Experten: Skype birgt Sicherheitsrisiken für Firmen
Das Fraunhofer-Institut für Eingebettete Systeme und Kommunkationstechnik (Fraunhofer ESK) kritisiert, dass Microsoft bei dem grundsätzlich als Peer-to-Peer-Netz angelegten Dienst über die sogannten Supder Nodes mitlesen kann. Außerdem bemängeln die Forscher die Qualität der Übersetzungsfunktion.
Skype birgt immer noch erhebliche Sicherheitsrisiken. Firmen rät das Fraunhofer-Institut für Eingebettete Systeme und Kommunkationstechnik (Fraunhofer ESK) daher, für den Austausch vertraulicher Dokumente und Informationen andere Werkzeuge zu verwenden. Die Empfehlung basiert auf der zuvor durchgeführten Untersuchung “Einsatz von Skype im Unternehmen – Chancen und Risiken“. Dabei handelt es sich bereits um die zweite kritische Auseinandersetzung der Fraunhofer-Experten mit dem Kommunikationsdienst. Die erste erfolgte 2013 undkam zu ähnlichne Ergebnissen.
In der aktuellen Ausgabe eseiner Studie beleuchten die Wissenschaftler insbesondere die infolge der Übernahme durch Microsoft modifizierte Skype-Architektur und neu hinzugekommene Funktionen, darunter den Skype Translator. Skype ist demnach zwar im Prinzip ein Peer-to-Peer-Netz, greift aber weiterhin auf sogennante Super Nodes als Knotenpunkte zurück. Diese dienen dazu, die Anmeldung der Nutzer entgegenzunehmen und ermöglichen es, den Präsenzstatus anderer Nutzer anzuzeigen und eine Verbindung zu ihnen aufzubauen.
Bevor Microsoft Skype übernommen hat, waren Rechner von Nutzern, die bestimmte technische Anforderungen erfüllten, diese Super Nodes. Jetzt sind alle Super Nodes in Rechenzentren von Microsoft angesiedelt. Der Anbieter begründet dies mit höherer Stabilität und besserer Skalierbarkeit der Plattform.
Mit diesen Superknoten bekommt Microsoft laut Fraunhofer ESK aber zugleich die direkte Kontrolle über das Routing von Verbindungen zwischen Nutzern und damit auch Zugriff auf die Kommunkation. Eine neutrale, technisch-analytische Sicherheitsbewertung von Skype sei allerdings kaum möglich, räumen die Forscher ein, da es sich um ein proprietäres und geschlossenes Kommunikationssystem handelt, für das weder Quellcode noch eine tiefergehende Dokumentation vorliegen. Auch seien zwar die genutzten Verschlüsselungsverfahren bekannt, die Schlüsselgenerierung sei aber nicht nachvollziehbar.
Skype-Verbindungen sind der Studie zufolge durch die Verschlüsselung vor “normalen Angreifern” aus dem Internet verhältnismäßig gut geschützt sind. Da jedoch Microsoft die Schlüssel vorliegen, ist die Kommunikation von “berechtigten Dritten” einsehbar. Das Fazit der ESK-Ingenieure lauten daher: “Für den Austausch sicherheitsrelevanter und geschäftskritischer Informationen wird Skype prinzipiell nicht empfohlen!”
Den Übersetzungsdienst Skype Translator, der Audio- und Videotelefonate in jeweils beide Richtungen zwischen Deutsch, Englisch, Französisch, Italienisch, Mandarin und Spanisch übersetzt, erweist sich dem Fraunhofer ESK zufolge lediglich “für kurze Sätze als brauchbar”. Längere Sätze würden jedoch in Fragmenten übersetzt, die zwar vom Sinn her passten, grammatikalisch jedoch überhaupt nicht harmonierten. Diese Bewertung trifft wohl zu, ist aber nicht ganz fair, da Microsoft selbst bereits erklärt hat, dass der Dienst erst mit zunehmnder Nutzung besser wird und komplexere Strukturen übersetzen kann.
In einer weiteren Kurzstudie geben die ESK-Forscher auch eine Einschätzung zu Skype for Business (früher Lync) ab. Microsofts Kommunikationslösung für Unternehmen umfasst Audio- und Videokommunikation, Instant Messaging (IM), Präsenzanzeige, Konferenzen sowie eine Amtsanbindung per ISDN und VoIP über entsprechende Gateways. Ihr bescheinigt das Fraunhofer-Institut, für den Einsatz im Unternehmen durchaus geeignet zu sein. Allerdings empfiehlt es Firmen, die ihre TK-Anlage ersetzen wollen, genau zu prüfen, ob Skype for Business die gewünschten Funktionen tatsächlich bietet.
[mit Material von Björn Greif, ZDNet.de]
Tipp: Was wissen sie über Microsoft? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.