Frauenhofer ESK sieht in Skype ein Sicherheitsrisiko für Firmen
Wissenschaftler des Frauenhofer ESK haben den von Microsoft betriebenen Dienst Skype im Rahmen einer Studie überprüft und gaben nun bekannt, dass sie in Skype ein Sicherheitsrisiko für Firmen sehen.
Bild-Quelle: Skype
Wissenschaftler des Frauenhofer ESK führten eine Studie mit dem Thema „Einsatz von Skype im Unternehmen – Chancen und Risiken“ durch und präsentierten als Teil dieser ein interessantes Ergebnis. Die Wissenschaftler betrachteten in ihrer Studie die geänderte Skype-Architektur als Folge der Übernahme durch Microsoft. Im Ergebnis attestieren die ESK-Ingenieure dem Online-Kommunikationsdienst erhebliche Sicherheitsrisiken bei dessen Nutzung. Vor allem für den „Austausch geschäftskritischer Informationen“ raten die Wissenschaftler von der Skype-Nutzung ab.
Im Vergleich zu den Untersuchungen von 2013 haben sich die Forscher in der aktuellen Studie mit der geänderten Architektur nach der Übernahme durch Microsoft befasst. Skype ist zwar im Prinzip ein Peer-to-Peer-Netz, setzt aber auch weiterhin Super Nodes als Knotenpunkte ein. Diese nehmen die Anmeldungen der Benutzer entgegen und ermöglichen den Verbindungsaufbau zu anderen Nutzern, die gerade online sind. Vor der Übernahme durch Microsoft waren beliebige Rechner von Nutzern, die bestimmte technische Anforderungen erfüllten, diese Super Nodes. Jetzt werden alle Super Nodes im Rechenzentrum von Microsoft betrieben. Zur Begründung heißt es, so ließen sich Stabilität und Skalierbarkeit der Plattform verbessern. Mit diesen Superknoten hat Microsoft eine direkte Kontrolle über das Routing von Verbindungen zwischen den Nutzern, sodass für Microsoft ein Zugriff auf die Kommunikation ermöglicht wird.
Insgesamt ist eine neutrale, technisch-analytische Sicherheitsbewertung von Skype kaum möglich, weil es sich dabei um ein proprietäres und geschlossenes Kommunikationssystem handelt. Weder Quellcode noch eine tiefergehende Dokumentation zum System sind verfügbar. Zwar sind die genutzten Verschlüsselungsverfahren bekannt, allerdings ist die Schlüsselgenerierung nicht nachvollziehbar.
Die Studie kommt zu dem Ergebnis, dass Skype-Verbindungen durch die Verschlüsselung vor normalen Angreifern aus dem Internet relativ gut geschützt sind. Da aber Microsoft die Schlüssel vorliegen, ist die Kommunikation von berechtigten Dritten einsehbar. Deshalb lautet das Fazit der ESK-Ingenieure: „Für den Austausch sicherheitsrelevanter und geschäftskritischer Informationen wird Skype prinzipiell nicht empfohlen!“