
Sicherheit und Endpoint-Schutz
Wie die Live-Anruferidentifikation technisch funktioniert, was Sicherheitssoftware bemerken kann und wie Sie Ihren Endpoint-Schutz vorbereiten
Übersicht
Der echo Windows-Client stellt die Live-Anruferidentifikation bereit: Bei einem eingehenden Microsoft-Teams-Anruf zeigt er die Kontaktdaten des Anrufers an, noch bevor der Anruf angenommen wird. Dazu muss der Client die Teams-Anrufbenachrichtigung erkennen und die Telefonnummer des Anrufers daraus auslesen.
Diese Seite erklärt, welche Systemmechanismen der Client dafür nutzt, warum Endpoint-Schutzsoftware (Antivirus, EDR) darauf aufmerksam werden kann und wie Sie Ihre Umgebung so vorbereiten, dass Alarme oder Fehlalarme den Betrieb nicht stören.
So funktioniert die Anruferidentifikation technisch
Aktuelle Versionen von Microsoft Teams stellen die Benachrichtigung für eingehende Anrufe so dar, dass sie über die Windows-Bedienungshilfen-Schnittstellen (UI Automation), die frühere Versionen des echo Clients nutzten, nicht mehr auslesbar ist. Der Client liest die Telefonnummer deshalb direkt aus der am Bildschirm angezeigten Benachrichtigung:
| Mechanismus | Was der Client tut | Umfang |
|---|---|---|
| Fenster-Ereignis-Hook | Registriert einen System-Ereignis-Hook (SetWinEventHook), um benachrichtigt zu werden, wenn die Teams-Anrufbenachrichtigung erscheint. Das ist ein passiver Benachrichtigungsmechanismus — es wird kein Code in andere Prozesse injiziert. | Dauerhaft, passiv |
| Bildschirmaufnahme | Erscheint die Teams-Anrufbenachrichtigung, erfasst der Client nur den kleinen Bildschirmbereich dieser Benachrichtigung (rund 370 × 250 Pixel), um daraus die Telefonnummer zu lesen. | Nur während ein Anruf klingelt, ca. 2 Aufnahmen pro Sekunde für wenige Sekunden |
| Texterkennung (OCR) | Das aufgenommene Bild wird mit der in Windows integrierten OCR-Engine in Text umgewandelt und nach einer Telefonnummer durchsucht. | Nur im Arbeitsspeicher |
| Bedienungshilfen-Schnittstellen | Für andere Teams-Fenster (z. B. das aktive Anruffenster) nutzt der Client weiterhin Windows UI Automation, wie bisher. | Ereignisgesteuert |
Ebenso wichtig ist, was der Client nicht tut:
- Keine Tastatur- oder Maus-Hooks — es werden keine Eingaben abgefangen (kein Keylogging).
- Keine kontinuierliche Bildschirmaufzeichnung — Aufnahmen erfolgen nur, während eine Teams-Anrufbenachrichtigung angezeigt wird, und sind auf deren Bereich beschränkt.
- Aufgenommene Bilder werden nie gespeichert oder übertragen. Sie werden im Arbeitsspeicher verarbeitet und sofort verworfen. Verwendet wird nur die extrahierte Telefonnummer — sie wird wie in früheren Versionen zur Kontaktauflösung an das echo Backend gesendet.
- Keine Code-Injektion in Teams oder andere Prozesse.
Warum Sicherheitssoftware darauf aufmerksam werden kann
Bildschirmaufnahme-APIs werden auch von Schadsoftware genutzt (Screen-Grabber, Info-Stealer). Verhaltensbasierter Endpoint-Schutz (EDR wie Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne u. a.) überwacht diese API-Muster deshalb. In der Praxis kann das zu Folgendem führen:
- Informations- oder Hunting-Alarme in der EDR-Konsole, z. B. «Bildschirmaufnahme-Aktivität», typischerweise ausgelöst bei einem eingehenden Anruf.
- Fehlalarme durch Heuristiken, insbesondere wenn ein Build ganz neu ist oder die Reputation der Programmdatei noch nicht etabliert ist.
- Rückfragen Ihres SOC, wenn das Verhalten ohne Kontext beobachtet wird.
Das Muster, das Sicherheitsprodukte als tatsächlich bösartig einstufen — verdeckte kontinuierliche Aufnahme kombiniert mit dem Abfluss der Bilder — trifft auf den echo Client nicht zu: Aufnahmen sind ereignisgesteuert, klein und rein lokal, und die Anwendung ist eine sichtbare, signierte Desktop-Anwendung.
Empfohlene Vorbereitung
Nur das signierte Originalpaket verteilen
Verteilen Sie den echo Windows-Client genau so, wie er von Snapbean ausgeliefert wird. Die Anwendung nicht neu paketieren oder neu signieren — die Herausgebersignatur ist das primäre Vertrauenssignal für SmartScreen und Endpoint-Schutz.
Allowlisting über den Herausgeber
Wenn Sie Anwendungssteuerung (AppLocker, WDAC) oder EDR-Allowlisting einsetzen, erstellen Sie die Regel auf Basis des Herausgeberzertifikats (Snapbean Software AG) statt über Dateipfade oder Hashes. Herausgeberregeln überstehen Anwendungsupdates; Hash-Regeln müssen bei jedem Release erneuert werden.
SOC informieren / erwartetes Verhalten dokumentieren
Ergänzen Sie Ihr SOC-Runbook bzw. Ihre Softwareinventar-Dokumentation um Folgendes:
- Der echo Windows-Client erfasst bei eingehenden Anrufen den Bildschirmbereich der Microsoft-Teams-Anrufbenachrichtigung (ereignisgesteuert, wenige Sekunden, ca. 370 × 250 Pixel) und extrahiert die Telefonnummer des Anrufers mit der in Windows integrierten OCR-Engine.
- Aufgenommene Bilder werden ausschliesslich im Arbeitsspeicher verarbeitet und nie gespeichert oder übertragen.
- Korrelierte Alarme («Bildschirmaufnahme-Aktivität» von
echoForTeams.exezum Zeitpunkt eines eingehenden Teams-Anrufs) sind erwartetes Verhalten.
Vorgehen bei einem Fehlalarm
- Prüfen Sie die Dateisignatur (Herausgeber: Snapbean Software AG) und den Installationspfad.
- Stellen Sie die Datei aus der Quarantäne wieder her und richten Sie eine Ausnahme ein (bevorzugt herausgeberbasiert, siehe Schritt 2).
- Melden Sie den Fehlalarm Ihrem Endpoint-Schutz-Hersteller — das verbessert die Einstufung für alle Kunden. Sie können dabei auf diese Seite als Hersteller-Dokumentation des Verhaltens verweisen.