Zum letzten Wochenende hin veröffentlichte das IT-Magazin „heise online“ eine erschreckende Bilanz: Laut eines Test des Fraunhofer-Institut für sichere Informationstechnologie (SIT) wurden an insgesamt 33 verschiedenen VoIP-Telefonen von 25 Herstellern teilweise erhebliche Sicherheitslücken gefunden.
In fast allen Fällen geht es darum, in das Webinterface der entsprechenden Telefone einzubrechen oder die Firmware gegen eine eigene (manipulierte) auszutauschen. Beide Angriffsvektoren können für weitere Angriffe innerhalb des Netzwerkes genutzt werden, oder auch zum Ausspionieren (je nach Gerät Mitschneiden von Gesprächen oder ferngesteuertem Wählen zu Abhör-Zwecken).
Entsprechende Sicherheitslücken gibt es (leider) regelmäßig auch in anderen Komponenten (z.B. Netzwerk-Kameras) – in IP-Telefonen sind Sie aber aufgrund des überwiegenden Unternehmens-Einsatzes um so trauriger.
Konkrete Auswirkungen auf unsere Produkte
In der vom Fraunhofer SIT veröffentlichten Liste der CVE-Einträge finden sich u.a. drei Hersteller wieder, die an unserer InstantPBX oder HostedPBX als Systemtelefone zum Einsatz kommen (Unify und Yealink) oder zumindest an der InstantPBX verwendet und per AutoProvisioning unterstützt werden (Auerswald).
Für diese Geräte rollen wir im Hintergrund bereits, sofern dies nötig ist, Firmware-Updates aus. Dort, wo das nicht möglich ist oder die Geräte nicht von uns gewartet werden, informieren wir Sie als Kunde, wenn Sie augenscheinlich ein betroffenes Gerät einsetzen.
Empfehlung: IP-Telefonie nur vom Profi
Viele Kunden unterschätzen leider die Komplexität von IP-basierten Telefonanlagen. Das Ergebnis ist schlechte Qualität oder unsichere Systeme oder fehlende Wartung, denn Telefonanlagen kommen heutzutage nicht mehr jahrelang ohne Updates aus.
Auch aus dem Grund kann eine gehostete Telefonanlage (Sie bezahlen nur für die Nutzung, wir kümmern uns um den Rest) oft die sinnvollere Alternative sein. Insbesondere, weil sie bei einem fairen Vergleich sogar günstiger ist.
Quelle: VoIP-Sicherheitslücken: Viele Büro-Telefonanlagen grundlegend unsicher