print logo

Skype und die Sicherheit

Wie sicher ist die Software? Und welche Gefahren entstehen im Firmennetzwerk?
Matthias Walter | 13.01.2011
Skype hat in den letzten Jahren mehr und mehr an Bedeutung gewonnen, viele User nutzen die kostenlose Software völlig unbedarft. Verantwortlich für die Verbreitung ist wohl die Tatsache, dass der Voice-over-IP-Dienst Skype schnell zu installieren ist und sich fast immer einen Weg durch die bestehende Firewall sucht. Genau dieser Umstand löst aber immer wieder Diskussionen aus, wie sicher Skype ist, oder ob durch Skype evtl. eine Sicherheitslücke entsteht.

Durch die Skype-API ist es beispielsweise für externe Programme möglich, auf die Funktionalitäten des Skype-Clients und Teile des Netzwerkes zuzugreifen. Beispiel für eine solche Nutzung der API ist der SAM-Anrufbeantworter. Neben dem Telefonieren bietet Skype auch die Möglichkeit des Instant-Messaging, wobei auch Chats mit mehreren Teilnehmern möglich sind und Dateien übertragen werden können.

Da es sich beim VoIP-Protokoll von Skype um eine proprietäre Eigenentwicklung handelt und der Hersteller die genaue Funktionsweise des Clients nicht offen gelegt hat, bleibt die Frage, was Skype sonst noch so alles kann und welche Risiken der Einsatz etwa im Unternehmensfeld mit sich bringt.

Seit langem gibt es Versuche, die Arbeitsweise von Skype zu analysieren. Im Jahr 2004 lieferte die Universität Columbia erste Erkenntnisse, hier wurde aber hauptsächlich der Netzwerkverkehr untersucht. Philippe Biondi und Fabrice Desclaux von EADS haben vor einiger Zeit auf der Black-Hat-Konferenz nachgelegt und ihre Erkenntnisse zur Arbeitsweise des Clients veröffentlicht.

Die beiden fanden heraus, dass der Hersteller großen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. Offensichtlich erkennt der Skype-Client, ob er in einem Debugger läuft und ändert daraufhin sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschlüsselt und werden erst zur Laufzeit ausgepackt. Die Veröffentlichung "Silver Needle in the Skype" der beiden EADS-Wissenschaftler zeigt, wie es möglich ist, Skype zu überlisten, um es trotzdem zu analysieren.

Weiter ist es den beiden gelungen, die Art der Datenverschlüsselung, die Berechnung des Keys sowie die Authentifizierung von Skype herauszufinden. Ein Teil ihres Vortrags zeigt sogar die prinzipielle Möglichkeit auf, manipulierte Supernodes ins Netz zu bringen, um VoIP-Verkehr umzuleiten und zu belauschen.

Skype muss als nicht abhörsicher angesehen werden. Zwar gibt Skype die Verschlüsselung bei direkten Gesprächen zwischen Benutzern an, was sowohl für Kriminelle als auch für Strafverfolgungsbehörden Probleme schafft, jedoch wollte ein Sprecher von Skype in einem Interview eine grundsätzliche Abhörmöglichkeit nicht ausschließen. Kurt Sauer, Leiter der Sicherheitsabteilung von Skype, antwortete ausweichend auf die durch ZDNet gestellte Frage, ob Skype die Gespräche abhören könne: „Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werde Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.“ Die Implementierung eines Textfilters in China deutet ebenfalls auf diese Möglichkeit hin.

Im Jahr 2008 wurde bekannt, dass die österreichischen Behörden Skype abhören können.

Die europäische Behörde zur Koordinierung grenzüberschreitender Strafermittlung (Eurojust) warf Skype 2009 vor, das Abhören von VoIP-Telefonaten durch ein Verschlüsselungssystem zu verhindern. Dieser Vorwurf wurde zurückgenommen, als Skype seine Zusammenarbeit anbot.


Wie sieht es in Ihrem Unternehmen aus?

Ich berate Sie gerne zu diesen Themen.


Matthias Walter
EDV-Sachverständiger und Datenschutzbeauftragter

tec4net IT-Solutions
Flunkgasse 22
81245 München

http://www.tec4net.com
info@tec4net.com

-------------------------------------------------------------------------------------------------------------------------
Quellen:

Vortrag von Philippe Biondi und Fabrice Desclaux
http://www.secdev.org/conf/skype_BHEU06.handout.pdf

Erkenntnisse zum Skype Protokoll der Universität Columbia
http://www1.cs.columbia.edu/~library/TR-repository/reports/reports-2004/cucs-039-04.pdf

Telefonieren übers Internet (zdnet)
http://www.zdnet.de/mobiles_internet_drahtloses_arbeiten_telefonieren_uebers_internet_wie_sicher_ist_skype_wirklich_story-39001620-39151472-3.htm

Backdoor für österreichische Behörden
http://www.heise.de/security/Spekulationen-um-Backdoor-in-Skype--/news/meldung/113281

EU-Strafermittler nehmen Vorwürfe gegen Skype zurück
http://www.heise.de/newsticker/EU-Strafermittler-nehmen-Vorwuerfe-gegen-Skype-zurueck--/meldung/133731