In eigener Sache: Stellungnahme zu Sicherheitslücken in VoIP-Telefonen

Die von Fraunhofer SIT am 14.8 veröffentlichte Pressemitteilung zu Sicherheitslücken in VoIP-Telefonen ist von etlichen Medien aufgegriffen worden und hat eine intensive Diskussion ausgelöst. Die Snom Technology GmbH nimmt hierzu Stellung:

Bezugnehmend auf die o.g. Presseinformation stellen wir klar, dass unsere IP-Telefone mit unserer aktuellen Firmware bei ordnungsgemäßer Installation/Integration keine in der Presseinformation beschriebenen Sicherheitslücken aufweisen.

Wie alle IP-Telefone werden auch die Telefone von Snom in IT-Umgebungen betrieben, die sich ständig verändern (Beispiel: Alexa Audio Interface). Dies stellt uns und alle Hersteller vor die Herausforderung, permanent die Sicherheit der Produkte und Lösungen zu überprüfen.

Die Snom Technology arbeitet deshalb mit spezialisierten Security- und Audit- Unternehmen zusammen. Sie scannen unsere Firmware auf Sicherheitslücken, sodass wir diese bei Bedarf schnellstmöglich und nachhaltig schließen und die Sicherheit unserer Firmware so weit wie möglich garantieren können.

In der über 20-jährigen Firmengeschichte von Snom sind immer wieder neue Sicherheitsanforderungen entstanden. Diese Anforderungen beziehen sich nicht nur auf OpenVPN-, XSS, Path traversal- oder Privilege escalation-Fälle, sondern auch auf quasi alle Telefon-Schnittstellen zur Außenwelt – angefangen bei der Verbindung zur PBX über die Adressbuchserver-Verbindung (LDAP,XSI...) bis hin zur Management-Schnittstelle (HTTPs Provisionierung, TR69 ACS). Auch CTI-Anwendungen mit lokaler LAN-oder Server-Verbindung zum PC und den damit verbundenen Implementierungen sind ein Unsicherheitsfaktor.

Aber es sind genau diese Anwendungen, die die moderne IP-Telefonie von der Telefonie von vor 25 Jahren unterscheidet. So wie sich die Telekommunikation immer weiter entwickelt und spezialisiert, wachsen auch potenzielle Gefahrenquellen. Als IP-Pionier werden wir auch weiterhin immer die höchstmögliche Sicherheitsstufe anstreben.Aber es liegt in der Natur der Sache:Eine 100%ige Garantiekann und wird es nicht geben, bei keinem Unternehmen. Wir sind uns deshalb unserer Verantwortung bewusst, unsere Kunden bestmöglich zu schützen.