22.01.2008 | Autor / Redakteur: Torsten Kleinz / Ulrike Ostler
Skype ist proprietär und damit sicher? Kann sein oder auch nicht. Denn niemand weiß, was genau mit den übertragenen Daten passiert. So bleibt beim Anwender ein Unbehagen und dem Anbieter die Weihe des Bundesamt für Sicherheit in der Informationstechnik versagt. Alles nur Panikmache oder doch realisitische Bedenken?
Skype macht der Polizei das Leben schwer – diesen Eindruck vermitteln die Nachrichten der letzten Monate. Im Oktober beklagte der Schweizer Untersuchungsrichter Matthias Stoller, dass gerade Drogen-Dealer immer häufiger auf Skype zurückgriffen, um verschlüsselte Gespräche nach Südamerika zu führen.
Im November legte der Präsident des Bundeskriminalamts Jörg Zierke nach. Auf der Herbsttagung des BKA erklärte der Behördenchef, die Software Skype sei Grund dafür, dass die Ermittler neue Befugnisse brauchten, um die verschlüsselten Gespräche direkt auf dem Computer der Verdächtigen zu knacken.
Wenn also nicht einmal die Polizei Skype-Gespräche belauschen kann, ist die Software dann das ideale Mittel gegen unerwünschte Mitlauscher?
Um die Frage zu beantworten, lohnt ein Blick in das Grundprinzip von Skype. Anders als sonstige Voice-over-IP-Dienste basiert Skype auf dem Peer-to-Peer-Prinzip. Die Gespräche werden nicht über einen zentralen Server geleitet sondern von Skype-Nutzer zu Skype-Nutzer weitergeleitet.
Zudem nutzt Skype ein proprietäres Kommunikationsprotokoll. Allerdings ist das mithilfe von anerkannten Industriestandards gesichert. Zur Schlüssel-Übertragung wird RSA verwendet, zur Verschlüsselung selbst der Advanced Encryption Standard (AES). Damit scheinen die Voraussetzungen für eine sichere Kommunikation gut.
Doch wie genau das Skype-Protokoll funktioniert, weiß nur das Unternehmen selbst. Systemadministratoren haben oft Probleme mit Skype, weil sich der Traffic des Programms nur schwer aussortieren lässt. Für die Anwender ist das praktisch, da sich das Programm meist auch hinter Firewalls problemlos in Gang setzen lässt.
Das Skype-Prinzip lautet offenbar „security through obscurity“. Das Unternehmen lässt sich von niemandem in die Karten schauen. Und der Erfolg scheint dem Unternehmen Recht zu geben: Bisher hat niemand das Protokoll geknackt und konnte mit seinem Wissen an die Öffentlichkeit gehen. Im Gegensatz dazu sind die Protokolle der Chat-Dienste von AOL, Yahoo und Microsoft längst entschlüsselt worden. Allerdings verzichten die Konkurrenten in der Regel auf eine starke Verschlüsselung.
Auch Hacker stellen der Software im Prinzip gute Noten aus. Auf der „Black-Hat“-Konferenz stellten die Sicherheits-Experten Philippe Biondi und Fabrice Desclaux von EADS im Jahr 2006 eine Studie vor, mit der sie der Funktionsweise der Software auf den Grund gingen. Ihr Urteil: „Skype ist von cleveren Leuten programmiert worden“, die Umsetzung der Verschlüsselung sei von außen gesehen vorbildlich. Doch ob in dem Protokoll nicht doch Schwachstellen oder Hintertüren stecken, wollten aber auch diese Forscher nicht ausdrücklich ausschließen.
Bietet Skype also Schutz vor unerwünschten Lauschern – per Bundestrojaner oder von Industriespionen? Das ist mehr als unklar.
Auf die Zusammenarbeit mit den Sicherheitsbehörden angesprochen gibt sich das Unternehmen sehr einsilbig. „Skype hat schon immer im Rahmen normaler polizeilicher Ermittlungsverfahren mit den Behörden zusammen gearbeitet“, lässt das Unternehmen über eine PR-Agentur ausrichten. Wie die Zusammenarbeit genau aussieht, will das Unternehmen aber nicht verraten.
So viel Geheimniskrämerei sorgt für Misstrauen. So stellten Nutzer der Linux-Version des Programms fest, dass Skype nicht nur auf zentrale Dateien wie das Nutzerverzeichnis des Computers zugriff, sondern auch Konfigurationsdateien des Browsers Firefox durchstöberte.
Fachleute konnten die Nutzer aber schnell beruhigen: Solche Zugriffe seien üblich und bewiesen keinerlei Missbrauch persönlicher Daten.
Ernster jedoch war jüngst die Entdeckung eines US-Bloggers, der feststellte, dass Skype auch auf das BIOS eines Windows-Computers zugreift, um die Seriennummer des Mainboards auszulesen.
Dieses Mal sah sich auch das ansonsten zugeknöpfte Unternehmen zu einer Stellungnahme genötigt: Nicht Skype selbst rufe die Seriennummer ab, der Plugin-Manager des Zulieferers Easybit Software sei schuld. „Die Daten werden nur gebraucht, damit die Software von Easybit den korrekten Gebrauch der Plug-Ins sicherstellen kann“, lautete die Erklärung.
In einer eilig neu herausgebrachten Version von Skype war die BIOS-Schnüffelei dann abgestellt – „aus Performance-Gründen“, wie Skype auf seiner Webseite schrieb.
Eine solche Vorgehensweise weckt nicht unbedingt Vertrauen. Unklar bleibt zum Beispiel, ob Skype in seiner Luxemburger Unternehmenszentrale Gespräche gezielt abfangen kann.
Dazu müsste das Unternehmen nicht nur über einen Generalschlüssel für alle Skype-Gespräche verfügen: Der Traffic abgehörter Skype-Nutzer müsste zudem gezielt über einen zentralen Server umgeleitet werden.
Prinzipiell könnte das Luxemburger Unternehmen per Gesetz zu entsprechenden Abhör-Schnittstellen verpflichtet werden. Bisher stellt sich Skype jedoch auf den Standpunkt, dass man selbst kein Telekommunikations-Anbieter sei, sondern lediglich eine Software vertreibe.
Zumindest die deutschen Behörden haben noch nie auf die Sicherheit von Skype vertraut. Während sich Skype in der freien Wirtschaft auf immer mehr Visitenkarten etabliert, setzen die Behörden weiter auf traditionelle Telefonie. Und das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät vom Gebrauch der Software ab.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2010145)
