines Notrufs« einbezogen wer-
die Jahre gekommen. Mit der Reform soll rung an, z. B. in den Bereichen Marktregu- den dürfen (Anm. d. Redaktion: so schon
das Gesetz besser an die heutigen Anfor- lierung, Frequenzpolitik, Schutzrechte der in der neuen TR Notruf 2.0 in Teilen vorweg-
derungen der digitalisierten Technik und des Endnutzer, Kompetenzen der Bundesnetz- genommen). Die Bundesnetzagentur soll
ITK-Markts angepasst werden. agentur und Universaldienst. mit zusätzlichen Kompetenzen versehen
Am 20. Dezember 2018 ist der »Europäi- werden und das Limit der möglichen
sche Kodex für die elektronische Kommu- Eckpunktepapier gibt Ausblick Zwangsgelder von bisher 500.000 Euro auf
nikation« (EKEK, engl. EECC) in Kraft ge- Einen ersten Blick, wohin die Reise gehen 10 Millionen Euro hochgesetzt werden.
treten. Er fasst bisherige EU-Richtlinien zur könnte, liefert ein Eckpunktepapier vom Die hier aufgelistete Auswahl kann nur
Telekommunikation zusammen und bildet 21. Februar 2019. Es stammt von den bei- einen ersten, unvollständigen Eindruck zur
die verbindliche Grundlage für die Moder- den in der Umsetzung des EKEK federfüh- Novellierung geben. Weitere Themenfelder
nisierung des TK-Rechtsrahmens in den renden Ministerien, dem Wirtschaftsminis- werden adressiert, wie Verbesserungen zur
EU-Mitgliedsstaaten. Der EKEK muss von terium (BMWi) und dem Ministerium für Prävention von Rufnummernmissbrauch,
den Mitgliedsstaaten bis zum 31. Dezember Verkehr und digitale Infrastruktur (BMVI). Neuregelung der Bestimmungen zum Uni-
2020 in nationales Recht umgesetzt wer- Die Ministerien beschreiben ihr Verständnis versaldienst oder auch die Anpassung des
der anstehenden Änderungen und fordern TKG an die DSGVO. Die großen interessen-
damit zugleich die interessierte Fachöffent- politischen Auseinandersetzungen dürften
lichkeit zur Stellungnahme auf. sich in den nächsten 12 bis 18 Monaten
Unter anderem sollen die neuen »Over- insbesondere um die Bereiche Frequenzen,
the-Top«-Dienste (Skype, Facebook Messen- Breitbandausbau, Marktregulierung und die
ger, WhatsApp, …) in den gleichen recht- Schutzrechte der Endnutzer drehen. Jeden-
Eckpunkte zur TKG-Novelle lichen Regulierungsrahmen hinsichtlich falls üben sich manche Cheflobbyisten dazu
2019
Interoperabilität, Sicherheit und Kunden- schon fleißig in kämpferischer Rhetorik. K
21. Februar 2019
schutz eingebunden werden wie die »klas-
sischen« Telefondienstangebote; ebenso
BMWi, Abteilung VI – Digital- und Innovationspolitik
BMVI, Abteilung DG – Digitale Gesellschaft
bestehen Überlegungen, die Pflichten der Kontakt:
öffentlichen Netzbetreiber hinsichtlich Ter- Martin Bürstenbinder,
mintreue bei Technikereinsätzen und Ent- Geschäftsführer, VAF
störungszeiten zu verschärfen; des Weiteren buerstenbinder@vaf-ev.de
werden Überlegungen angestellt, gesetzlich
VAF-Team
Sportlicher Rückblick
Mit großem Engagement nahm das Team der VAF-Ge-
schäftsstelle an der 8. Hildener Winterlaufserie teil, die
im Jahr 2019 erstmals über 1.000 Läuferinnen und Läufer
plus Unterstützer an drei Wochenenden in den Hildener
Stadtwald führte. Auf dem Programm standen Volksläu-
fe über Distanzen von 5 und 10 km sowie Halbmarathon.
Nach dem Abschlusslauf bei strahlender Wintersonne
freute sich das VAF-Team über gute Platzierungen und
die absolvierte Leistung. Zur Aufgabenteilung: Die sport-
lichen Leistungen wurden von den weiblichen Teammit-
gliedern erbracht. Die Herren brillierten in der Kategorie
»Moralischer Support«. K Das Team der Geschäftsstelle bei der Winterlaufserie 2019
12 VAF REPORT 1/2019GEMEINSAM FÜR MEHR ERFOLG IHRE PARTNER FÜR UC UND COLLABORATION Mit dem Zusammenschluss von Swyx und Voiceworks stehen Ihnen ab sofort noch mehr Lösungen für Ihre Kunden zur Verfügung. Bieten Sie Ihren Kunden das komplette Portfolio von flexibler Private Cloud bis UCC aus der Public Cloud als Whitelabel-Geschäftsmodell an. Erzeugen Sie maximale Kundenbindung durch integrierte TK- und Netzdienste. Ob als neuer oder als langjähriger Partner: Mit Swyx und Voiceworks profitieren Sie von unser Erfahrung, unseren Synergien und der bestmöglichen Unterstützung. Jetzt informieren und Partner werden! partnernet@swyx.com partner-de@voiceworks.com
VERBANDSNACHRICHTEN
Bericht zur Jahrestagung Technik & Service 2018 in Sulzbach
Aktuelle ITK-Technologie im Fokus
Die 37. Jahrestagung Technik & Service bot Ende 2018 wieder vertiefende Ein- und
Ausblicke zur technologischen Entwicklung der ITK-Branche.
Als einer der Schwerpunkte stand das The-
ma Fernwartung auf dem Programm. Der
noch zu ISDN-Zeiten stark standardisierte
Fernzugriff auf die TK-Anlage ist seit dem
Übergang zur IP-basierten Sprachübertra-
gung einem starken Wandel unterworfen.
IT-Sicherheitsexperte Benjamin Pfister gab
einen breiten Überblick zu den in der Praxis
angewandten Verfahren und stellte deren
Stärken und Schwächen gegenüber (siehe
auch Seite 16). Jan Hickisch, Geschäftsfüh-
rer der Fastviewer GmbH, präsentierte die
Fernwartungslösung des Anbieters von Busi-
nessanwendungen und Vertreter aus dem
Mitgliederkreis schilderten ihre betrieblichen
Erfahrungen sowie Lösungsstrategien.
Roland Dold referierte als Experte zu Pow-
er-over-Ethernet kundig über die neuesten derheiten im deutschen TK-Markt. Ganz
Entwicklungen im Bereich der Normung und aktuelle Fragen ergaben sich auch zu der
der Anwendungen: Mehr Energie aus dem frisch in Kraft getretenen TR Notruf 2.0.
Datenkabel führt auch zu höherer Wärme- Bernd Henschel von der Bundesnetzagentur
belastung, die bei der Planung berücksich- stellte die neue Richtlinie sowie deren Be-
tigt werden muss (siehe auch Seite 26). Ei- deutung für Unternehmensnetze vor. Mes-
nen Ausblick auf die Entwicklung der sen am SIP-Trunk, gezielte Analysen großer
TK-Netze bot der Themenkomplex SD-WAN: Datenmengen, Neuerungen bei WebRTC
Prof. Dr.-Ing. Gerd Siegmund (Hochschule – weitere spannende Fachvorträge und Dis-
Nürnberg) führte in die Technik von Softwa- kussionen sowie die vielseitige Fachausstel-
re-Defined Networking ein, Andreas Stein- lung rundeten das Programm ab. Auch der
kopf (Plusnet GmbH/QSC AG) wagte einen kollegiale und informelle Austausch kam
Blick auf Anwendungsszenarien und Beson- wie üblich nicht zu kurz. K
»Die VAF-Jahrestagung Technik & Service ist jedes Jahr fester Bestandteil in
meinem Terminkalender. Die aktuellen Themen, wie hier IP-Fernwartung,
sind immer interessant für einen Serviceleiter. Das Networking mit den Kolle-
gen anderer VAF-Partner macht natürlich viel Spaß und der Gedankenaus-
tausch bringt stets Erkenntnisse für die Praxis.«
Wolfgang Grupp
Abteilungsleiter ITK Systemhaus, Heldele GmbH
14 VAF REPORT 1/2019VERBANDSNACHRICHTEN
»Die Tagung war wieder eine gelungene Veranstaltung zum Austausch
unter Kollegen, das ist gelebtes Social Media hautnah. Bei den Fachthemen
und Diskussionen wird auch über den Tellerrand geschaut, das ist wichtig.«
Jürgen Hagen
Technischer Referent, MTG-Kommunikations-Technik GmbH
»In einer Welt, die überflutet wird von bedeutungslosen Informationen, ist
Klarheit von besonderer Wichtigkeit. Theoretisch kann sich jeder an der
Diskussion über die Zukunft im IT-Markt beteiligen, aber es ist ziemlich
schwer, den Durchblick zu behalten. Ich schätze darum den Austausch in der
VAF-Community, die angeregten Debatten zu Themen und die strukturierten
Inhalte der Veranstaltungen.« René Princz-Schelter
VP Technical Sales and Services EUNO Region, Alcatel-Lucent Enterprise
VAF REPORT 1/2019 15FACHBEITRÄGE
Überblick zur aktuellen Technik
Sicherheitsaspekte
der TK-Fernwartung
Bei der Fernwartung von Voice- und UC-Systemen in IP-Netzen existiert
anders als bei ISDN eine Vielzahl von Lösungsansätzen, aber auch
Herausforderungen. Insbesondere im Bereich der IT-Security haben
Kunden sehr oft unterschiedliche Anforderungen. Der Fachartikel stellt
die Sicherheitsmerkmale der wichtigsten Fernwartungskonzepte vor
und nennt Maßnahmen, um ein angemessenes Sicherheitsniveau für
die jeweiligen Schutzbedarfe zu erreichen.
Autor: Benjamin Pfister
Mit der schrittweisen Umstellung der Tele- Zugriffsweg und Zugangsregelungen für
fonie von ISDN auf das Internetprotokoll Systemhaus und Kunden gleichermaßen Inhaltsverzeichnis
(Voice-over-IP/VoIP) hat sich auch die Fern- transparent. So war zumeist auch keine zu- 1. Frühe Ansätze beim
wartung von TK-Systemen grundlegend sätzliche Abstimmung mit der lokalen IT-Ab- Übergang zu IP S. 17
verändert. In ISDN-basierten Telefonnetzen teilung des Kunden notwendig. Eine mit RTP-Stream S. 17
wurde meist eine proprietäre Management- dem Kunden verabredete Absicherung der RFC 4040 S. 17
software des Herstellers der jeweiligen Fernwartung erfolgte meist über Rufnum- 2. Schnittstellen und Protokolle S. 17
TK-Anlage (PBX) eingesetzt. Eine Wählver- mernidentifikation und zum Teil über PINs
3. Sicherheitsmaßnahmen S. 18
bindung oder eine permanente ISDN-ba- oder Rückrufverfahren. Diese Verfahrens-
sierte Standleitung stellte die Verbindung weise änderte sich in IP-basierten Voice-/ 4. Aktuelle Fernwartungslösungen S. 19
zwischen dem Management- und dem Ziel- UC-Systemen erheblich. Mit dem Fehlen VPN S. 19
• Remote Access VPN S. 20
system her (Bild 1). Die eigentliche Daten- dedizierter, verbindungsorientierter Leitun-
• Site-to-Site VPN S. 20
übertragung erfolgte im Nutz-/B-Kanal oder gen, wie zuvor bei ISDN, muss die Fern-
Proprietäre Lösungen S. 22
Signalisierungs-/D-Kanal. Die Prozesse für wartung in IP-Netzen über andere Verbin-
• Cloud-basiert S. 22
die TK-Fernwartung waren unter ISDN fest dungsebenen realisiert werden. Daraus • On-Premise S. 22
integriert und etabliert, wirtschaftliche As- ergeben sich zum einen Fragen nach der
5. Fazit S. 23
pekte (Arbeitsaufwand, Kosten) ebenso wie organisatorischen und wirtschaftlichen Um-
setzbarkeit der neuen Fernwartungsmetho-
den, die an dieser Stelle jedoch nur am
Rande Erwähnung finden können. Neue
Grafik: Pfister/Bearbeitung VAF
ISDN ISDN Herausforderungen stellen die immer kom-
PSTN
plexeren IP-Netze auch und vor allem an die
Verbindungssicherheit. Dabei unterscheiden
Wartungs- ISDN NT ISDN NT PBX sich die Schutzbedarfe unterschiedlicher
rechner
Kunden nicht selten erheblich, so setzen
z. B. Behörden zumeist ein höheres Sicher-
Bild 1 ISDN-basierte Fernwartung heitsniveau voraus als viele KMU. Auf die
16 VAF REPORT 1/2019FACHBEITRÄGE
werden können. HLC-Flags, die u. a. bei
proprietären Fernwartungslösungen einiger
Grafik: Pfister/Bearbeitung VAF
Hersteller benötigt werden, sind bei RFC
ISDN ISDN
SIP mit RFC 4040 4040 nicht möglich. Zudem sind nicht alle
Gateways mit RFC 4040 kompatibel
Wartungs- Media- Internet Internet Firewall Media- PBX (Bild 3), und selbst passende Gateways
rechner Gateway Access Gateway
Router müssen zuvor explizit konfiguriert werden.
Bild 2 Fernwartung nach RFC 4040 2. Schnittstellen und Protokolle
Grundlage jeder Entscheidung, welche
Form der Fernwartung in IP-basierten Net-
Vielzahl der potenziellen Nutzergruppen dem auf die maximale ISDN-Geschwindig- zen erfolgen soll, ist eine genaue Schnitt-
kann hier nicht näher eingegangen werden, keit von 64 kbit/s begrenzt. stellenbetrachtung der Zielsysteme. Grund-
jedoch werden vor dem Hintergrund dieser sätzlich unterscheidet man zwischen
heterogenen Kundenlandschaft nachfol- RFC 4040 klassischen Managementschnittstellen auf
gend die wichtigsten Technologien und Ein Ansatz speziell für die Wartung einer Kommandozeilenbasis (z. B. Telnet oder
Konzepte für die TK-Fernwartung vorge- ISDN-basierten TK-Anlage ohne Applikati- SSH) und für Managementsysteme ange-
stellt und hinsichtlich ihrer Eignung für das onsserver stellt der Zugriff nach dem Ver- passten Schnittstellen (z. B. SNMP). Für die
Erreichen unterschiedlich hoher Sicherheits- fahrensstandard RFC 4040 (auch Clear grafische Bildschirmübertragung findet sich
anforderungen beschrieben. Channel genannt) dar. Für diese technisch auch das Microsoft-Protokoll RDP oder die
betrachtet »weiche« Überleitung zu IP kom- Software VNC. Zunehmend kommen vor
1. Frühe Ansätze beim men Media-Gateways zur Schnittstellen- allem auch webbasierte Tools auf Basis von
Übergang zu IP und Protokollwandlung an den Übergängen HTTPS auf vielen Applikationsschnittstellen
Insbesondere in der Frühphase des Aufkom- zu IP-basierten Netzen zum Einsatz (Bild 2). (APIs) zum Einsatz. Nicht alle Verfahren er-
mens von VoIP war man bestrebt, die be- Bei Verfahren gemäß RFC 4040 findet eine füllen die heute gängigen Sicherheits- und
stehenden Kommunikationsarchitekturen transparente Übertragung der B-Kanal-Da- Performancestandards, dennoch finden sie
bei der Umstellung von ISDN zum Internet- ten der ISDN-Fernwartungssoftware über sich bis heute in der breit gefächerten IT-
protokoll möglichst zu belassen. Diese auch RTP statt. Störende Faktoren, wie z. B. Voice Welt wieder. Für die praktische Durchfüh-
aus Kosten- und Aufwandserwägungen Activity Detection, Echo Cancellation, Kom- rung der Fernwartung sind daher die Sicher-
entstandenen Überlegungen lieferten erste pressionen oder (De-)Codierungen, sind heitsmechanismen der jeweiligen
Ansätze, stellten sich in der Praxis jedoch deaktiviert, trotzdem können Einflussfakto- Schnittstellen zu berücksichtigen:
als nicht oder nicht vollständig tauglich für ren wie Paketverlust, Jitter und Delay die Telnet: Das kommandozeilenbasierten Ver-
die TK-Fernwartung heraus. Übertragung beeinträchtigen. Die Ver- fahren führt eine unverschlüsselte Übertra-
schlüsselung der Nutzdaten ist mit SRTP gung der Authentifizierungs- und Nutzdaten
RTP-Stream (Secure RTP) möglich. RFC 4040 bietet so durch und ist somit unter Sicherheitsaspek-
So wurde zunächst versucht, Daten aus dem die Möglichkeit, mit geringem Aufwand an ten problematisch (Bild 4).
ISDN-B-Kanal mithilfe von RTP (Real-Time den Netzübergängen altbekannte Kommu- SSH (Secure Shell): SSH arbeitet ebenfalls
Transport Protocol) als Stream über das IP- nikationsmuster nachzubilden. Problema- kommandozeilenbasiert, hier findet die
Netz zu übertragen. Hierbei treten jedoch tisch dagegen ist, dass nicht alle D-Ka- Übertragung jedoch verschlüsselt statt. Die
eine Vielzahl von Problemen auf. Die diver- nal-Daten zur Signalisierung übertragen aktuelle SSH-Version 2 gilt in Kombination
sen Eigenschaften IP-basierter Telefonnetze
(komprimierende Codecs, Echo Cancella
tion, Voice Activity Detection, Packet Loss
und Jitter) sorgen für instabile Datenüber-
tragungen. Aufgrund der Adaption alter Bild 4 Telnet – unverschlüsselte Authentifizierungsdaten
B-Kanal-Verfahren ist die Performance zu- (hier als Beispiel: a, d etc.)
Bild 3 Fehlgeschlagene Fernwartung nach RFC 4040
VAF REPORT 1/2019 17FACHBEITRÄGE
3. Sicherheitsmaßnahmen
Für die Fernwartung von Voice- und UC-Sys-
temen erhält das Systemhaus über die meist
öffentlichen IP-Netze Zugang zum TK-Sys-
Bild 5 SSH – verschlüsselte Authentifizierungsdaten tem im Firmennetz des Kunden. Dieser si-
cherheitstechnisch sensible Eingriff erfor-
dert entsprechende Vorkehrungen, um
bestehenden Gefährdungen zu begegnen
oder sie bestenfalls komplett auszuschlie-
ßen. Hierzu existieren weltweit Empfehlun-
gen verschiedener öffentlicher und privat-
Bild 6 Verschlüsselte Nutzdaten mit HTTPS wirtschaftlicher Institutionen. An dieser
Stelle werden die Anforderungen und
Handlungsempfehlungen des Bundesamts
mit einem RSA-Schlüssel mit mindestens ward Secrecy, um nachträgliche Entschlüs- für Sicherheit in der Informationstechnik
2.048 Bit (besser: 4.096 Bit) als sicherer selung zu vermeiden) oder der neuesten (BSI) schwerpunktmäßig behandelt.1 Zum
Übertragungsweg (Bild 5). Version TLS 1.3 die größte Sicherheit bietet einen betrifft dies den Missbrauch von Leis-
SNMP (Simple Network Management (Bild 6). tungsmerkmalen, wie z. B. die Vortäuschun-
Protocol): Bei diesem Protokoll muss zwi-
schen den Versionen 1, 2c und 3 differen-
ziert werden. Version 3 ist die einzige
Variante von SNMP, die für eine Authenti-
fizierung und Verschlüsselung der Nutzda- Meine Gefährdung: Abhören
ten über ausreichende Sicherheitsmechanis- Bankdaten
men verfügt. lauten ...
Proprietäre Schnittstellen von TK-Her- Internet
stellern: Beim Einsatz von produktspezifi-
schen Schnittstellen muss mit dem jeweili-
Interessantes
gen Hersteller geklärt werden, ob eine
Gespräch.
sichere Authentifizierung und Verschlüsse-
lung der Nutzdaten stattfindet.
Grafische Fernwartung (z. B. RDP, VNC):
Eine sichere Fernwartung per Bildschirm-
übertragung ist dann gewährleistet, wenn
unbefugter Zugriff
eine gesicherte Authentifizierung stattfindet
und die Verbindung mit sicheren Verfahren Call- Internet
Generator
verschlüsselt ist.
Webbasierte Managementschnittstel-
PBX
len: Bei der Verbindung über einen Browser
birgt der Einsatz von unverschlüsseltem
HTTP Sicherheitsrisiken (Bild 7).
Diese lassen sich minimieren durch den Betrüger massenhafte
Grafik: Pfister/Bearbeitung VAF
Anrufe
Einsatz von HTTPS, wobei eine Verschlüsse-
lung mit mindestens TLS Version 1.2
(in Verbindung mit dem Verfahren For- Telefonnummer
mit Mehrwert-
diensten
Gefährdung: Gebührenbetrug
Bild 8 Gefährdungen für die Fernwartung: Abhören durch unberechtigtes
Aufschalten (oben); Gebührenbetrug durch unbefugte Einrichtung eines
Anrufgenerators (unten)
Bild 7 Unverschlüsselte
Authentifizierung mit HTTP
1) Mehr Informationen des BSI zur TK-Sicherheit unter: www.bsi.bund.de (Baustein NET 4.1 TK-Anlagen)
18 VAF REPORT 1/2019FACHBEITRÄGE
gen einer anderen Rufnummer mit CLIP
No-Screening oder das Abhören von Ge-
sprächen durch Aufschalten oder Raum-
überwachung (Bild 8 oben). Des Weiteren Direkter Zugriff – Negativbeispiel
können vertrauliche Metadaten verloren
gehen (z. B. »Wer hat mit wem zu welcher
Uhrzeit telefoniert?«). Durch unberechtigt
Direkteinwahl PBX
eingerichtete Rufumleitung auf Mehrwert-
dienste oder Auslandsrufnummern können Internet
hohe Kosten entstehen (Bild 8 unten).
Um den zuvor beispielhaft genannten Ge- Wartungs-
fährdungen entgegenzuwirken, müssen rechner Applikations-
Sicherheitsvorkehrungen getroffen werden. server
Hierfür gibt es mit Bezug auf die Veröffent-
lichungen des BSI verschiedene Maßnah-
men, die jeweils zur Erhöhung des Sicher- Indirekter Zugriff
heitsniveaus beitragen können. Inwieweit
diese beim Wartungseinsatz vollständig IPsec-VPN
oder in Teilen umgesetzt werden können, PBX
hängt vornehmlich von den sicherheitstech-
Internet
nischen Vorgaben sowie wirtschaftlichen
Grafik:Pfister/BearbeitungVAF
und organisatorischen Möglichkeiten auf
Wartungs- Jump Host
Kunden- und Dienstleisterseite ab.
rechner Applikations-
Dediziertes Managementnetz: Durch server
eine Einschränkung auf IP- und Portebene
(Paketfilter) auf dem Zielsystem ist eine
Bild 9 Gegenüberstellung direkter und indirekter Remotezugriff
Fernwartung aus einem eingeschränkten
Netz möglich. Zugriffe aus anderen Netzen
sind nicht gestattet.
Indirekter Netzzugriff: Ein direkter, un- Schutz des Wartungssystems: Der fern- 4. Aktuelle Fernwartungs-
gesicherter Zugriff aus externen Netzen wartende PC beim Dienstleister gilt als oft lösungen
kann über Paketfilter verhindert werden. übersehener Angriffsvektor bei Fernwar- Nicht jede Fernwartungslösung passt zu je-
Über den durch Authentifizierung und Ver- tungssitzungen. Durch physischen Schutz, dem Kunden oder Dienstleister. IT-Organisa-
schlüsselung abgesicherten Zugang zu einer wie z. B. Zutrittskontrolle bei einem physi- tion und Schnittstellen des Zielsystems sollten
Management-DMZ (Demilitarized Zone, schen Fernwartungs-PC, sowie mehrstufi- daher im Vorfeld genau betrachtet werden.
Bild 9) bzw. dem darin befindlichen Jump gen logischen Schutz durch Berechtigungs- Dabei sind Sicherheits-, Datenschutz- und
Host kann dann ein Verbindungsaufbau management, restriktiv konfigurierte Compliance-Richtlinien des jeweiligen Unter-
zum Zielsystem stattfinden. Firewalls, aktuelle Virenscanner und nehmens oder der Behörde zu beachten.
Monitoring: Soll synchron überwacht wer- Host-basierte Intrusion Detection/Intrusion
den, ob über die Fernwartungssitzung auch Prevention Systems kann das Risiko mini- VPN
wirklich nur die beauftragte Maßnahme miert werden. Die Wartung von TK-Systemen über einen
durchgeführt wird, ist eine genaue Beob- Wartungssessions einschränken: Eine VPN-Tunnel ist ein besonders unter Sicher-
achtung des Datenflusses erforderlich. So Beschränkung der maximalen Fernwar- heitsaspekten relevanter Ansatz. Zwischen
kann bei sicherheitskritischen Ereignissen tungszeit kann verhindern, dass Sitzungen dem Dienstleister und dem Kunden wird ein
(z. B. mehrfache Fehlversuche, auf ein nicht nach durchgeführten Wartungsarbeiten un- Virtual Private Network (VPN) aufgebaut.
zulässiges Zielsystem zuzugreifen) rechtzei- nötig lange oder sogar dauerhaft geöffnet Die Verbindung setzt eine gegenseitige Au-
tig reagiert und die Fernwartung abgebro- bleiben. thentifizierung und Autorisierung voraus,
chen werden. Datenschutz und Compliance: Durch sodass die Fernwartungsdaten verschlüsselt
Systemhärtung: Sind für die Fernwartung Vertraulichkeitsvereinbarungen und rechts- (Bild 10) über das unsichere öffentliche
nicht benötigte Dienste deaktiviert, verrin- konforme Regelungen zur Auftrags- Netz übertragen werden. Hierfür können
gert sich die Zahl der möglichen Einfallstore verarbeitung (nach der EU-Datenschutz sowohl IPsec- als auch TLS-basierte VPNs
für Sicherheitsverstöße. Um die Fernwar- grundverordnung [DSGVO]) werden die zur Anwendung kommen. Ihr Ziel ist die
tung vollständig zu beenden, kann diese Handlungsgrenzen des mit der TK-Fernwar- Sicherstellung von Integrität, Vertraulichkeit
auch physisch deaktiviert werden. tung Beauftragten im Vorfeld festgelegt. und Authentizität.
VAF REPORT 1/2019 19FACHBEITRÄGE
Remote Access VPN Anwendern bereits von HTTPS bekannt und nutzername/Kennwort-Authentifizierung
Bei einem Remote Access VPN baut ein ein- hat einen steigenden Verbreitungsgrad. über Client-seitige Zertifikatauthentifizie-
zelner Nutzer einen Tunnel in das Unter- Je nach Sicherheitsanforderungen des rung bis zu Zwei-Faktor-Systemen mit Token
nehmensnetz auf. Wie bereits zuvor er- Kunden kommen unterschiedliche Authen- oder der Überprüfung biometrischer Merk-
wähnt existieren IPsec- und TLS-basierte tifizierungsmethoden zum Einsatz. Diese male.
Remote Access VPNs. TLS ist den meisten reichen von einer Pre-Shared-Key- oder Be- Ein Remote Access VPN kommt meist bei
temporärer Fernwartung zum Einsatz. Er
wird häufig in Kombination mit einem Jump
Verschlüsselung Codierte Übertragung Entschlüsselung Host betrieben. Hierunter versteht man ein
1234 > 2345 AHBVHDZNDPLLK 1234 > 2345 Zwischensystem, das genutzt wird, wenn
die Fernwartung nicht direkt vom System-
Grafik: Pfister/Bearbeitung VAF
IPsec-VPN
haus zum Zielsystem aufgebaut werden soll,
sondern nur von diesem System aus
Management (HTTP)
Firewall Firewall (Bild 11). Hierdurch ist es möglich, Zugriffe
Wartungs- Internet Internet Internet PBX auf die Zielsysteme entsprechend besser
rechner Access Access einzuschränken.
Router Router
Ein praktischer Vorteil des Remote Access
VPN ist, dass es in der IT als gängige Praxis
Bild 10 VPN-Verschlüsselung auf dem Transportweg
gilt und häufig bereits Erfahrung mit der
Administration solcher Lösungen besteht.
So ist z. B. die Paketfilterung durch eine Fire-
Internet Internet VPN-
Access Access Gateway wall möglich. Problematisch sind dagegen
Router Router inkompatible Clients oder Client-Versionen
IPsec- oder
auf den Management-PCs, häufig muss für
SSL/TLS-VPN unterschiedliche Gegenstellen ein anderer
Client zum Einsatz kommen. Auch für ein
Wartungs- Internet Firewall Firewall PBX
rechner
permanentes Monitoring ist Remote Access
VPN nicht geeignet, da der Zugriff nicht
permanent besteht. Des Weiteren ist
IP-Overlapping – die Verwendung gleicher
Internet Internet VPN- IP-Adressbereiche beim Dienstleister (Quell-
Access Access Gateway Firewall netz) und Kunden (Zielnetz) – ein zusätzli-
Router IPsec- o. Router
SSL/TLS-VPN ches Problem, das für Adresskonflikte sor-
Grafik: Pfister/Bearbeitung VAF
RDP-, SSH- oder HTTPS- gen kann. Um diese zu vermeiden, müsste
Verbindung z. Jump Host
NAT für die Übersetzung zum Einsatz kom-
Wartungs- Internet Firewall Jump Host PBX men, was jedoch mit Administrationsauf-
rechner Management-
protokoll
wand verbunden ist.
(z. B. SSH, HTTPS)
Site-to-Site VPN
Bild 11 Remote Access VPN (oben), Durch ein Site-to-Site VPN ist die Kopplung
Remote Access VPN mit Jump Host (unten) kompletter IP-Netze möglich. Es wird meist
in der Kombination von permanentem Mo-
nitoring und Fernwartung genutzt und
Monitoring- meist über IPsec realisiert (Bild 12). Mit-
server
hilfe von Paketfiltern kann der Zugriff auf
die jeweiligen Zielsysteme eingeschränkt
werden. Grundlage hierfür ist eine enge
Grafik: Pfister/Bearbeitung VAF
Monitoring (z. B. SNMP)
Abstimmung zwischen Systemhaus und
IPsec-VPN
Kunden, da sowohl unterschiedliche Stan-
Management (SSH/HTTPS)
dards (z. B. IKEv1 und IKEv2) als auch Kon-
Firewall Internet Internet Firewall PBX
Wartungs- Access Internet Access figurationsvarianten existieren, wie z. B. bei
rechner Router Router der Authentifizierung mit PSK oder Zertifi-
katen. Aus dem Praxiseinsatz sind auch
Bild 12 Site-to-Site VPN Probleme mit inkompatiblen VPN-Gateways
20 VAF REPORT 1/2019Neu: Logitech Tap – 1 x Click
und Ihre Videokonferenz startet.
Logitech Tap
Logitech MeetUp
ConferenceCam
Logitech Tap
Video-Meetings auf Knopfdruck:
Mit dem LOGITECH TAP Touch
Controller haben Sie alles, was Sie zum Starten
einer Google-, Microsoft- oder Zoom-Videokonferenz Logitech Rally PTZ-
Conference Cam
benötigen.
… und mit uns als LOGITECH-PARTNER den IT-Experten,
der Sie für Ihre Kunden optimal ausrüstet mit Logitech Kamera-
systemen, All-in-One-Lösungen, sowie Content-Sharing-Hardware.
Mehr Infos:
Jetzt anrufen: 06175 79596-36
Horst Platz Beratungs- und Vertriebs GmbH | August-Winter-Straße 10 | 61381 Friedrichsdorf info@horst-platz.de | www.horst-platz.deFACHBEITRÄGE
tausch, Verschlüsselung und Zugriff auf die
Verbindungsaufbau Verbindungsaufbau
Fernwartungssitzung in einer Dokumenta-
tion darlegen kann und diese von einer un-
Proprietäre Protokolle Proprietäre Protokolle oder HTTPS
oder HTTPS abhängigen externen Stelle zertifiziert wur-
Cloud-Server
de. Andernfalls fehlen die benötigten
Garantien, um über diese Methode Fern-
Grafik: Pfister/Bearbeitung VAF
wartung sicher zu betreiben. In jedem Fall
erforderlich ist die Überprüfung, ob der
Wartungs- Internet Internet Firewall PBX Einsatz solcher Lösungen mit den Unter-
Internet
rechner Access Access Jump Host mit nehmens- bzw. Verwaltungsanforderungen
Router Router Fernwartungs- und bezüglich des Datenschutzes und der IT-Si-
Management-
software
cherheit vereinbar ist. Auch auf der Fire-
wall-Ebene sollte Beachtung finden, dass
Bild 13 Proprietäre Lösung mit Cloud-Hosting
einige Produkte zunächst versuchen, über
proprietäre Ports eine Verbindung mit dem
Anbieter aufzubauen. Je nach Konfigura-
bekannt, z. B. durch eine nicht unterstützte sicherheitstechnischen Betrachtung die glei- tion könnte dies zu geblockten Paketen in
IKE-Version oder Verschlüsselungs- und Ha chen Anforderungen. Grundsätzlich kann Log-Dateien führen (Bild 14).
shing-Algorithmen. Bei der gegenseitigen bei der Vielzahl an proprietären Lösungen Proxy-Verbindungen können in Verbin-
Abstimmung und Dokumentation kann die zwischen Konzepten auf Cloud-Basis und dung mit Proxy-Skripten zeitweise Probleme
Erstellung von vordefinierten Formularen On-Premise unterschieden werden. bereiten. Zusätzlich können oder möchten
mit den notwendigen Parametern helfen, einige Anbieter die verwendeten Ziel-Hosts
die mit angepassten Authentifizierungs- Cloud-basierte Lösungen nicht benennen, wodurch eine restriktive
daten beim nächsten Einsatz erneut ver- Cloud-basierte proprietäre Lösungen kön- Freigabe auf Firewall-Ebene nicht möglich
wendet werden können. Die gegenseitige nen oftmals sehr einfach implementiert ist. Auch die Benutzerkontensteuerung in
Harmonisierung der IP-Netze und der er- werden. Es sind keine eingehenden Fire- aktuellen Windows-Versionen ist häufig ein
forderlichen Firewall-Regeln ist für den Ver- wall-Freigaben notwendig, da sich beide Hindernis. Wenn die Anwendung zur Fern-
bindungsaufbau von großer Bedeutung. Seiten selbst mit der Cloud-Plattform des wartung nicht permanent mit hohen Rech-
Kommt es dennoch zu IP-Overlapping, kom- Anbieters verbinden. Hierfür kommen je- ten läuft, können bestimmte Aktionen nicht
men auch hier NAT oder eine Readressie- weils Softwarekomponenten auf dem Quell- aus der Ferne ausgeführt werden. Daher
rung zum Einsatz. und Zielsystem zum Einsatz, die in der Regel startet bei einigen Anbietern der Remote-
für viele Plattformen zur Verfügung stehen. zugriff in der Standardeinstellung immer mit
Proprietäre Lösungen Häufig sind diese Lösungen sowohl On-De- erhöhten Rechten, was ein dementspre-
Neben den zuvor beschriebenen standard- mand als auch permanent nutzbar. Starten chend hohes Sicherheitsrisiko birgt.
basierten Lösungen existieren proprietäre und Beenden der Fernwartungssitzung sind
Lösungen von diversen Herstellern. Diese auch von Kundenseite möglich (Bild 13). On-Premise-Lösungen
sind häufig bereits aus dem Heimanwen- Da der Nutzer, in vielen Fällen das System- Im Gegensatz zu Cloud-gehosteten Fern-
der-Umfeld bekannt (z. B. Teamviewer). haus, keine Kontrolle über die Administra- wartungslösungen steht bei der On-Pre
Auch einige Hersteller von TK-Anlagen bie- tion des Cloud-Servers (und somit der Fern- mise-Variante der Remoteserver, zu dem der
ten zu ihren Systemen Fernwartungslösun- wartungssitzung) hat, empfiehlt es sich in Fernwartende und der Ferngewartete eine
gen über eigene Serviceplattformen an. Für diesen Fällen, wenn der Hersteller sicher- Verbindung aufbauen, im Einflussbereich
beide Anbietergruppen stellen sich in der heitsrelevante Themen wie Schlüsselaus- des Dienstleisters. Es findet somit kein Ver-
Bild 14 Geblockte proprietäre Ports
22 VAF REPORT 1/2019FACHBEITRÄGE
gewarteten Kunden betroffen sind. Das
Jump Host mit
Fernwartungssystem sollte daher besonders
Fernwartungs- und gehärtet sein.
Proprietäre Management-
Protokolle software
oder HTTPS 5. Fazit
Grafik: Pfister/Bearbeitung VAF
Proprietäre Protokolle Welches Fernwartungskonzept für ein
oder HTTPS TK-System in IP-basierten Netzen nicht nur
technisch und wirtschaftlich praktikabel,
Wartungs- Wartungs- Internet Firewall Firewall PBX
Internet sondern auch unter Sicherheitsaspekten ge-
rechner server Access
Router eignet ist, steht und fällt mit den IT-Securi-
ty-, Compliance- und Datenschutzanforde-
Bild 15 On-Premise gehostete proprietäre Lösung rungen des Kunden. Eine Lösung nach dem
Prinzip »One size fits all« existiert bei der
Vielfalt an Vorgaben und sicherheitstechni-
bindungsaufbau über einen Dritten statt der Cloud-gehosteten Variante können spe- schen Anforderungen nicht. Von der Pla-
(Bild 15). zielle Proxy-Implementierungen (z. B. Pro- nungsphase bis zur Implementierung einer
Auch bei dieser Variante ist wichtig, dass xy-Authentifizierung und Proxy-Skripte) und Fernwartungslösung sind eine umfassende
eine Offenlegung der Dokumentation er- die Benutzerkontensteuerung auch bei Dokumentation und die genaue Prüfung
folgt und dass eine Zertifizierung der Sicher- On-Premise Zugriffsrisiken beinhalten. Es der Schnittstellen zum Zielsystem daher von
heit von unabhängigen Dritten durchge- sollte überdies Beachtung finden, dass bei größter Bedeutung, um beste Servicequali-
führt wurde. Ansonsten wären auch bei einer Kompromittierung des Fernwartungs- tät und ein hohes Sicherheitsniveau zu ge-
dieser Variante die entsprechenden Sicher- systems beim Dienstleister alle darüber fern- währleisten. K
heitsgarantien nicht gegeben.
Ein weiterer Vorteil bei dieser Variante:
Autor:
Auf Kundenseite kann eine Beschränkung
der ausgehenden Firewall-Regeln für den Benjamin Pfister
Verbindungsaufbau auf Zieladressen beim ist IT-Systemadministrator der Stadt Kassel und Inhaber der
Dienstleister erfolgen. In einigen Software- Pfister IT-Beratung. Er arbeitet an mehreren Empfehlungen
lösungen ist es sogar möglich, eine Data des Arbeitskreises Maschinen- und Elektrotechnik staatlicher
Leakage Prevention zu parametrisieren. und kommunaler Verwaltungen (AMEV) im Bereich »LAN und
Hierüber kann das Risiko eines Abfließens Telekommunikation« mit. Seine Fachgebiete sind Routing/
von internen Daten verringert, im Idealfall Switching, Security und IP-Telefonie.
komplett verhindert werden. Wie auch bei
Anzeige
Neuer modularer beroNet VoIP SBC
Die modularen VoIP Session Border Controller (SBC) von
beroNet kombinieren zuverlässige VoIP-Hardware mit
moderner Flexibilität und Management.
Aufgrund der eingebauten SBC Funktionalität können Sie
mit dem beroNet VoIP SBC Gateway einfach zwei
verschiedene inkompatible SIP-Endpunkte miteinander
verbinden und SIP Failover Systeme kreieren.
Gründe für beroNet:
• Einfache Konfiguration über die beroNet WebGUI
• Anbindung klassischer Geräte per Modul
• Failoverszenarien mit der SBA Anwendung und per
LTE/GSM
• Kompatibel mit diversen VoIP-PBX Herstellern &
VoIP-Providern
• Cloud verwaltet
VAF REPORT 1/2019 23
Made in Germany beroNet GmbH | Gneisenaustraße 45 | 10961 Berlin | Tel.: 030 259389-0 | Fax: 030 259389-19 | sales@beronet.com | www.beronet.comSie können auch lesen
