Sicherheitsrisiko: Telefonie-App
Aktuelle Betriebssystem-Versionen lassen nicht mehr zu, dass Smartphone-Apps dauerhaft Ressourcen wie zum Beispiel CPU und Netzwerk nutzen. Künftig sollen diese nur noch bei Bedarf auf Ressourcen zugreifen. Hierzu wird die App bei eingehenden Anrufen durch Push Notifications aufgeweckt. Um auf externe Ereignisse reagieren zu können, ist der Push Mechanismus künftig also zwingend erforderlich. Notifications können dabei entweder durch den Telekommunikationsanbieter selbst oder einen Drittanbieter an das Mobile Gerät gesendet werden.
Die meisten App-Anbieter implementieren dieses Verfahren, indem sie SIP-Signalisierung und Payload über einen externen Dienstleister leiten. Dieser sendet anschließend eine Push Nachricht an das Endgerät, um die App zu aktivieren. Vor der Einrichtung der Verbindung wird dem Nutzer ein Warnhinweis eingeblendet, der ihn auf die Freigabe seiner Zugangsdaten hinweist. Im Anschluss erfolgt die SIP-Signalisierung über die externe Stelle, die auch für die Registrierung und Kennung verantwortlich ist. Durch diesen Prozess hat der Dienstleister Zugriff auf alle Anruf- und Passwortinformationen und wird somit zu einer Gefahrenquelle in Bezug auf den Datenschutz. Zudem ist eine starke Beeinträchtigung der Gesamtverfügbarkeit möglich, da der App-Anbieter auf die Verfügbarkeit des Push-Anbieters angewiesen ist.
Um eine sichere Voice over IP Telefonie anbieten zu können, ist es wichtig, Drittanbieter zu eliminieren. Einige Anbieter aus dem ITK-Bereich haben bereits Lösungen entwickelt, die diesen Mechanismus umgehen.
Eine Möglichkeit sichere Cloud-Telefonie zu gewährleisten, zeigt der Telekommunikationsanbieter TeamFON mit seiner Lösung "cloudPhone" auf. Dieser Anbieter sendet Push Nachrichten direkt an die App des Kunden, ohne dass ein Dritter involviert ist. So gelangt die App in den Vordergrund und kann eingehende Anrufe annehmen. Die Kommunikation zwischen Telefonie-App und Anbieter erfolgt dabei verschlüsselt, sodass Informationen nur schwer abgefangen werden können.
Zusätzlich bietet die Cloud-Telefonie-Lösung aus München seinen Nutzern die Möglichkeit, in einem eigenen Portal Passwörter für Telefone und Accounts zu hinterlegen. Anruf- oder Passwortinformationen können so nicht an Dritte gelangen und Muster-Bildungen bei Passwörtern werden vermieden.
Passwörter sollten nur auf dem Endgerät und niemals auf dem Server eines Drittanbieters gespeichert werden. Außerdem sollten auch vom System generierte Passwörter regelmäßig gewechselt und nie unverschlüsselt sein. Das senkt das Sicherheitsrisiko für den Nutzer enorm.