|  |
Skype: Grenzenlose Kommunikation mit Gefahrenpotenzial
 Kostenlos und denkbar einfach überall mit Freunden und Geschäftspartnern auf der ganzen Welt kommunizieren – das sind die überzeugenden Vorteile von Skype. Seit der Anbieter im September 2005 vom größten Online-Auktionshaus eBay gekauft wurde, hat sich die Skype-Userzahl nahezu verdoppelt. Mehr als 100 Millionen Internetuser telefonieren mit der Voice-over-IP-Software der eBay-Tochter. Zunehmend werden allerdings gleichzeitig Nachrichten publik, die Skype als Gefahrenquelle ausmachen und davor warnen, dass sich die kostenlose Kommunikation übers Internet auf Kosten der Sicherheit auswirken kann.
Insbesondere Unternehmen sind auf ein Höchstmaß an Sicherheit angewiesen, das durch die Nutzung von Skype gefährdet wird. Nimmt man den Sicherheitsaspekt von Skype näher unter die Lupe, kommt man zu folgendem Ergebnis: Zum einen sind die Verbindungen selbst verschlüsselt und damit sicherer als zum Beispiel reine Festnetz-Telefonverbindungen. Zum anderen birgt die Installation und Nutzung von Skype zusätzliche Risiken.
Skype nutzt ein proprietäres Protokoll, welches AES (Advanced Encryption Standard) zur Verschlüsselung nutzt. Die symmetrischen AES-Keys werden mit RSA-Keys (1536 bis 2048 Bit) ausgehandelt. Die benutzten Verfahren sind State of the Art und werden im Allgemeinen als sicher angesehen. Skype betreibt innerhalb seines Netzwerkes eine Public Key Infrastruktur (PKI), die Austausch und Überprüfung der RSA-Keys erlaubt. Allerdings warnen Kryptografie-Experten, wie Phil Zimmermann, dass die in Skype eingebaute Verschlüsselung nicht sicher genug sei und Verbindungen mitgeschnitten und entschlüsselt werden könnten.
Unabhängig von der Sicherheit des Skype-Verkehrs kann aber jedes Skype-Telefonat durch Trojanische Pferde abgehört werden, die direkt auf dem Nutzerrechner installiert sind und die Audiodaten der Soundkarte abhören können. So entwickelt zum Beispiel das Sicherheits¬unternehmen ERA IT Solutions für das Schweizer Departement für Umwelt, Verkehr und Kommunikation (UVEK) eine Spionagesoftware, mit der sich Voice-over-IP-Verbindungen und damit auch Skype abhören lassen können.
Skype macht das eigene Netzwerk angreifbar
Ein zentraler Sicherheitsaspekt ist die Gefahr, über Skype-Verbindungen das eigene Netzwerk angreifbar zu machen. Philippe Biondi und Fabrice Desclaux vom EADS Corporate Research Center fassen ihre Untersuchung von Skype – eine der bisher umfassendsten in diesem Bereich – dahingehend zusammen, dass es auf Grund der fehlenden Transparenz der Funktionsweise (“total Blackbox”) grundsätzlich nicht mit der Sicherheitspolitik eines Netzwerkbetreibers vereinbar ist (veröffentlicht auf der BlackHat Europe Konferenz, März 2006). So können eventuell schon vorhandene oder zukünftige Backdoors nicht erkannt werden. Das Netzwerk ist gegen Angriffe ungeschützt, da die Angriffe über Skype grundsätzlich “versteckt” sind. Weiterhin wird Traffic erzeugt, der nicht einfach überwacht werden kann.
Jeder Nutzer von Skype muss automatisch nicht nur den anderen Nutzern, sondern auch jeglichen Knoten, die für die Verbindungen genutzt werden, blind vertrauen. Auch wenn die Entwickler von Skype alles daransetzen, eventuelle Sicherheitslücken zu schließen, treten wie bei allen Softwareentwicklungen derartige Lücken immer wieder auf. Da eine Skype-Verbindung quasi einen Tunnel durch die Firewall eines Netzwerkes aufbaut, ist die Gefahr, dass Dritte über eine solche Verbindung unberechtigt eindringen, gegeben. Und anders als bei reinen Telefonverbindungen ist damit der Zugriff auf sämtliche Daten im Netzwerk, die Einschleusung von Trojanern und Spyware oder die Verseuchung mit einem Virus möglich.
Verschleierung des Datenverkehrs und Firewall-Penetration
Skype lebt von möglichst vielen aktiven Nutzern. Um die Konnektivität des eigenen Programms zu verbessern und um zu verhindern, dass Skypeverkehr extern blockiert werden kann, hat Skype sehr viel Aufwand in die Verschleierung des eigenen Verkehrs investiert. Wird eine Skype-Verbindungs-Methode unterbunden, greift das Programm auf eine Vielzahl von Fallbackmechanismen zurück, welche systematisch durchprobiert werden (so kann sich Skype z.B. als Webverkehr tarnen).
Ein Mechanismus zur Firewall-Penetration ist das UDP Hole Punching. Dazu wird mit Hilfe eines externen Rechners eine direkte UDP-Verbindung zwischen zwei Computern aufgebaut, welche sich beide hinter einer Firewall befinden und theoretisch nicht miteinander kommunizieren könnten. Dies macht es sehr schwer, Skype z.B. in Firmennetzen zu blockieren. Durch die Möglichkeit, Dateien über Skype zu übertragen, ist Skype die perfekte Methode, um unerkannt Daten aus abgesicherten Bereichen zu schmuggeln.
Skype beeinträchtigt Intrusion Detection Systeme (IDS)
Skype baut sehr viele Internetverbindungen auf, welche von IDS nicht eindeutig zugeordnet werden können, und führt gleichzeitig zu einer erhöhten Rate von fehlerhaften Sicherheitsalarmen. Dies zieht einerseits das Risiko nach sich, dass wichtige Alarme zwischen Fehlalarmen übersehen werden. Andererseits würden zu lockerere Sicherheitseinstellungen für IDS ein größereres Risiko darstellen, da tatsächliche Angriffe nicht erkannt werden.
Community-Netzwerk oder parasitäres Verhalten?
Jedes aktive Skype-Programm verbindet sich sofort mit dem Skype-Netzwerk, indem es einzelne Verbindungen zu anderen Skype-Programmen aufbaut. Über diese Verbindungen wird bekannt gemacht, wie der entsprechende Teilnehmer erreichbar ist. Skype nutzt dieses so entstandene Peer-to-Peer-Netzwerk nicht nur zur Signalisierung, sondern auch zur Suche nach anderen Teilnehmern und zur Verwaltung der eigenen Public Key-Infrastruktur. Ein Skype-Programm kann zur Relaisstation für andere Nutzer werden, indem es Telefongespräche zwischen beiden Nutzern weiterleitet, wenn diese sich nicht direkt erreichen können. Hat ein Nutzer eine besonders gute und stabile Verbindung zum Internet, so ist es möglich, dass sein Programm zum Supernode wird und damit als Einwahlknoten für Skype fungiert, was mit deutlich höherer Belastung seines Netzwerkes (mehrere Gbyte/Tag) verbunden ist. Es besteht keine Möglichkeit, durch Konfigurationseinstellungen diesen Vorgang zu verhindern.
Skype in den Griff bekommen
Um die Kontrolle über Skype zu gewinnen, gibt es verschiedene Möglichkeiten. Eine sehr aufwändige Methode ist es, extrem restriktive Netzwerkeinstellungen und Überwachungen aller Installationen im eigenen Netzwerk vorzunehmen.
Die bessere Möglichkeit ist, Skype am Internetgateway zu sperren. Dazu eignen sich Internet-Traffic-Management Lösungen wie die von ipoque. Diese Lösungen nutzen Deep Packet Inspection, um Skype trotz seiner Verschleierungsstrategien zu erkennen. Da Skype häufig sein Netzwerkverhalten ändert, ist es insbesondere für Unternehmen etc. sehr wichtig, schnell auf Signaturupdates zugreifen zu können, sobald eine neue Skypeversion veröffentlicht wurde. ipoque reagiert hier in der Regel innerhalb weniger Tage und gewährleistet somit die Kontrolle von unerwünschten und bedrohlichen Anwendungen.
01/2007, Hendrik Schulze
Kommentare zu diesem Beitrag | | |
Weitere Beiträge zu diesem Thema | | |
|  | | Die IP-Telefonie (VoIP) bietet Unternehmen völlig neue Möglichkeiten zur kostengünstigen Kommunikation. Die Integration von Daten- und Sprachnachrichten in einem gemeinsamen Kanal birgt aber auch eine ganze Reihe von Risiken. Dabei trifft man ... | |  | | Network Access Control (NAC) ist eine wichtige Netzwerksicherheitstechnologie, die Unternehmen vor Malware wie Netzwerkwürmern oder sich selbst verbreitenden Bedrohungen schützt, unkontrollierten Zugriff durch verkabelte LANs oder gefälschte ... | |  | | Laut einem heute von Berlecon Research und Fraunhofer ESK vorgestellten Report sprechen die viel diskutierten Risiken von Skype nicht gegen eine Nutzung im Unternehmen. Die Analysten empfehlen aber die Aufstellung klarer Regeln für den kontrollierten ... | |  | | 3. ubitexx Smartphone und PDA Security Studie: Bedeutung einheitlicher Security Policies stagniert - nur 10 Prozent der Unternehmen regeln Benutzerrechte per Software ... | |  | | Für viele Unternehmen, insbesondere für KMUs, steht "Basel II" synonym für eine restriktivere Kreditvergabe der Banken und höhere Kreditkosten. In diesem Artikel zeigen wir, dass die in Basel II vorgesehene individuelle Risikobewertung ... | |
Beiträge aus anderen Themenbereichen | | |
|  | | Um auf die Anforderungen des Marktes schneller und flexibler reagieren zu können, hat die Volkswagen Zubehör GmbH ihr Finanzreporting einer radikalen Frischzellenkur unterzogen... | |  | | Am 12. Oktober 2010 dreht sich auf dem Kongress der VOICE Days plus alles um aktuelle Strategien für die erfolgreiche Gestaltung der Kundeninteraktion. Interview mit Nils Müller, CEO & Founder TrendONE und Keynote-Speaker... | |  | | Gerade in kleineren und mittelständischen Unternehmen wird oft aus Zeit- und Budgetgründen die Optimierung der eigenen Website für Suchmaschinen vernachlässigt... | |
| | | |
