[English]Wer nach IP-Telefonen auf der Suche ist, wird auf den in China beheimateten Hersteller Yealink stoßen. Dessen Geräte werden auch über die Deutsche Telekom z.a. als Yealink T54W SIP-Telefon vertrieben. Ein Blog-Leser hat mich nun darauf hingewiesen, dass die Geräte durchaus im Verdacht stehen, zur Spionage durch China missbraucht werden zu können und bat mich, das Thema mal im Blog aufzugreifen. Ob beispielsweise die von der Telekom vertriebenen Geräte sicher sind, konnte ich bisher nicht klären. Daher an die Beschaffer von IP-Telefonen unter der Leserschaft die Frage, wie man die nachfolgenden Informationen bewertet und ob das Thema Sicherheit überhaupt interessiert.
Anzeige
Yealink IP-Telefone
Ich selbst bin im Thema IP-Telefone nicht so wirklich drin, und kennen den Markt nicht. Aber ich gehe davon aus, dass so mancher IT-Dienstleister solche Geräte für seine (Firmen-)Kunden beschaffen muss. Blog-Leser Friedel S., der genau in diesem Bereich immer mal wieder aktiv ist, hat mich vorige Woche kontaktiert und schrieb:
Hallo Herr Born,
hier vielleicht was, dem Sie nachgehen wollen. Ich war auf der Suche nach guten IP-Telefonen, hatte Yealink ausgesucht (auch Deutsche Telekom bietet die an),
schneller Wikipedia-Check: China.
In der Tat weist das Internet bei einer Suche nach dem Namen Yealink die Information aus, dass das Unternehmen in China sitzt. Gut, das ist nicht so wirklich neu, welche Elektronik wird nicht in China hergestellt. Und eine schnelle Suche über den Herstellernamen ergab auch, dass dessen Geräte auf Amazon, von der Böttcher AG oder von der Telekom als professionelles Business-Telefon vertrieben werden.
Auch bei Microsoft werden in diesem Artikel Telefone von Yelink für die Kommunikation in Teams erwähnt. Microsoft schreibt, dass man mit diesem Hersteller zusammen arbeite, um die Kompatibilität zu gewährleisten.
Wie sicher sind die Geräte?
Der Blog-Leser wollte nun aber wissen, ob diese Geräte sicher sind, oder über Spionagefunktionen verfügen. Er hat daher mal eine Webrecherche nach entsprechenden Stichworten durchgeführt und schrieb:
DuckDuckGo: Yealink Kritik Spionage … und da kam das da bei heraus. Der Artikel ist scheinbar eine gute Zusammenfassung – aber so recht hat das meiner Suche nach keine Wellen geschlagen (was mich wunderte).
Überschriften: "Common Office Desk Phone Could Be Leaking Info to Chinese Government, Report Alleges
Phones by Yealink have been observed sending encrypted messages to Chinese servers three times a day."
Eine kurze Suche meinerseits ergab, dass heise bereits 2020 in diesem Artikel eine schwere Sicherheitslücke in Geräten dieses Herstellers aufgedeckt hatte. Ich hatte es hier im Blog kurz im Beitrag Sicherheitsinfos: CNET kompromittiert und mehr… (7.2.2020) erwähnt und auf heise verwiesen.
Ein US-Beitrag aus 2022 zur Sicherheit
Der Blog-Leser hat mich auf den Beitrag Common Office Desk Phone Could Be Leaking Info to Chinese Government, Report Alleges aus dem Jahr 2022 hingewiesen (ich habe auf eine Kopie in der Wayback-Maschine verlinkt, weil der Originalartikel beim Schreiben wegen eines Serverfehlers nicht abrufbar war. Der Leser merkt an:
Da sind etliche Probleme benannt, im verlinkten Artikel wird auch über den verbauten Mini-Switch (1 x LAN-Leitung, Tel dran und daran PC wieder dran) spekuliert etc.
Im Beitrag vom 7. Januar 2022 schreibt das Medium, dass ihm ein Bericht eines US-Senators vorläge, der "ernste Bedenken hinsichtlich der Sicherheit von audiovisuellen Geräten aufwirft, die von chinesischen Firmen wie Yealink hergestellt und in die USA verkauft werden". Der US-Senator schlug Alarm, weil eine Analyse des US-Unternehmens Chain Security, das Geräte auf Sicherheit prüft, eine Reihe unschöne Punkte aufgezeigt hat.
Anzeige
- In dem Bericht wird auf die Yealink-Software Device Management Platform (DMP) hingewiesen, die bei IP-Telefonen notwendigerweise mit dem Internet verbunden ist, aber essentiell für die Abwicklung von Telefonaten, zur Verwaltung von Telefonen und zur Netzwerkadministration ist. Diese Device Management Platform ermöglicht es Yealink aber auch, Anrufe heimlich aufzuzeichnen und sogar zu verfolgen, welche Websites die Benutzer besuchen, wird Chain Security zitiert.
- Jeff Stern, CEO von Chain Security, wird so zitiert: "Wir haben beobachtet, dass das Telefon, wenn es von der Geräteverwaltungsplattform verwaltet wird und der PC des Benutzers mit dem Telefon verbunden ist, um auf ein lokales Netzwerk zuzugreifen, Informationen darüber sammelt, was Sie auf Ihrem Computer surfen. Die Methode, ein IP-Tischtelefon wie das Yealink-Telefon als Ethernet-Switch zu verwenden, um den PC mit dem lokalen Netzwerk zu verbinden, ist eine gängige Geschäftspraxis. Der Administrator auf dieser Plattform kann auch ohne das Wissen des Benutzers eine Anrufaufzeichnung initiieren. Er gibt dem Telefon den Befehl, die Anrufe aufzuzeichnen."
- Jeff Stern fand außerdem heraus, dass das Gerät mehrmals täglich verschlüsselte Nachrichten mit einem chinesischen Cloud-Server in der Alibaba Cloud, austauscht. Das ließe sich über die Gerätekonfiguration nicht verhindern, lediglich im Unternehmensnetzwerk könnten Netzwerk-Router oder Firewalls diese Kommunikation unterbinden.
- Kopfschmerzen bereitet dem Experten auch eine in den Geräten verbaute spezielle Mikroprozessoreinheit eines chinesischen Chip-Herstellers Rockchip. Hier liegt keine Dokumentation vor und der Chip ist, bis zum Zeitpunkt, als der US-Bericht erschien, nicht auf Bugs und Schwachstellen evaluiert und getestet worden.
Manche der im Bericht aufgeworfenen Punkte könnten auf Bugs in der Software der Geräte geschoben werden, heißt es. Aber insbesondere beim Yealink T54W-Telefon gebe es auch einige bedenkliche Funktionen, die offensichtlich absichtlich eingebaut wurden. Dazu gehört die oben erwähnte Yealink-Software Device Management Platform (DMP) oder die verschlüsselte Kommunikation mit der Alibaba-Cloud.
Chain Security weist in seinem Bericht darauf hin, dass die Dienstleistungsvereinbarung von Yealink von den Nutzern verlange, die Gesetze Chinas zu akzeptieren, während "eine damit zusammenhängende Reihe von Dienstbedingungen die aktive Überwachung von Nutzern erlaubt, wenn das 'nationale Interesse' (d. h. das nationale Interesse Chinas) dies erfordert".
Keine Zertifikate verwendet
Jeff Stern von Chain Security weist auch darauf hin, dass die von seiner Firma getesteten Yealink-Telefone keine digitalen Zertifikate verwendet. Damit wird es für Angreifern sehr viel leichter, die Daten auf dem Telefon und möglicherweise sogar das gesamte Netzwerk, das per Telefon erreichbar ist, zu kompromittieren, ohne dass Yealink dafür verantwortlich gemacht werden kann, heißt es in dem oben verlinkten Artikel.
"Ohne eine Art Monitor, der die Vorgänge auf dem Telefon überwacht, wüssten Sie nicht, dass diese Firmware auf dem Telefon installiert ist, und sie kann alles tun, was Sie wollen, um Ihr Netzwerk und das Subnetz zu überwachen. Das Szenario, das wir bei einem solchen Gerät befürchten, ist, dass es Ihr Netzwerk überwacht und dann exfiltriert wird" wird Jeff Stern zitiert.
Das Geräte ohne Firmware-Signaturen vertrieben werden, scheint aber laut Jeff Stern nicht ungewöhnlich. Aber es gibt keinen Grund, dass das weiter so gehandhabt werde. Die Geräte zur Kommunikation gehören in der heutigen Zeit, wo es ständig Hacks im IT-Bereich gibt, vernünftig abgesichert.
Verizon will die Software modifiziert haben
Im oben verlinkten Artikel hat das Medium bei Version nachgefragt und von dort hieß es, dass Yealink DMP nicht verwendet werde, die Geräte also nicht betroffen seien. Verizon schrieb, dass One Talk-Tischtelefon Cybertrust-Zertifikate verwenden, die für alle Geräte-Startvorgänge und sichere Firmware-Upgrades validiert sind. Sofern das stimmt, wären diese Schwachstellen zwar entschärft und wohl als weitgehend sicher zu betrachten. Aber die Geräte werden von diversen Händlern verkauft – und ob diese wirklich die Firmware und die Yealink-Software Device Management Platform (DMP) ersetzen, ist eine andere Frage.
Sind die Yealink-Geräte von Telekom & Co. sicher?
Bezüglich der von der Telekom, von der Böttcher AG und vielen anderen Händlern (auch Bechtle ist darunter) vertriebenen Yealink-Geräte ist unklar, wie diese im Hinblick auf die Sicherheit und die oben aufgeworfenen Fragestellungen verhalten. Einerseits gibt die Telekom an, dass die Firmware der Geräte von den Yealink-Servern aktualisiert werden soll. Andererseits scheint die Telekom die IP-Telefone in eine Telefonanlagen einzubinden. Ob die oben erwähnte Yealink-Software Device Management Platform (DMP) zum Einsatz kommt, konnte ich nicht herausfinden – vielleicht kann ein Blog-Leser was dazu sagen.
Aktuell stellt sich für mich der Sachverhalt so dar, dass es eine Menge Fragen aus dem oben verlinkten US-Artikel gibt. Andererseits habe ich bei einer Suche im Internet auch keine neueren Berichte zum Thema Sicherheit in Bezug auf Yealink-Geräte gefunden. Daher an die Leserschaft die Frage: Ist jemandem bekannt, ob die Geräte einem Sicherheitsaudit (BSI) unterzogen wurden und ob die Yealink-Software Device Management Platform (DMP) zum Einsatz kommt. Und wie schaut es mit der Absicherung der Firmware-Updates über Zertifikate aus? Ist diesbezüglich etwas bekannt?
Ergänzung: Von einem Blog-Leser erhielt ich über Facebook die folgenden Aussagen zu den Geräten, die über die Telekom vertrieben werden.
- Die Telekom setzt eine eigene Firmware ein und verbindet diese dann mit ihrer CloudPBX Telefonanlage.
- Allerdings kann man diese Telefone auch mit der "normalen" Firmware ausstatten und nutzen.
- Eine Verbindung ins Ausland ist dem Leser bei der Nutzung noch nicht protokolliert worden.
Sieht also so aus, als ob die Telekom zumindest die Firmware-Frage entschärft hat, wobei ich nicht weiß, wo die Telekom-Firmware her kommt. Spannend wird die Frage, wie es mit den Geräten von Yealink und deren Firmware ist, wenn diese an Microsoft Teams per Netzwerk angekoppelt werden. und dann ist noch die Mikroprozessoreinheit des chinesischen Chip-Herstellers Rockchip, die Blackbox ist. Kann jemand dazu Erfahrungen teilen?
Kurzer Nachtrag: Die Rückmeldungen, die ich uniso von zwei, drei Blog-Lesern erhalten habe (danke dafür) lauten, dass man noch keine Kommunikation außerhalb der erwarteten Kanäle bemerkt hätte; dass die Kommunikation eh über Firewall/Router zu fremden Servern blockiert werde; und dass man eigene Firmware für die Geräte verwende. Ich plane da noch einen zweiten Beitrag zu schreiben.
Ergänzung: Ich habe die oben erwähnten Rückmeldungen nun in einem Nachfolgebeitrag zusammen gefasst und etwas aufbereitet, siehe Yealink IP-Telefone und die Sicherheit – Nachlese der Leserrückmeldungen (Teil 2) – vielleicht hilft es dem einen oder anderen Blog-Leser weiter. Nochmals danke für die rege Diskussion und das Feedback.
2015
Wer die Geräte an einer lokalen Telefonanlage verwendet (z.B. Starface oder Fritzbox) kann den Geräten ohne Funktionseinschränkung den Internetzugang blockieren, z.B. indem er ein falsches Standardgateway setzt oder in der Fritzbox die Kindersicherung aktiviert.
Im Falle der Starface erfolgt das Firmwareupdate weiterhin über die Telefonanlage.
Bei Nutzung einer Cloud Anlage ist das natürlich nicht möglich.
Nicht zu vergessen sind auch die ganzen Konferenzsysteme von Yealink, die auch auf Microsoft Webseiten für Teams beworben werden.
Ich kann jetzt diese Telefone nicht explizit bewerten, da ich die noch nie eingesetzt habe, aber ich kenne andere IP/SIP-Telefone. Die Geräte die ich kenne, müssen nur mit der PBX bzw. dem SIP-Registrar kommunizieren. Sollte es somit nicht möglich sein, über die Firewall diesen Geräten einfach nur die Kommunikation mit der Cloud-PBX (bzw. dem SIP-Provider, falls direkt an einen angebunden) zu erlauben und alles andere zu sperren? Die notwendigen Adressen sind ja bekannt und die Geräte sollten für ihre Funktion nicht komplett uneingeschränkten Internetzugang benötigen. Damit wäre die eventuelle Spionage schon ausgehebelt.
Aber alle wollen Unify Geräte haben.. Wer weiß was deren Switche, AP´s usw. machen…
Was soll man dann nehmen? SNOM? Will nicht jeder Daten haben?
Also weiter gehen, hier gibt es nichts zu sehen? Wäre das die Empfehlung? Mich wundert, dass dieser Sachverhalt nicht längst hinterfragt wurde … alle am Schlafen?
Nicht weitergehen sondern endlich aufwachen und komplett eigene Technik entwicklen. Können wir derzeit nicht (mehr), höchste Zeit das zu ändern. Wenn man ersthaft wollen würde.
Tipp: Jedes Gerät jedes Herstellers kann und wird spionieren. Auf verschiedensten Ebenen, durch verschiedenste Parteien, von irgendwelcher GUI/OS/sonstiger Software darin über grundlegendere Firmware bis hin zu komplettem Eigenleben direkt in Chips/Baseband Komponenten a la Intel ME.
Schon irgendwie. Weitergehen, hier gibt es nichts zu sehen. Das, was in dem Beitrag beschrieben wird, sind normale Dinge, die nun einmal in einem halbwegs modernen SIP-Telefon drin sind. Die Funktionen so banal wie nur irgendwas. Natürlich wollen Admins solche Telefone aus der Ferne warten und selbstverständlich freuen wir uns dann über Management Plattformen wo man gleich eine ganze Flotte an Telefonen mit Software, Einstellungen und Zertifikaten betanken kann.
Und die Sache mit dem Kontakt zu chinesischen Servern: Nun ich behaupte mal das machen viele andere Geräte auch. Vor allem wenn sie automatisch nach Updates suchen. Wer sowas nicht will kann das ja blockieren. Oder im Zweifel auf SIP-Telefone verzichten.
Thomas
Gibt es eigentlich ein Open Source Tischtelefon? Ich habe mal auf https://www.oshwa.org/ gesucht, aber nichts gefunden.
Snom gehört btw. zu VTech, was ein chinesisches Unternehmen ist..
Mich wundert schon seit geraumer Zeit, wo dieser Hype um die Yealink-Geräte herkommt. Dabei gibt es tatsächlich ausreichend deutsche Alternativen: Unify (ehemals Siemens) lassen sich mit SIP-Firmware an jeder SIP-Anlage betreiben und auch Agfeo hat diverse SIP-Telefone im Portfolio. Also warum China-Kram kaufen? Nur weil es billiger ist?
Ich wiederum verstehe den Hype um SIP-Telefone und SIP-PBX nicht (und schon gar nicht Cloud-PBX), zumindest nicht im Geschäftsumfeld. Das SIP-Protokoll ist von den Leistungsmerkmalen im Vergleich zu professionellen Lösungen (Unify, Alcatel-Lucent, Avaya, o.ä.) so beschnitten, das ist quasi nur Basistelefonie. Dann doch lieber was vernünftiges, auch wenn man dann an die Endgeräte des Herstellers gebunden ist wegen proprietärem Protokoll. Aber die müssen dann auch nur mit der eigenen Anlage und den anderen Telefonen im eigenen Netz Verbindung haben, nicht mit dem Internet.
Im Privatumfeld sieht das natürlich anders aus, aber da reicht in der Regel auch ein Gerät, dass direkt mit der FritzBox quatscht, da brauche ich keine Cloud-PBX.
Auch bei "was Vernünftigem" bist du nicht nur an die Geräte des Herstellers gebunden, sondern kannst mit entsprechenden Lizenzen nahezu alles anbinden.
Sonst würden die Kunden mit Türsprechstellen und Türöffnern wohl "Amok laufen". :)
Schon richtig, die können natürlich auch SIP-Geräte (und je nach Hersteller auch noch analog und DECT) anbinden, dass macht man dann aber wie du richtig schreibst eher für so was wie Türsprechstellen, Faxgeräte, schnurlose Telefone usw. Aber der "normale" Tischapparat ist dann doch eher ein Systemgerät des Herstellers, sonst verliert man ja wieder die ganzen Leistungsmerkmale.
Ich wollte eher darauf hinaus, dass ich nicht nachvollziehen kann, warum man sich eine PBX ins Haus holt, die nur SIP kann.
Woher kommen Chips und Halbleiter in Unify/Agfeo Geräten?
Konkret zu den Telefonen kann ich nichts sagen. Machen die Artikel aber auch nicht.
Im "könnte"-Modus wird man das über alle Hersteller sagen können. Wie bei der Xiaomi-Geschichte steht die Möglichkeit allen zur Herstellern zur Verfügung, selbst das einzelne VOIP-Telefon "könnte" den Audiostream zusätzlich sonstwohin schicken. Ein Chip mit unbekannter Funktion? Huch, einmal den Markt räumen, bitte. Zumindest wenn du nicht einfach glauben willst, was die Hersteller sagen.
Ohne einen Nachweis, dass das wirklich passiert ist, ist es halt eine Diskussion über Glaubwürdigkeit des Herstellers. Beim "Gegner" im Zweifel bösartig, beim "Freund" sicher in Ordnung. Der "würde sowas nicht machen".
Zum Thema "könnte" kann ich mich gut an die Einrichtung unserer Anlage erinnern.
Eine der Anforderungen: "Aufschaltung auf Telefonate und Mithören muss unmöglich sein".
Antwort: "Schau mal hier, im Systemmodus, da haben wir das deaktiviert. Ist in Deutschland auch Pflicht." (amerikanischer Hersteller)
Übers KÖNNTE braucht man imho bei Anlagen, VOIP und anderen TCP/IP Paketnutzern/Paketmanupulatoren überhaupt nicht reden. Da gibt es aus meiner Sicht technisch Null Basis für.
Willst Du da wenigstens ein wenig Sicherheit, dann steuest Du rigide die Datenströme, lässt da keine Cloud-Blackbox rein, akzeptierst keine Fremdstaatenbedingungen (wie verpeilt muss man da sein?) und hoffst dann aufs Beste, was die Gesprächspartner angeht.
Wir nutzen das Yealink T57W standardmäßig für unsere Geschäftskunden, die Telekom Cloud PBX 2.0 oder Placetel nutzen. Das Modell wird von den Anbietern empfohlen. Wir werden das auch weiterhin anbieten, da die anderen Tischtelefone auch spionieren.
Ich beziehe mich hier mal auf Privatanwender, nicht auf das Firmenumfeld, wo das physische Telefon zugunsten von Teams & Co. wahrscheinlich sowieso bald verschwinden wird.
Hängt an eure Fritzbox einfach ein schönes, komfortables analoges Telefon und die können euch mal… ggf. ein bewährtes ISDN-Telefon sofern noch möglich bei eurem FB-Modell. Kann man sich prima mit dem Gesprächspartner unterhalten. Dazu muß man keinen Avatar auf dem Display haben.
Nur so am Rande: Kommunikation scheitert heute vor allem daran, dass der potentielle Gesprächspartner gar nicht mehr will. Früher hatte man wenige Möglichkeiten der Fernkommunikation. Wenn damals aus Hong Kong nach 3 Wochen der Brief eintraf, war man hellauf begeistert. Heute schickt man die Message vom Daddelfone wohin immer um den Globus. Kommunikationspartner hat's zur Kenntnis genommen und reagiert nicht. Und übrigens, abgehört wurde schon vor mehr als 100 Jahren. :-)
Naja die Frage ist doch nicht ob sie können; das kann grundsätzlich jedes Stück Hardware in der IT! Die Frage ist tun sie das? Gibt es da belastbare Beweise?
Das amerikanische Hardware spioniert ist belegt und wird kleingeredet oder ganz unter den Teppich gekehrt, der deutsch schweizerische Spionage Skandal ist auch nachgewiesen, sind ja aber alles die Guten! Bei Hardware aus China bleibt man den Beweis bisher schuldig! Also tun sie das entweder nicht oder sind darin so gut das man es nicht nachweisen kann. Da wir aber anders als China in einem Rechtsstaat leben: In dubio pro Reo!
Auch hier wieder kein belastbarer Beweis für Spionage, sondern nur Vermutungen. (und das sogar nur trivial ohne Bedeutung: Fernwartungsdienste usw.)
Ich bin mir sicher das China spioniert, genauso wie die USA; Deutschland und jedes andere Land das einen Geheimdienst hat! (Dafür sind Geheimdienste nunmal da)
Aber Hier, Huawei & Co. Wo sind die belastbaren Beweise? Eben!
Genauso gut könnte ich jetzt behaupten Borns Blog spioniert und hätte durch die Coockies und Tracking sogar recht!
Wie fragte jemand: Und was lernen wir daraus?
Ich kann nur eines: Dinge aufgreifen und hinterfragen – egal ob USA oder China oder Russland oder …
Wenn dies so durchgängig durch die IT-Verantwortlichen gehandhabt würde, wären wir imho schon ein Stück weiter – oder?
"Wenn dies so durchgängig durch die IT-Verantwortlichen gehandhabt würde, [..]"
Ich finde das Wording schwierig.
"IT-Verantwortliche(r)" ist ein Begriff voller Missverständnisse und man denkt schnell an den Falschen. Wer heute so heißt, muss nicht wirklich nennenswerte Entscheidungsbefugnis in der IT haben.
Ich bin da umgeschwenkt auf "IT-Entscheider" oder "Chef", wenn es um die Frage geht, wer da seine Hausaufgaben machen müsste.
Denn ich bin so ein "IT-Verantwortlicher", jedenfalls steht das so in meiner Job-Beschreibung. Und ja, an mich wenden sich auch Behörden und jeder Frust geht auch an mich. Ich kann da allerdings selten helfen, weil ich nicht die Entscheidungen fälle.
Was ich hinterfrage, interessiert den IT-Entscheider oft wenig bis gar nicht. Und wenn ein Anbieter auf meine Fragen partout nicht antworten will, dann wird auch schon mal entschieden, dass die Frage nicht zu stellen ist.
Der letzte Entscheider für die IT und tatsächlich Verantwortliche ist und bleibt, erst Recht mit NIS 2, der Chef vons Ganze.
Der verantwortet die IT-Sicherheit und bedient sich seiner "IT-Verantwortlichen" als interne Berater oder halt nicht.
Man könnte das Kind auch offen beim Namen nennen und z.B. den Begriff "Geschäftsführer" benutzen.
Ich bin jetzt kein Jurist oder Arbeitsrechtler. Aber wenn der Geschäftsführer Verantwortlichkeiten schriftlich nach "unten" an weitere Leitende delegiert, sind diese "verantwortlich". Sofern es, wie bei dir "der Geschäftsführer" entscheidet, ist dieser IT-Entscheider – egal, was in deiner Arbeitsplatzbeschreibung steht. Mag mich aber irren. In meinem Kommentar sind die Leute adressiert, die die Entscheidungen für den Einsatz von Software und Systemen treffen und dafür (juristisch) auch die Verantwortung tragen.
Deshalb nutze ich ja auch "Entscheider", statt "Verantwortlicher". Aber, war nur eine Randanmerkung.
Noch eine: wie ich derzeit feststelle, suchen Firmen reihenweise nach IT'- und Sicherheitsverantwortlichen, aber schon in der Stellenbeschreibung ist die genutzte Technik, quasi als geschäftskritische Managemententscheidung vorgegeben. Erlebe Ich auch im konkreten Gespräch.
Scheint also allgemeiner zu werden, die Ausprägung.
Eigentlich braucht man nur einen, der die bereits feststehenden Entscheidungen nachträglich fachlich unterfüttern soll und maximal Maßnahmen zur Mitigation der miteingekauften Probleme entwickelt. Beschaffung scheint immer mehr eine feste Partnerbildung der Unternehmen zu werden, keine IT-Entscheidung.
Keine Ahnung, aus welcher Ecke das kommt…
Vergessen: die Verantwortung für IT-Sicherheit ist nicht delegierungsfähig, also im Außenverhältnis. Es haftet immer ChefChef. Mit NIS 2 imho absolut persönlich. Vielleicht auch das der Grund, warum da immer mehr lieber gleich selbst entscheiden, was die zu verwendende Technik sein soll.
Der Blick auf ITler hat sich ja auch geändert. Erster Leitsatz: das größte Risiko für die IT sind die ITler. ;)
Wobei der ernste Kern schon ist, dass diejenigen die etwas zum Schluss umsetzen sollen, umso weiter von den Entscheidungen entfernt sein sollen, je krititischer der Impact bei Missbrauch ist.
In 1-3 Mann IT-Abteilungen sind die bei für wichtig gehaltenen Beschaffung meist alle komplett raus. Bleibt die Frage, wieviel sie im Vorfeld beteiligt wurden. Oder ob sie beraten dürfen.
"Früher" war das anders. Je kritischer, desto drin. Und Chef hat dich für deine Entscheidungen verantwortlich gemacht. Heute bist du oft nur verantwortlich und hast zumindest meist noch das Netz, mit dem du dieser Verantwortung gerecht werden kannst. Und deine Überzeugungskraft, wenn du beteiligt wirst.
Grundsätzlich gilt bei der Frage: Ja.
Ungleich welcher Hersteller, Software, Herkunft.
Interessen der Hersteller, Staaten. Komplexität und Abhängigkeiten der Software/ Entwickler Handwerk.
In Betrachtung politischer Entwicklung und anderer Formen: Ja
In Betrachtung auf das Unternehmen selbst: Nein.
Und es wäre nicht das erste mal das Geheimdienste Unternehmen manipulieren, unwissentlich, für Ihre Aktivitäten.
Der einzige Fakt ist, dass der Hersteller aus China kommt. Der Rest sind nur Vermutungen, aber wirklich mal was untersucht hat Niemand? Von Lenovo und TP-Link könnte man ähnliches behaupten, dürften auch chinesische Firmen sein. Wie viel Chips und LAN/WLAN Module aus China kommen…
Man sollte sich natürlich um sowas Gedanken machen. Ist auch vollkommen legitim zu sagen, dass von Land XY ein größeres Risiko ausgeht. Da gehe ich auch total mit. Auch wenn ich da total mitgehe, die Diskussion ist auch wieder relativ arschlos. Hersteller XY aus Europa könnte genauso gut was zur Spionage einbauen. Da gibt es auch genug Gründe zu spionieren, evtl. mit anderer Intension. Ansonsten kann auch ein Entwickler(team) von Hersteller XY aus Europa irgendwas bösartiges einbauen oder was böses in Schilde führen.
Die Telefone mögen was senden, aber die Fritz!Box sendet auch alle paar Sekunden ein Discovery Protokoll für m. W. PowerLine Geräte ins Netz. Da wäre halt interessant was da gesendet wird und warum. Kann man auch nicht deaktivieren. Allein der Fakt, dass etwas gesendet wurde, während praktisch alle Geräte irgendwas senden. Allein was Windows 10 sendet und die standardmäßig bei Routern/Geräten aktivierten Protokolle.
Das Traurige ist eigentlich, dass man über sowas fast keine Infos bekommt. Man muss regelrecht suchen um zu kucken was die Geräte machen. Ist aus meiner Sicht auch energietechnisch theoretisch ein Problem, wenn die Geräte was machen was gar nicht nötig ist. Im Einzelfall mag es oft keine Rolle spielen, aber was die Geräte in Summe für Energie benötigen, weil Sie 10 Jahre lang alle paar Sekunden was ins Netz schicken, worauf es keine Antwort gibt.
Zu "Der einzige Fakt ist, dass der Hersteller aus China kommt. " -> 2022 wurden Geräte des Herstellers von einem US-Unternehmen untersucht und es wurden bestimmte Feststellungen getroffen. Kann man nun anzweifeln oder den Kopf in den Sand stecken.
In Deutschland müssten IT-/DSGVO-Verantwortlich eigentlich belegen, ob das Gerät Daten an Dritte übermittelt (wenn persönliche Daten darunter sind). Wird wohl teilweise ignoriert.
Fakt ist auch, dass mir inzwischen – ich hatte ja explizit gefragt – Rückmeldungen aus der Leserschaft vorliegen, die Substantielles beizutragen hatten. Einer ist für 1700 Stück verantwortlich – und die nutzen eine eigene Firmware sowie Zertifikate (so dass die Prämissen aus dem oben verlinkten US-Artikel nicht mehr zutreffen). Und es gibt weitere Rückmeldungen, die besagen, dass man die Geräte in der Kommunikation über Firewall/Router beschränkt.
Ist imho eine andere Kragenweite als "Der einzige Fakt ist, dass der Hersteller aus China kommt. Der Rest sind nur Vermutungen, aber wirklich mal was untersucht hat Niemand? Von Lenovo und TP-Link könnte man ähnliches behaupten, dürften auch chinesische Firmen sein. Wie viel Chips und LAN/WLAN Module aus China kommen…". Und im Beitrag ging es nicht um Lenovo, TP-Link und Co., sondern um einen Hersteller, zu dem ein Leser konkret eine Frage gestellt hatte. Ich mein ja nur …
JA richtig, nur wo ist der unwiederlegbare Beweis? … Es gibt Vermutungen, mehr aber nicht. Einige Leute setzen da wahrscheinlich wegen den Vermutungen alternativer Firmware ein wie sie schreiben, aber keiner kann eine Spionage bestätigen!
Was man jedoch sowohl bei unseren (Den Spionageskandal mit der deutsch / schweizerischen Sicherheitsfirma nachweislich konnte) als auch bei diversen Firmen aus den USA welche mit der NSA verstrickt waren ebenso nachweislich konnte!
Huawei, hier und noch andere chinesische Firmen wird immer nur behauptet, nen Beweis konnte mir bisher keiner Vorlegen!
Ist halt schon nen Geschmäckle wenn ausgerechtet die Länder die der Spionage überführt wurden, auf andere zeigen ohne Beweise vorlegen zu können!
Ich bin mir absolut sicher das die Chinesen das tun, aber liefrt endlich mal auch Beweise für solche Behauptungen. Den ohne solche sind und ist es nur eine haltlose Vermutung!
Ihre Arbeit in Ehren, aber da ist kein Einziger Fakt dabei, welcher das auch nur anhaltsweise belegen würde, geschweige den richtig belegen. Außer Vermutungen bleibt da nichts übrig.
JA immer die bösen Chinesen, ja dann beweist das doch endlich mal!
Genausogut könnte die Überschrift lauten spionieren IP Telefone der Telekom, werden ja schließlich auch bei der Telekom angeboten und verkauft.
Naja, Beweise hin oder her.
Die Fragen sind legitim. Und werden ja auch für nicht chinesische Produkte gestellt.
Also z.B. hier oder in Technikforen, nicht im Influencing- und Aufmerksamkeits-Such-Bereich.
Die Fragen stellen sich halt auch bei ausnahmslos allen anderen Telefonen, mit mehr Funktionen, soweit die nicht durchauditiert wurden.
Konkret am Gerät sollte man die alle so behandeln, als wenn sie spionieren wollen.
Und die eine oder andere Erinnerung daran, kann nicht schaden.
Jede Gegenmaßnahme, die in solchen Diskussionen zielführend aufkommt, sollte man immer in Betracht ziehen. Immer alles unterbinden, was nicht gebraucht wird und immer die Sicherheitsinfrastruktur, u.a. Zertifikate, an sich reißen.
Da wird viel zu viel "geglaubt", statt das Machbare in Wissen und eigene Kontrolle zu verwandeln.
Der ganze Rest scheint mir Politik. Wenn wir mal alle friedlich auf der Welt auf staatlichen Ebenen kooperieren, werden die Influencer- und Aufmerksamkeitsmedien vermutlich gar keine angstschürenden Sicherheitswarnungen mehr bringen und wir behandeln dann alle Geräte als Freunde, umarmen die und lassen die gutgläubig vor sich hin spionieren.
Sollte man vielleicht froh sein, dass es diese Könnte-könnte-Artikel immer wieder gibt.
Ob die Geräte nach Hause telefonieren, das könnte man doch einfach mit einem Netzwerksniffer wie z.B. Wireshark prüfen.
Aber Sicherheit scheint heutzutage immer mehr zum Freak-Thema zu werden.
Viele Leute stellen sich ja sogar eine Wanze namens "Alexa" ins Wohnzimmer:
1984: Ich kann nicht offen reden, evlt. ist meine Wohnung verwanzt.
2023: Wanze, setzte einen Kasten Bier auf die Einkaufsliste.
Und mit modernen Autos kauft man sich gleich eine Wanze auf 4 Rädern. Die Dinger sind doch voll vernetzt und jagen enorme Mengen Telemetrie durch die Welt.
Moderne Fernseher mit Netzwerkanschluß machen das auch.
Da würde es mich bei SIP-Telefonen nicht wundern.
Und was "selbst entwickeln" angeht:
Das will die deutsche Industrie doch gar nicht mehr.
Die haben doch in der Vergangenheit ihre Techfirmen ins Ausland verkauft. Beispielsweise die Handysparte von Siemens an BenQ. BenQ hatte nur Interesse an der Technologie und die haben nach Ablauf der Arbeitsplatzgarantie den Laden in Deutschland geschlossen.
Oder der Mobiltelefonbereich:
Ist jetzt auch größtenteils in ausländischer Hand (Vodafone, Telefonica), ebenso das Kabelnetz (Vodafone), etc. etc.
Auch im Softwarebereich war und ist das so.
Beispielsweise StarDivision mit StarOffice. Wurde 1999 an Sun verkauft.
StarOffice wurde dann zu OpenOffice und LibreOffice.
Wundert mich nur, das SAP noch nicht ins Ausland verkauft wurde.
Was meint der Leser konkret mit "eigener Firmware"?
Ich habe einen Kunden, der 10 Telefone hat. Diese wurden geliefert und bei Einrichtung zieht sich das Telefon die Konfiguration von Server des Anbieters. Da werden in der Tat Einstellungen vom Provider auf das Telefon gezogen, insb. was GUI und Menüführung betrifft.
Unter Firmware würde ich verstehen, dass sämtliche Software auf der Hardware ausgetauscht/neu programmniert wurde. Ist das wirklich so? Bezweiffel ich etwas. Man kommt immer noch auf die (yealink) Weboberfläche der Telefone, kann da Einstellungen vornehmen. Diese werden dann aber teilweise ignoriert/überschrieben, weil die Einstellungen vom Anbieter irgendwie vorrang haben. So hab ich es z.B. aufgewfasst als ich mal einen Tag daneben stand. Wenn auf dem Telefon ein "Webserver/Oberfläche" vom Yealink läuft dann würde ich vermuten, dass das Telefon eben nicht eine komplett andere Firmware haben. Auch bei anderen Kunden, die Yealink-Weboberfläche konnte ich immer aufrufen.
Das ist halt genau das angesprochene Problem, was ist damit konkret gemeint? Was ist der Fakt? Haben die Telefone teilweise wirklich komplett eigene Firmware oder nicht? Ein Gerät mag nach Hause telefonieren, aber was genau wird da übertragen und warum? Das ist doch keine Fakten auf der man sicherheitsrelevante Entscheidungen treffen sollte.
Wie R.S. schon sagte, das sind "Freak-Themen". Leider… Wenn man sich mit sowas beschäftigt, dann ist man schon ein Freak. Aus meiner Sicht hängt sowas auch oft eng mit Energiemanagement zusammen. Wenn man wirklich versucht den Energieverbrauch von den Geräten zu senken, dann stolpert man dann auch über solche Sachen. Es ist praktisch auch kein relevanter Druck (Datenschutz/Energieverbrauch) auf den Anbietern/Herstellern, dass die Geräte nur die Sachen machen die notwendig sind.
Wenn man dann wirklich mal den Datenverrkehr analysieren will. Man muss sich erstmal durch Unmengen von irgendwelchen Übertragungen kämpfen, die am Ende vmtl. nur irgendeine Telemetrie- oder "besondere Features" vom Hersteller sind.
Völlig normal. Generalschlüssel?
https://www.heise.de/news/Neue-Erkenntnisse-Microsofts-Cloud-Luecken-viel-groesser-als-angenommen-9224640.html
"Es handelt sich bei dem gestohlenen Schlüssel um einen OpenID Signing Key für das Azure Active Directory (Azure AD oder AAD). Das ist Microsofts Cloud-Verzeichnisdienst, also eine Art Telefonbuch der jeweils bekannten Cloud-Nutzer. Und nach Wiz-Erkenntnissen konnte man mit diesem Signing Key Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Also nicht nur Outlook, sondern auch Office, Sharepoint und Teams. Doch es kommt noch schlimmer:"
Wir verwenden (neben einigen anderen) Geräte dieses Hersteller, speziell auch die T54W u.a. seit Jahren produktiv bei Kunden.
Es bewahrheitet sich wieder was wir schon immer propagieren und tunlichst umsetzen: VOIP Telefonie gehört in ein eigenes Netzwerk, im ganzen Unternehmen. Wenn möglich auch im privaten Bereich. Das bedeutet auch: kein VLAN direkt im oder hinter dem VOIP Telefon per Software in diesem sondern davor am Switch. Das bedingt hier und da mehr Kabel. Aber das ist halt so. Damit muss man kalkulieren. Das ist kein Hexenwerk.
Es ist egal wer die Telefone herstellt. Yealink wird hier gerade angeprangert, ist aber keine Ausnahme. Die gehören alle in einen Sack und wenn man drauf haut dann trifft es immer den Richtigen. Die Geräte müssen grundsätzlich nicht nach aussen telefonieren. Dass muss nur die PBX und auch der muss man verschiedene Dinge abgewöhnen (prinzipiell fast egal von welchem Hersteller die kommt).
Ja, das fordert Überlegungen bei der Umsetzung und Durchführung der Netzwerke und der Wahl der Komponenten. Das muss nicht teuer sein. Es muss funktionieren, beherrschbar sein und das tun was man will. Das sind generell komplexe Szenarien. War es immer, wird es absehbar lange sein. Das ist eine Aufgabe für Netzwerker.
Auch wenn man den sog. Großen der Branche (Thema Systemtelefonie, oft nur mit eigenen umgelabelten VOIP Telefonen) Goldklumpen bezahlt: die kochen auch nur mit Wasser und wiederholen das Elend von ganz oben. Keiner von denen entwickelt die Firmware allein. Wird fast alles fremd produziert und eben auch entwickelt. Inklusive Software. Die wenigen noch vorhandenen Ausnahmen bestätigen die Regel, werden nicht mehr lange nutzbar sein.
Wenn es einfach sein soll – z.B. mit einer Fritte für zu Hause bei Lieschen Müller – dann muss es eben nur einfach funktionieren und dann spielen o.g. Überlegungen / Bedenken / Einrichtungen sowieso keine Rolle. Auch das ist schon seit Jahren so. Auch das wird sich da nicht ändern. Es ist nicht nur in so einem Umfeld immer die Frage, warum es nicht einfach geht an Statt kompliziert zu sein, sondern: warum das noch extra Geld kosten soll.
Zurück zur ursprünglichen Frage:
Können IP-Telefone des chinesischen Herstellers Yealink spionieren?
Können schon, na klar, so wie ganz viele andere auch. Muss aber nicht sein. Kann man ändern.