print logo

Skype: Vertrauen ist gut – Wachsamkeit ist besser

Die Windows-Version der Telefonie-Software Skype soll die BIOS-Daten des Rechners auslesen können: Hardwaredaten, BIOS-Version, Seriennummer und mehr
Berlecon Research GmbH | 01.03.2007

Anfang des Monats versetzte eine Meldung zu Skype die VoIP-Community in helle Aufregung: Die Windows-Version der Telefonie-Software Skype soll die BIOS-Daten des Rechners auslesen, die neben den Hardwaredaten und der BIOS-Version auch die Seriennummer des Motherboards enthalten. Es stand die Frage im Raum, wozu die Skype-Software diese Daten verwendet. Skype hat sich jedoch schnell zu den Vorwürfen geäußert und erklärt, dass die neue Version 3.0.0.216 das Problem nicht mehr enthalte. Skype Sicherheitschef Kurt Sauer schiebt die Schuld der Firma EasyBits Software zu, die für Skype einen Plug-In-Manager in Lizenz zur Verfügung stellt, und der anscheinend nicht ausreichend geprüft in den Skype-Client integriert wurde.

Das Auslesen und Verwerten von BIOS-Daten durch Software ist allerdings auch bei anderen Herstellern gängige Praxis, besonders dann, wenn Hardwarevoraussetzungen überprüft oder eindeutige Lizenzschlüssel generiert werden sollen. Aber wer kann wirklich genau sagen, wofür Windows XP oder Vista die BIOS-Daten verwendet? Die unverhältnismäßig heftige Reaktion auf diese Meldung in Foren und Blogs zeigt, wie groß das Misstrauen gegenüber dem Skype-Hersteller nach wie vor ist. Besonders wenn es um das mögliche Ausspähen und Verwerten von privaten Daten geht, verstehen die Anwender keinen Spaß.

Die Entwickler von Skype standen seit dem ersten Download in der Kritik. Gerade die kostenlose und nicht durch Werbung subventionierte Nutzung des Skype-Clients warf die Frage nach dem Finanzierungsmodell auf und schürte Misstrauen. Die fehlende Transparenz und der geheimnisvoll verschlüsselte Code bieten immer wieder Anlass zu Spekulationen über die Sicherheit der Kommunikation und den Schutz der Benutzerdaten. Denn letztendlich definiert sich IT-Sicherheit auch über das Vertrauen in die Software-Anbieter. Die Anwender müssen sich darauf verlassen können, dass der Hersteller seine privilegierte Stellung nicht missbraucht. Dass eBay als Skype-Besitzer und milliardenschweres Unternehmen ein solches existenzgefährdendes Geschäftsrisiko eingeht und Benutzerdaten preisgibt, ist nicht vorstellbar. Es besteht jedoch die Gefahr, dass Sicherheitslücken aufgrund der fehlenden Offenlegung des Codes auch dem Hersteller verborgen bleiben.

Wie der Berlecon-Report Skype im Unternehmenseinsatz -- Chancen, Risiken und Policy-Empfehlungen zeigt, müssen Unternehmen die Chancen und Risiken einer Skype-Nutzung daher gut abwägen. Ein wichtiger Punkt ist dabei beispielsweise die Bereitstellung firmeneigener Computer- und Netzwerkressourcen für die Skype-Community - als Super Node oder Relay. Ohne Super Nodes und Relays würde die Internettelefonie mit Skype nicht funktionieren, zumindest nicht kostenlos und unabhängig vom Aufenthaltsort des Nutzers oder hinter Firewalls. Egal wo sich der Skype-User gerade befindet, ob in Berlin oder San Francisco, er kann am Computer im Internetcafe, bei Freunden oder Geschäftspartnern über Skype kommunizieren, vorausgesetzt ein Skype-Client ist installiert. Nach der Anmeldung lädt der fremde Skype-Client die persönliche Kontaktliste, sowie das Profil des Skype-Users und verbreitet dessen "online"-Status über das Skype-Netzwerk.

Die Profile und Kontaktlisten von 171 Millionen registrierten Skype-Nutzern vorzuhalten bzw. weltweit zu verteilen erfordert jedoch enorme Speicherkapazitäten und Rechenleistung. Wie in allen Peer-to-Peer(P2P)-Netzwerken gibt es bei Skype keinen zentralen Verzeichnisdienst, der die Benutzerdaten verwaltet. Stattdessen werden die Daten über viele Computer, die so genannten Super Nodes, verteilt und auf diesen gespeichert. Für dieses riesige Netzwerk an verteilten Super Nodes stellt die Firma Skype keine eigenen Server zur Verfügung. Sie verwendet dafür die Rechenleistung, Speicherkapazität und den Internetanschluss der Skype-User. Die Erlaubnis dazu holt sich Skype ganz legal über den Endbenutzer-Lizenzvertrag.

Es ist vielleicht nicht jedem Anwender bewusst, aber die Registrierung als Skype-Nutzer und die Installation der Software wird mit der Bereitstellung der Ressourcen des eigenen Computers bzw. Firmenrechners für die Skype-Community erkauft. Besitzt der als Skype-Client verwendete Rechner die richtigen Voraussetzungen - lange Online-Zeiten, hohe Bandbreite, eine öffentliche IP-Adresse, reichlich Rechenpower und Arbeitsspeicher - kann dieser zu einem Super Node mutieren und damit zu einer Vermittlungszentrale für Adressbücher, Presence-Informationen und der Kommunikationsstreams der Skype-User werden.

Die gute Nachricht ist: ab Version 3.0 des Skype-Clients kann diese Funktionalität über Registry-Keys ausgeschaltet werden. Unternehmen sollten von dieser Funktionalität unbedingt Gebrauch machen. Insbesondere auf Rechnern, deren Verfügbarkeit garantiert werden muss, sollte die Funktionalität als Super Node oder Relay bei der Installation des Skype-Client ausgeschaltet werden. Voraussetzung dafür ist jedoch, dass Mitarbeiter Skype nicht unkontrolliert ins Unternehmen einführen.

Bleibt noch die Frage nach dem Schutz der Benutzerdaten auf den privaten Super Nodes. Kann Skype wirklich die Sicherheit der auf fremden Rechnern gespeicherten und aus Gründen der Sicherheit verschlüsselten Informationen wie Adresslisten, Profile und Presence-Informationen garantieren? Was ist, wenn sich wieder durch die Integration von Drittprogrammen unbemerkt Sicherheitslöcher öffnen oder diese Programme private Daten ausspähen?

Deshalb sollte Skype in Bereichen, in denen mit Geheiminformationen gearbeitet wird, nicht eingesetzt werden. Das bedeutet jedoch nicht, dass die Nutzung von Skype in Unternehmen generell ausgeschlossen werden sollte. Der Einsatz muss jedoch unter Beachtung klar definierter Regeln erfolgen. Dazu gehört auch, dass Mitarbeiter über die Risiken von Skype informiert und für den Umgang mit unternehmenskritischen Daten sensibilisiert werden. Denn IT-Sicherheit entsteht nur zum Teil durch technische Schutzmaßnahmen wie Firewalls und Anti-Viren-Software. Ein mindestens ebenso wichtiger Faktor ist ein gesundes Maß an Misstrauen und Wachsamkeit gegenüber der Software, die auf den eigenen Systemen läuft. Letztlich sind wachsame Mitarbeiter die beste Firewall eines Unternehmens.

Anne-Kathrin Lange (anne-kathrin.lange@esk.fraunhofer.de)