Vorschau
echo for Microsoft Teams
Windows-Client · Administrator

Sicherheit und Endpoint-Schutz

Wie die Live-Anruferidentifikation technisch funktioniert, was Sicherheitssoftware bemerken kann und wie Sie Ihren Endpoint-Schutz vorbereiten

Produkt: echo for TeamsStand: Juni 2026Version: 1.0
💡 Diese Anleitung ist für den PDF-Export optimiert. Drucken → „Als PDF speichern“, Hintergrundgrafiken aktivieren.

Übersicht

Der echo Windows-Client stellt die Live-Anruferidentifikation bereit: Bei einem eingehenden Microsoft-Teams-Anruf zeigt er die Kontaktdaten des Anrufers an, noch bevor der Anruf angenommen wird. Dazu muss der Client die Teams-Anrufbenachrichtigung erkennen und die Telefonnummer des Anrufers daraus auslesen.

Diese Seite erklärt, welche Systemmechanismen der Client dafür nutzt, warum Endpoint-Schutzsoftware (Antivirus, EDR) darauf aufmerksam werden kann und wie Sie Ihre Umgebung so vorbereiten, dass Alarme oder Fehlalarme den Betrieb nicht stören.

Für wen ist diese Seite?IT-Administratoren und Security-Teams, die den echo Windows-Client ausrollen oder vor dem Einsatz prüfen (z. B. Softwarefreigabe, SOC-Runbooks, EDR-Allowlisting).

So funktioniert die Anruferidentifikation technisch

Aktuelle Versionen von Microsoft Teams stellen die Benachrichtigung für eingehende Anrufe so dar, dass sie über die Windows-Bedienungshilfen-Schnittstellen (UI Automation), die frühere Versionen des echo Clients nutzten, nicht mehr auslesbar ist. Der Client liest die Telefonnummer deshalb direkt aus der am Bildschirm angezeigten Benachrichtigung:

MechanismusWas der Client tutUmfang
Fenster-Ereignis-HookRegistriert einen System-Ereignis-Hook (SetWinEventHook), um benachrichtigt zu werden, wenn die Teams-Anrufbenachrichtigung erscheint. Das ist ein passiver Benachrichtigungsmechanismus — es wird kein Code in andere Prozesse injiziert.Dauerhaft, passiv
BildschirmaufnahmeErscheint die Teams-Anrufbenachrichtigung, erfasst der Client nur den kleinen Bildschirmbereich dieser Benachrichtigung (rund 370 × 250 Pixel), um daraus die Telefonnummer zu lesen.Nur während ein Anruf klingelt, ca. 2 Aufnahmen pro Sekunde für wenige Sekunden
Texterkennung (OCR)Das aufgenommene Bild wird mit der in Windows integrierten OCR-Engine in Text umgewandelt und nach einer Telefonnummer durchsucht.Nur im Arbeitsspeicher
Bedienungshilfen-SchnittstellenFür andere Teams-Fenster (z. B. das aktive Anruffenster) nutzt der Client weiterhin Windows UI Automation, wie bisher.Ereignisgesteuert

Ebenso wichtig ist, was der Client nicht tut:

Hinweis zum DatenschutzMicrosoft Teams zeigt Chat-Benachrichtigungen im selben Benachrichtigungsfenster wie Anrufbenachrichtigungen. Die Texterkennung kann daher kurzzeitig den Vorschautext einer Chat-Benachrichtigung im Arbeitsspeicher verarbeiten. Dieser Text wird sofort verworfen; er wird weder gespeichert noch im Produktivbetrieb protokolliert noch übertragen.

Warum Sicherheitssoftware darauf aufmerksam werden kann

Bildschirmaufnahme-APIs werden auch von Schadsoftware genutzt (Screen-Grabber, Info-Stealer). Verhaltensbasierter Endpoint-Schutz (EDR wie Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne u. a.) überwacht diese API-Muster deshalb. In der Praxis kann das zu Folgendem führen:

Das Muster, das Sicherheitsprodukte als tatsächlich bösartig einstufen — verdeckte kontinuierliche Aufnahme kombiniert mit dem Abfluss der Bilder — trifft auf den echo Client nicht zu: Aufnahmen sind ereignisgesteuert, klein und rein lokal, und die Anwendung ist eine sichtbare, signierte Desktop-Anwendung.

Empfohlene Vorbereitung

1

Nur das signierte Originalpaket verteilen

Verteilen Sie den echo Windows-Client genau so, wie er von Snapbean ausgeliefert wird. Die Anwendung nicht neu paketieren oder neu signieren — die Herausgebersignatur ist das primäre Vertrauenssignal für SmartScreen und Endpoint-Schutz.

2

Allowlisting über den Herausgeber

Wenn Sie Anwendungssteuerung (AppLocker, WDAC) oder EDR-Allowlisting einsetzen, erstellen Sie die Regel auf Basis des Herausgeberzertifikats (Snapbean Software AG) statt über Dateipfade oder Hashes. Herausgeberregeln überstehen Anwendungsupdates; Hash-Regeln müssen bei jedem Release erneuert werden.

3

SOC informieren / erwartetes Verhalten dokumentieren

Ergänzen Sie Ihr SOC-Runbook bzw. Ihre Softwareinventar-Dokumentation um Folgendes:

  • Der echo Windows-Client erfasst bei eingehenden Anrufen den Bildschirmbereich der Microsoft-Teams-Anrufbenachrichtigung (ereignisgesteuert, wenige Sekunden, ca. 370 × 250 Pixel) und extrahiert die Telefonnummer des Anrufers mit der in Windows integrierten OCR-Engine.
  • Aufgenommene Bilder werden ausschliesslich im Arbeitsspeicher verarbeitet und nie gespeichert oder übertragen.
  • Korrelierte Alarme («Bildschirmaufnahme-Aktivität» von echoForTeams.exe zum Zeitpunkt eines eingehenden Teams-Anrufs) sind erwartetes Verhalten.
4

Vorgehen bei einem Fehlalarm

  1. Prüfen Sie die Dateisignatur (Herausgeber: Snapbean Software AG) und den Installationspfad.
  2. Stellen Sie die Datei aus der Quarantäne wieder her und richten Sie eine Ausnahme ein (bevorzugt herausgeberbasiert, siehe Schritt 2).
  3. Melden Sie den Fehlalarm Ihrem Endpoint-Schutz-Hersteller — das verbessert die Einstufung für alle Kunden. Sie können dabei auf diese Seite als Hersteller-Dokumentation des Verhaltens verweisen.
WichtigBlockiert die Richtlinie Ihrer Organisation Bildschirmaufnahme-APIs vollständig (z. B. über strikte WDAC- oder Attack-Surface-Reduction-Richtlinien), kann die Live-Anruferidentifikation auf den betroffenen Geräten nicht funktionieren. Definieren Sie in diesem Fall eine Ausnahme für den echo Windows-Client oder kontaktieren Sie den Snapbean-Support, um Alternativen zu prüfen.