Sicherheitslücke bei VoIP-Telefonen von Yealink aufgedeckt

Aktuell wird über eine Sicherheitslücke für VoIP-Telefone des Herstellers Yealink auf Heise Online berichtet.

Aufgrund der Verbreitung dieser Telefone ist davon auszugehen, dass viele unserer Mitgliedsunternehmen betroffen sind. Mögliche Risiken sind aus IT-Sicherheits- und  Datenschutzsicht die Offenbarung von Telefonbüchern, Anruferlisten, Zugangsdaten und Tatstaturbelegungen.

Weiter soll es möglich sein mit den VoiP – Zugangsdaten einen Rufnummernmissbrauch zu begehen, was zu hohen Telefonrechnungen führen kann. Derartige Angriffe auf Telefonanlagen, um Mehrwertdienste zu nutzen und den Telefonanlagenbetreiber auf den Kosten sitzen zu lassen, sind mir persönlich bereits aus der Vergangenheit bekannt.

Das IT-Sicherheitsunternehmen VTrust hat November 2019 die Sicherheitslücke entdeckt und 20 VoIP-Anbieter in Deutschland informiert. Davon haben drei geantwortet.

Sie als Nutzer können wenig ausrichten, sollten sich aber unverzüglich an Ihren VoIP-Anbieter wenden und ihn zur Stellungnahme zur Sicherheitslücke bei Yealink auffordern und einen Workaround von ihm fordern. Bitte dokumentieren Sie diese Forderung. Ihr VoiP-Anbieter kann bspw. die bisher eingesetzte Serversoftware überdenken. Heise Online rät zu einer Überwachung des Dienstes (VoiP, Cloudtelefonie) und zur Einführung eines Zugrifflimits, um massenhafte missbräuchliche Abfragen zu vermeiden. Auch dies sind Maßnahmen, die ihr VoIP Anbieter mit Ihnen besprechen sollte.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)