Unified Communications & Collaboration (UCC) hat sich vom Meeting-Tool zum Fundament moderner Unternehmen entwickelt, doch die Sicherheit hinkt hinterher. Zuständigkeitslücken zwischen Collaboration-, Security- und Einkaufsteams verhindern einen durchgängigen Schutz. Gefährlich sind dabei selten Zero-Days, sondern Fehlkonfigurationen, fragile Update-Ketten und fehlendes Lifecycle-Denken.
UCC hat sich vom Meeting-Tool zur kritischen Infrastruktur entwickelt. Sicherheit muss deshalb über den gesamten Lebenszyklus gedacht werden, nicht als nachträgliches Add-on.
Unified Communications & Collaboration (UCC) hat ihre Rolle in Unternehmen still und leise verändert. Was früher vor allem „Meeting-Tools“ waren, ist heute das Fundament dafür, wie Entscheidungen getroffen werden, wie der Betrieb läuft und wie Organisationen in hybriden Arbeitsmodellen produktiv bleiben. Das hat eine direkte Sicherheitsfolge: UCC ist keine periphere IT-Anwendung mehr. Sie ist fester Bestandteil der Unternehmensstruktur – und sollte entsprechend kritisch abgesichert werden – mit denselben Maßstäben wie andere geschäftskritische Systeme.
Und doch fällt UCC-Security in vielen Organisationen durch die Zuständigkeitslücken. Collaboration-Teams konzentrieren sich auf User Experience und Verfügbarkeit; Security-Teams auf Identity, Endpoints und Cloud Controls; der Einkauf auf Zertifizierungen und den Preis. Das Ergebnis ist vorhersehbar: Sicherheitsmaßnahmen werden erst nachträglich ergänzt, und Resilienz hängt dann von Konfigurationsdisziplin und reaktivem Patchen ab.
In der Security-Community sehen wir zunehmend: Die folgenschwersten Ausfälle sind nicht exotische Zero-Days, sondern Schwächen, die aus Design- und Implementierungsentscheidungen entstehen – Fehlkonfigurationen, kryptografische Fehler, fragile Update-Ketten und uneinheitliche Policy Enforcement über heterogene Device-Fleets hinweg.
Genau deshalb ist „Secure by Design“ mehr als ein Slogan. Es ist eine Engineering-Maxime: Sie gehen davon aus, dass das Produkt angegriffen wird, und entwerfen das System dann so, dass eine Kompromittierung schwierig ist, erkannt wird und begrenzt bleibt.
Der praktischste Weg, das Realität werden zu lassen, ist, Sicherheit als kontinuierliche Kette zu behandeln – nicht als Checkliste. Diese Kette beginnt mit der ersten Instruktion des Geräts und reicht über Firmware-Updates, Identity, Management und Decommissioning. Reißt ein Glied, verliert der Rest der Architektur erheblich an Wert.
Für UCC-Endpoints wie IP-Telefone und Meeting Devices ist das grundlegende Thema Vertrauen: Kann die Organisation darauf vertrauen, dass beim Booten das startet, was beabsichtigt war – und dass das, was läuft, intakt bleibt?
In der Praxis heißt das auf Integrität und Least Privilege hin zu entwickeln. Secure Boot und Verified Boot Chains reduzieren das Risiko, dass beim Start nicht autorisierter Code ausgeführt wird. Firmware-Integritätsprüfungen und digitale Signaturen helfen sicherzustellen, dass Update-Pakete authentisch und nicht manipuliert sind. Der Schutz sensibler Keys in hardware-gestützten Umgebungen (zum Beispiel über Trusted-Execution-Mechanismen) begrenzt den Blast Radius, falls andere Teile des Systems kompromittiert werden. Und verschlüsselte Kommunikation – TLS für Signaling, SRTP für Media – sollte Normalbetrieb sein, kein Sondermodus.
Diese Maßnahmen sind keine „zusätzlichen Security-Features“. Sie sind die Baseline, die alles andere erst ermöglicht: sicheres Remote Management, verlässliche Incident Response und Vertrauen in Lifecycle Updates.
UCC-Security hängt auch davon ab, wo Komponenten herkommen, wie sie zusammengebaut werden und wie die Software-Supply-Chain des Geräts kontrolliert wird. Deutsche Käufer fordern berechtigterweise Transparenz: Wer baut was? Welche Zulieferer sind beteiligt? Wie werden Änderungen validiert? Welche Test- und Factory-Kontrollmechanismen existieren?
Organisationen sollten Anbieter zu Traceability, Component Provenance und sicheren Fertigungsprozessen verpflichten – nicht als Papierübung, sondern zur Risikoreduktion. Eine vertrauenswürdige Supply Chain ist unsichtbar, wenn sie funktioniert, und schmerzhaft sichtbar, wenn sie es nicht tut.
Plattform-Ökosysteme: Security-Reife durch Governance
UCC-Endpoints arbeiten selten allein; sie leben in Ökosystemen wie Microsoft Teams oder Zoom. Bei der Plattformzertifizierung geht es deshalb nicht nur um Interoperabilität. Sie ist oft ein Proxy dafür, ob ein Gerät mit sich weiterentwickelnden Sicherheitsanforderungen Schritt halten kann: Identity Integration, Conditional Access, Policy Enforcement und Lifecycle Governance.
Aus unserer Erfahrung führt eine langfristige Engineering-Kollaboration mit diesen Plattformen zu besseren Security Outcomes als isolierte Point Solutions. Anforderungen entwickeln sich weiter, Threat Models reifen, und Integrationsmuster verbessern sich. Je tiefer Endpoints an Identity und Management auf Plattformebene teilnehmen können, desto konsistenter können Unternehmen Policies durchsetzen – insbesondere über große Flotten und verteilte Belegschaften hinweg.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Am deutlichsten sehen wir das im Microsoft-Teams-Device-Ökosystem: Langfristige Zusammenarbeit übersetzt sich tendenziell in klarere Security-„Rules of the Road“ für Identity, Policy und Lifecycle Management. Im Rahmen unserer laufenden Unterstützung für Microsofts Device Ecosystem Platform (MDEP) sorgen wir dafür, dass Device Identity und Policy Enforcement in der Fläche konsistenter zu machen – ein operativer Bedarf für IT-Teams, die große Flotten managen, nicht ein Feature für eine Broschüre.
UCC ist auch ein Data-Governance-Problem. Metadaten und Device Telemetry werfen Fragen auf, die operativ und rechtlich sind: wo Daten gespeichert werden, wer darauf zugreifen kann, wie lange sie aufbewahrt werden und wie grenzüberschreitende Transfers gehandhabt werden. Für deutsche Organisationen ist das nicht abstrakt – es ist tägliche Procurement Reality.
Ein sinnvoller Ansatz ist „Privacy & Compliance by Design“: Produkte und Services so zu bauen, dass Verschlüsselung, Access Control, Auditing und regionale Deployment-Optionen von Anfang an in der Architektur verankert sind.
Aus Kundensicht geht die Bewertung von Compliance über das Prüfen von Policy Statements hinaus. Unternehmen sollten nach verifizierbaren, operativen Nachweisen suchen, dass Privacy- und Security-Kontrollen konsistent implementiert sind – etwa durch klare und transparente Dokumentation (zum Beispiel über ein Trust Center), anerkannte Zertifizierungen wie ISO 27001 oder SOC 2, wo anwendbar, sowie reife operative Prozesse für Vulnerability Management, unabhängige Security Tests und Incident Response.
UCC hat eine Stufe erreicht, in der Sicherheit kein Add-on mehr ist, sondern eine strukturelle Anforderung. Die verantwortungsvollste Haltung ist, Kompromittierungsversuche als gegeben anzunehmen und Systeme so zu entwickeln, dass sie Auswirkungen minimieren, Integrität bewahren und schnelle Recovery unterstützen.
Für Anbieter heißt das, Secure-Design-Prinzipien als produktseitige Grundlagen zu behandeln. Für Enterprise Buyer bedeutet es, UCC wie kritische Infrastruktur zu bewerten: Architektur, Supply Chain, Platform Governance und Compliance – gemeinsam, nicht getrennt. Wenn wir uns auf diesen Grundkonsens verständigen, heben wir das Sicherheitsniveau für das gesamte Collaboration-Ökosystem.
Über den Autor: Dawson Cai ist Vice President Product bei Yealink und verantwortet die Gerätestrategie sowie die Engineering-Planung für führende Kollaborationsplattformen wie Microsoft Teams und Zoom. Er ist seit 2007 bei Yealink und verfügt über mehr als 18 Jahre Erfahrung im Bereich UCC. Seine Schwerpunkte liegen auf „Secure-by-Design“-Architekturen, Plattformkompatibilität, großflächigen Rollouts und langfristiger Governance.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/4f/f64f6d110cdae3a798edcfbd4613ed58/0130735335v1.jpeg "Experten aus aller Welt erwarten viele, rasch aufeinander folgende Wellen von mit KI-entdeckten Sicherheitslücken, die Cyberkriminelle ausnutzen werden. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a9/7c/a97c53cadaa1d62da7d8fec19dfd587d/0130995284v1.jpeg "Chinesische Cyberspione verschleiern Angriffe über gekaperte Router, Kameras und andere vernetzte Geräte. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/42/e3/42e39eb6475344a36247c4192b33afec/0130920701v1.jpeg "Die Sicherheitslücke EUVD-2026-24742 / CVE-2026-41651 betrifft auch PackageKit-Versionen von vor zwölf Jahre. Somit ist die Angriffsfläche enorm groß. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/40/f8/40f89f374d9fc9a77fa03a28acc418d0/0126340017v2.jpeg "SPD und CDU wollen zeitnah ein Gesetz zur Vorratsdatenspeicherung auf den Weg bringen – dies wurde bisher vom Europäischen Gerichtshof immer wieder blockiert. Nun läuft eine EU-weite Initiative, die einen einheitlichen Rechtsrahmen für die Datenspeicherung schaffen soll. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/72/68726f5bc2e44235a926344ce4534a0f/0130783442v2.jpeg "TrendAI und Anthropic gehen eine strategische Partnerschaft ein. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2d/fa/2dfad7bb9824c7d68ab0641b0fb50568/0129576026v1.jpeg "Glarysoft File Recovery kann verloren geglaubte Dateien wiederherstellen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/56/dc56436ba821e4c90c9aecf053517801/0130379749v1.jpeg "Noch weiß niemand, wann der Q-Day sein wird. Die dann drohenden Gefahren hingegen sind bekannt. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/8b/31/8b31de571af974932fb20cd03ce84a85/0130807903v2.jpeg "UCC hat sich vom Meeting-Tool zur kritischen Infrastruktur entwickelt. Sicherheit muss deshalb über den gesamten Lebenszyklus gedacht werden, nicht als nachträgliches Add-on. (Bild: © zorandim75 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/2b/f42b0456ab068cdc722e6cefd4c30479/0130824019v2.jpeg "Die Schwachstelle EUVD-2026-19588 / CVE-2026-34197 betrifft den Apache ActiveMQ Broker in den Versionen vor 5.19.4 sowie von 6.0.0 bis einschließlich 6.2.2. Auch Apache ActiveMQ ist betroffen. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/b4/d2b43b2301a8e26f7bcd93dea6c10d2d/0130920718v2.jpeg "Hinter der mutmaßlichen Spionagekampagne werden staatlich gesteuerten Cyberakteure aus Russland vermutet. (Bild: © kittikunfoto - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/19/4f/194f7a7aacc5be512137e9903e7b9393/0130719515v2.jpeg "Für Zero Networks sind das Blockieren lateraler Bewegung sowie regulierter Zugriff und die schnelle Eindämmung von Bedrohungen besonders relevant, um NIS 2 umzusetzen. (Bild: © Sabbir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/53/25536c0bb262a7ac94848efaaf7d88d4/0130457223v2.jpeg "Deepfakes können heute mit hoher Wahrscheinlichkeit identifiziert werden. Vor Gericht kann es dennoch Probleme geben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/52/c4526444911a1e496bc113813291c6be/0130586130v1.jpeg "Die rasante Entwicklung KI-gestützter Manipulationen erschwert die sichere Unterscheidung zwischen Deepfake und echten Medien. In einer Umfrage des TÜV gaben ein Viertel der Befragten an, schon einmal auf KI-generierte Inhalte „hereingefallen“ zu sein. (Bild: © LORD - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/92/0c92fb16e01535ae42ceb990c2529dad/0130811101v2.jpeg "NIS2 verpflichtet Unternehmen, ihre gesamte IT-Lieferkette abzusichern, aber nur 8 Prozent schaffen das. Interconnection-Strategien über verteilte Rechenzentren können dabei helfen. (Bild: © Khfd - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/d2/9d/d29d95716693afcdced3e70f270f8eac/0130686126v1.jpeg "IT-Sicherheit schützt Informationen und alle Systeme, mit denen Informationen verarbeitet, genutzt und gespeichert werden. (Bild: Jirsak via Getty Images Pro)")
:quality(80)/p7i.vogel.de/wcms/a9/56/a9568e19e71f36272b559071914c8a63/0126593157v1.jpeg "Das Computer Emergency Response Team der Europäischen Union (CERT-EU) hat die Aufgabe, Cyberangriffe gegen EU-Institutionen zu verhindern, zu erkennen und abzuwehren. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9a/63/9a63f84838235eb98f3f4e7a56645475/0126745698v2.jpeg "Ein Ausfall der Cloud-Telefonie kann die gesamte Unternehmenskommunikation lahmlegen. Eesiliente Backup-Strategien sind deshalb Pflicht. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/41/584168c5d3b40f873e26cebbaad4d061/0124824028v2.jpeg "Obwohl Unternehmen immer höhere Summen in IT-Sicherheitsmaßnahmen investieren, bleibt die Sprachkommunikation oft ein vernachlässigter Bereich. (Bild: © peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b5/c6/b5c61e5f31b62d92c0f27faa46795cd0/0126861941v2.jpeg "Der Wurm „Shai-Hulud“ ist ein sich selbstverbreitender Supply-Chain-Schädling, der über kompromittierte Maintainer-Accounts in npm-Pakete eindringt, dort bösartigen Code einfügt und so automatisch weitere Pakete infiziert und neu veröffentlicht. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a4/82/a482b10466fe1e02cef427898577953f/0123523984v2.jpeg "Security-Experten von Sphera ermittelten im Jahr 2023 einen Anstieg von 62 Prozent gegenüber 2022 bei cyberbedingten Lieferkettenproblemen. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/cd/c2cdf317a974462afaa2ae431e91e688/0126508246v2.jpeg "Wer eine FreePBX-Telefonanlage nutzt, sollte jetzt umgehend die verfügbaren Sicherheitsupdates installieren und den Administratorzugang per Firewall auf vertrauenswürdige Hosts beschränken, da weltweit bereits hunderte Systeme kompromittiert wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bf/a5/bfa591b8d08db5f236317cfed82afa6d/0127960126v3.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/5e/e15ef7cc34cfe2e457d59ab019b207fe/0124983065v2.jpeg "OT-Systeme stehen gezielt im Visier professioneller Cybercrime-Gruppen und nationalstaatlicher Akteure. Schon ein einziger kompromittierter Fernwartungszugang reicht aus, um Produktionsketten global zu stoppen. (Bild: © tippapatt - stock.adobe.com)")