Skype – der Albtraum für IT-Administratoren?

Spotlight von unserem Kooperationspartner Fraunhofer ESK.

Software für internetbasierte Telefonie – Voice over IP – (VoIP) gibt es seit 1995. Die neue Technologie war damals innovativ, jedoch nicht massentauglich. Ein paar Jahre später suchten die KaZaA-Entwickler Niklas Zennström und Janus Friis eine neue Herausforderung für ihre Peer-to-Peer (P2P)-Technologie und fanden diese im VoIP-Bereich. Die Verbindung der P2P-Technologie mit VoIP im Produkt Skype stellte den klassischen Telefonie-Markt auf den Kopf. Mit Skype wurde VoIP einfach und das kostenlose Telefonieren über das Internet zum Massenphänomen.

Dank der innovativen Technik und der intuitiven Benutzeroberfläche konnte sich Skype in den vergangenen zwei Jahren rasant verbreiten und hat über die privaten Anwender - besonders über die junge Generation von Arbeitnehmern - den Weg in die Unternehmen gefunden.

Die Vorteile aus Anwendersicht sind offensichtlich. Die Internet-Telefonie-Software Skype bietet unter einer Oberfläche alle gängigen Kommunikationstechniken wie Telefonie, Instant Messaging, Videotelefonie, und File-Sharing. Installation und Benutzung sind intuitiv und einfach, das Lesen einer Bedienungsanleitung unnötig. Skype funktioniert auf Anhieb und macht Spaß.

Zudem kann das viel beschworene Konzept der Unified Communication (s. auch Berlecon-Spotlight vom 25.01.2007) mit Skype unkompliziert umgesetzt werden. So lässt sich mit der Office Toolbar Skype direkt in Office-Programme einbinden. Bei Bedarf ist es also möglich, direkt aus Anwendungen wie Outlook, Word, Excel oder PowerPoint heraus Skype-Kommunikationsfunktionalitäten zu nutzen, z.B. ein VoIP-Telefonat zu initiieren, Presence-Informationen anzuzeigen oder Instant Messages und Daten auszutauschen.

Für viele Arbeitnehmer ist Skype aber noch aus einem weiteren Grund attraktiv: Skype bietet Mitarbeitern die Möglichkeit, sich Vorschriften und bürokratischen Abläufen zu entziehen, die sie für ihre Arbeit als hinderlich empfinden. So sind in vielen Unternehmen Videokonferenzen nicht mal schnell ad-hoc durchführbar. Da muss der Konferenzraum mit der Videotelefonie-Anlage schon Tage vorher gebucht werden. Mit Skype kann eine Videokonferenz sofort geschaltet werden, ohne große Planung und technischen Aufwand. Muss während des Gesprächs ein weiterer Gesprächspartner zur Telefonkonferenz hinzu gezogen werden, zeigt die Presence-Anzeige sofort, ob dieser auch verfügbar ist. Per Instant Messaging können parallel Informationen von weiteren Mitarbeitern kurzfristig eingeholt werden.

In Unternehmen, in denen Auslandstelefonate vorab genehmigt werden müssen, können Mitarbeiter bürokratische Genehmigungsprozesse oder schlecht gelaunte Chefs mit Skype einfach umgehen. Über Skype wird die grenzüberschreitende Kommunikation initiiert und das Gespräch ist innerhalb des Skype-Netzes obendrein kostenlos.

Das Versenden der letzten Präsentation scheitert an lächerlichen E-Mail-Quotas? Das Skype-Transfervolumen und die versendbaren Dateiformate unterliegen keinerlei Beschränkungen.

Der Umgang von Skype mit Firewalls und NAT (Network Adress Translation) ist allerdings der Albtraum jedes Netzwerk-Administrators. Denn um möglichst direkt Pakete mit dem Kommunikationspartner austauschen zu können, wird die Firewall von innen nach außen durchtunnelt. Über diesen Tunnel gelangen Daten dann durch die Firewalls in die zu sichernden Netzwerke, obwohl diese eigentlich keine Pakete von außen durchlassen sollten. Die Firewall wird Makulatur.

Nach der Installation – für die keinerlei Admin-Rechte erforderlich sind und die sich somit völlig der Kontrolle durch die IT-Adminstration entzieht - sucht sich Skype selbst den Weg ins Internet. Existiert also eine Lücke in der Firewall, beispielsweise durch die offenen HTTP- und HTTPS-Ports, dann nutzt Skype diese. Skype verwendet keine festen Portnummern oder dedizierte Server und die Kommunikation läuft komplett verschlüsselt ab. Die Verschlüsselung macht die Kommunikation zwar sicherer, aber für die IT-Administration auch unkontrollierbar. So ist das Sperren und Erkennen von Skype-Datenverkehr nahezu unmöglich, die Möglichkeit der Kontrolle des Datenstromes an Proxy oder Firewall besteht praktisch nicht.

Viele verfügbare P2P-Programme bedienen sich der gleichen Technik oder ähnlichen Verfahren zur Überwindung von Firewalls wie Skype. Damit wird das bisher gut abgesicherte Firmennetzwerk wieder Bestandteil des weltweiten Netzes.

Die Befürchtung, dass die Tunnelung der Firewall die IT-Infrastruktur angreifbar macht, ist durchaus berechtigt. Dass die Endsysteme verwundbarer werden und der Schutz durch Firewalls abnimmt, ist jedoch ein allgemeiner Trend, dem sich Unternehmen ohnehin stellen müssen. Zudem sprechen die aufgezeigten Risiken nicht generell gegen einen Einsatz von Skype, sondern für das Aufstellen und die Umsetzung klar definierter Nutzungsregeln. Anstatt Skype zu verbieten, sollten Unternehmen also eine Skype-Policy und Regeln für den Umgang mit Skype festlegen. Empfehlungen dafür geben Fraunhofer ESK und Berlecon Research in ihrem gerade gemeinsam veröffentlichten Report Skype im Unternehmenseinsatz – Chancen, Risiken und Policy-Empfehlungen.

Vor allem sollten Unternehmen ihre Mitarbeiter mit an Bord nehmen, indem sie diese über die Sicherheitsrisiken von Skype informieren. Denn nur wenn die Mitarbeiter die Risiken von Skype kennen, können sie damit auch angemessen umgehen. Und sie können nachvollziehen, warum der IT-Verantwortliche oder IT-Sicherheitsbeauftragte über den Einsatz von Skype informiert werden sollte, um die Voraussetzungen für eine Nutzung prüfen zu können. Dann können Unternehmen von den Vorteilen von Skype profitieren, ohne die Sicherheit ihrer IT aufs Spiel zu setzen.


Anne-Kathrin Lange (anne-kathrin.lange@esk.fraunhofer.de)