NFON stopft Sicherheitslücke bei Telefonen von YeaLink

2 Min. Lesezeit

Bei bestimmten IP-Telefonen von YeaLink wurden im November 2019 schon Sicherheitslücken bei der Autoprovisionierung festgestellt. Der große chinesische Hersteller hat laut c’t zwei Monate nicht oder nur ungenügend darauf reagiert, wohl aber NFON.

Das Wichtigste in Kürze

• Cybersicherheit ist eine Vorstandsaufgabe, nicht nur ein IT-Thema
• Die Bedrohungslage verschärft sich kontinuierlich – proaktives Handeln ist entscheidend
• Investitionen in Prävention sind deutlich günstiger als Schadensbehebung
• Regulatorische Anforderungen an die IT-Sicherheit steigen europaweit

Die Autoprovisionierung ist eigentlich eine feine Sache, ermöglicht sie doch die einfache und zentrale Konfiguration von IP-Telefonen. Aber dass das auch nicht ganz unproblematisch sein kann, zeigen Sicherheitslücken bei bestimmten Geräten von YeaLink. Es handelt sich bei dem Unternehmen, das laut dem chinesischen Namen Yi Lian „hundertmillionenfach“ vernetzen will, um keinen kleinen Anbieter, sondern um einen der Marktführer. Frost & Sullivan hat YeaLink 2018 sogar als die weltweite Nummer 1 der Anbieter von SIP-Telefonen ausgewiesen.

Dennoch hat YeaLink laut einem aktuellen Bericht im Heise-Magazin c’t vom 7. Februar 2020 über zwei Monate lang nicht oder nur unzureichend auf Anfragen bezüglich einer von dem IT-Sicherheitsunternehmen VTRUST aufgedeckten Sicherheitslücken im Autoprovisionierungsverfahren für bestimmte IP-Telefone reagiert.

Außerdem gab der chinesische Hersteller laut dem c’t-Bericht auch erst auf Anfrage über seinen Facebook-Account einen Kontakt heraus. Nebenbei bemerkt, zeigt das einmal mehr, dass der Trend zu Anfragen über Social-Media-Kanäle geht, weil die Anbieter dort schneller reagieren als auf Telefon- oder E-Mail-Anfragen.

YeaLink versprach, das Problem mit Hochdruck anzugehen und holte entsprechende technische Details von VTRUST ein. Der IT-Security-Anbieter hat dann mehr als 20 deutsche VoIP-Anbieter auf mögliche Sicherheitslücken bei E-Mails, Faxen und Einschreiben hingewiesen. Dennoch habe es YeaLink auch nach zwei Monaten der ersten Kontaktaufnahme nicht geschafft, die Sicherheitslücke zu schließen, heißt es in dem Heise-Artikel.

Nutzer könnten darauf kaum reagieren, VoIP-Anbieter schon. Einer der von VRTUST benachrichtigen Provider habe das Problem bereits mit einer Zwei-Faktor-Authentifizierung (2FA) behoben, berichtet die c’t weiter. Um wen es sich dabei handelt, lässt der Artikel offen.

Tatsächlich war es die NFON AG. Diese hat neben anderen auch IP-Telefone von YeaLink im Angebot und hat die von Heise beschriebene Sicherheitslücke durch besagte Zwei-Faktor-Authentifizierung bereits am 30. Januar wirksam behoben. Die Lösung hat NFON auch schon zum Patent angemeldet und entspricht dem eigenen Grundsagt „Safety first“. Konkret ist bei der Inbetriebnahme neuer Telefone zusätzlich zu etwaigen an die Hardware gebundenen Zertifikaten immer die einmalige Eingabe einer Phone Authentification PIN (PAP) notwendig. Der PAP-Code ist sechsstellig und ist laut NFON vergleichbar mit dem Verfahren beim Online-Banking für eine erhöhte Sicherheit.

Fakt: Deutsche Unternehmen investieren laut Bitkom durchschnittlich 14 Prozent ihres IT-Budgets in Cybersicherheit.

Fakt: Die Zahl der täglich neu entdeckten Malware-Varianten liegt laut AV-TEST bei über 450.000.

Key Facts

Schadensvolumen: Cyberkriminalität verursacht weltweit jährlich Schäden von über 8 Billionen Euro.

Fachkräftemangel: Weltweit fehlen über 3,5 Millionen Cybersecurity-Fachkräfte.

Häufige Fragen

Was sind die häufigsten Cyberbedrohungen für Unternehmen?

Laut BSI-Lagebericht sind Ransomware, Phishing, DDoS-Angriffe und Supply-Chain-Kompromittierungen die häufigsten Bedrohungen. Für deutsche Unternehmen kommen regulatorische Risiken (DSGVO, NIS2) hinzu.

Wie viel sollte ein Unternehmen in Cybersicherheit investieren?

Branchenexperten empfehlen 10 bis 15 Prozent des IT-Budgets für Cybersicherheit. Deutsche Unternehmen liegen laut Bitkom im Durchschnitt bei 14 Prozent. Entscheidend ist nicht nur die Höhe, sondern die strategische Verteilung auf Prävention, Erkennung und Reaktion.

Braucht jedes Unternehmen einen CISO?

Nicht jedes Unternehmen braucht einen Vollzeit-CISO, aber jedes braucht eine klare Verantwortlichkeit für IT-Sicherheit auf Geschäftsführungsebene. KMU können auf einen externen CISO (Virtual CISO) zurückgreifen. Mit NIS2 wird die Management-Verantwortung gesetzlich verankert.

Verwandte Artikel

• secIT by Heise 2026: Die Security-Roadshow für Admins und IT-Verantwortliche
• DsiN-Jahreskongress 2026: Digitale Sicherheit in der vernetzten Gesellschaft
• Cybersec Europe 2026: Brüssels Security-Konferenz im Herzen der EU-Regulierung

Mehr aus dem MBF Media Netzwerk

• Strategische IT-Entscheidungen für Führungskräfte
• Business Future: Trends für Entscheider

Quelle Titelbild: Pexels

Hier schreibt Klaus Hauptfleisch für Sie

Mehr Artikel vom Autor Klaus Hauptfleisch