Skype und die Überwachungsdiskussion

Momentan werden die Überwachungsmöglichkeiten von Skype diskutiert. Ausgangspunkt waren der Umzug von Verbindungsservern in Rechenzentren von Skype Eigentümer Microsoft und ein Artikel der Washington Post. Letzterer beruft sich auf Insider die über strukturelle Veränderungen und eine bessere Zusammenarbeit mit staatlichen Stellen berichten. Skype weist die Vorwürfe zurück – allerdings findet sich keine explizite Aussage welche Überwachungsmöglichkeiten bestehen und welche nicht. Jedenfalls betont Skype, dass sie durch die Serverumzüge nicht weiter ausgebaut worden wären. Behörden würde man Auskünfte innerhalb des gesetzlichen Rahmens erteilen, sofern Skype die Daten liefern könne. Nun stellt sich die Frage, wie die Überwachungssituation bei Skype wirklich aussieht. Eine Frage die nicht leicht zu beantworten ist.

Die technische Seite

Skype brüstete sich in der Vergangenheit immer wieder damit, das sie einer Überwachungsanordnung seitens der Polizei nicht entsprechen können. Mittlerweile äußern sie sich dazu nur noch ausweichend. Das Statement zu Überwachungsfragen lautet:

Our position has always been that when a law enforcement entity follows the appropriate procedures, we respond where legally required and technically feasible.

Technisch umsetzbar ist das Abhören von Voice- und Video-Calls bereits mit der vorhanden Infrastruktur. Der Richter Ulf Buermeyer beschreibt in seinem Blog die Möglichkeit über die in die Software integrierten Funktionen vom „normalen“ Telefonnetz eingehende Anrufe zu empfangen (Skype-In) und in dieses zu telefonieren (Skype-Out) die Gespräche über Skype Server umleiten zu können. Dem anrufenden Skype-Clienten könnte so ein das Skype-Netz verlassendes Gespräch vorgegaukelt werden, dem angerufenen ein Anruf aus dem normalen Telefonnetz. Gespräche die das Skype-Netz verlassen müssen immer über Skype-Server laufen, auf welchen sie unverschlüsselt vorliegen. Skype kann so über die bereits vorhandene Infrastruktur einen Man-in-the-Middle-Angriff realisieren und die Ende-zu-Ende Verschlüsselung der Skype-Clienten aufheben.

Alternativ dazu könnten natürlich auch direkt in der Skype-Software Abhörmechanismen eingebaut werden. Ob und wie Überwachungsmechanismen umgesetzt wurden, lässt sich allerdings nicht nachvollziehen, da es sich um proprietäre Software handelt deren Source-Code man nicht einsehen kann. Technisch ist das Abhören von Skypegesprächen seitens Skype jedenfalls kein Problem – offen bleibt ob es auch gemacht wird – schauen wir uns die Aussagen und Gegebenheiten an.

Niemand hat die Absicht, Skype Gespräche abzuhören!

In den Skype AGBs stimmt man als Skype-Nutzer der Offenlegung von Informationen im Rechtsrahmen zu:

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Zu Chat-Nachrichten findet sich ebenfalls ein Absatz, der Skype erlaubt die Chat-Daten 30 Tage auf ihren Servern zu speichern:

Skype kann die Inhalte Ihrer Sofortnachrichten (Chats) speichern, um (a) Ihre Nachrichten zu übermitteln und zu synchronisieren und (b) Ihnen sofern möglich den Abruf Ihres Chat-Protokolls zu ermöglichen. Die Sofortnachrichten werden höchstens 30 Tage lang aufbewahrt, wenn gesetzlich nichts anderes festgelegt ist.

2007 äußerte Chief Security Officer Kurt Sauer auf zdnet.de auf die Frage ob Skype-Telefonate abgehört werden können:

Wir antworten auf diese Frage: Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werden Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.

Betrachtet man, was bisher im Bereich-Skype-Überwachung bekannt wurde scheint das Vorhandensein eine Überwachungsmöglichkeit mehr als wahrscheinlich.

  • TOM-Skype, die chinesische Skype-Version, filtert und blockiert Textnachrichten und gibt diese an chinesische Behörden weiter. Dem Dienst vertrauten auch viele Bürgerrechtler die auf sichere Kommunikationsmöglichkeiten besonders angewiesen sind. Betroffen davon sind aber auch Nutzer in anderen Ländern, wenn sie mit einem TOM-Skype-Nutzer in China kommunizieren.
  • Mitte 2008 fand ein Treffen zwischen dem österreichischen Innenministerium und Providern statt. Laut ORF-Bericht wurde dort die Voll-Überwachung einzelner Internetanschlüsse diskutiert. Auf der anschließeneden Auskunftsveranstaltung sei zu erfahren gewesen, „dass die Überwachung von verschlüsselten Telefonaten via Skype zwar nicht ganz trivial sei, aber kein wirkliches Problem mehr darstelle.“ Kurz zuvor sei die Skype-Verschlüsselung noch eines der Argumente zur Notwendigkeit des Bundestrojaners gewesen.
  • In einer Pressemitteilung von Anfang 2009 warf die europäische Behörde zur Koordinierung grenzüberschreitender Strafermittlung Eurojust Skype vor, das Abhören von Skype-Telefonaten durch Verschlüsselung zu verhindern. Sie korrigierte sich jedoch: Es gäbe bereits seit 2006 Treffen und eine Kooperation mit Skype. Skype habe in der Mitteilung nur als Beispiel für VoIP gedient.
  • Der Anwalt Udo Vetter bloggte 2010 von einem Rechtsstreit, in dem ein Ermittlungsbeamter aussagte,

    Seine Behörde könne Skype – auch Gespräche von Skype zu Skype – heute genauso abhören wie das normale Telefon. Wie, wollte er allerdings nicht verraten. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.

  • Seit 2010 betreibt Skype zentrale Netzwerkknoten (Supernodes). Diese dienen als Kommunikationsvermittler, können aber auch Kommunikationsverbindungen über sich routen, um eine Verbindung zu ermöglichen, die Peer-to-Peer nicht zustande kommen kann. Auf der anderen Seite wurde hierdurch aber auch die Infrastruktur geschaffen um Kommunikation abzuhören.
  • Mitte 2011, kurz nach dem Kauf Skypes, wurde Microsoft ein Patent zugesprochen, dass das Abhören von VoIP beschreibt. Microsoft besitzt also ein Patent um Skype abzuhören…
  • Erst kürzlich wurde bekannt, dass Microsoft die von Nutzern hochgeladenen Daten auf Skydrive auf Verstöße gegen die AGB scannt und bei einem Verstoß den kompletten Windows Live Zugang sperrt.

Weitere Bedrohungen

  • In mehreren Ländern wird die Forderung oder Einführung von Staatstrojanern mit Skype begründet. Die Trojaner werden auf dem Zielrechner installiert und fangen die Kommunikation noch vor der Verschlüsselung bzw. nach der Entschlüsselung ab und leiten sie an die Überwacher weiter. Letztlich handelt es sich um eine spezielle Art der Online-Durchsuchung.
  • Das Europäische Institut für Telekommunikationsnormen (ETSI) standardisiert die Überwachung von Telekommunikation. Gerade ist man dabei Standards für die Cloud und Web2.0 Dienste auszuarbeiten. Darunter fallen neben sozialen Netzwerken, auch Chat und VoIP – also auch Skype. Die Polizei soll sowohl live auf die Inhaltsdaten zugreifen, als auch die Vorratsdaten der Kommunikation abrufen können. Um dies zu gewährleisten sollen die Anbieter gezwungen werden Hintertüren einzubauen. Außerdem soll die SSL-Verschlüsselung mit Man-in-the-Middle-Angriffen ausgesetzt werden – wir berichteten.

Fazit

Einen definitven Beweis für eine Abhörschnittstelle gibt es nicht, aber einige Informationen die stutzig machen. Da der Code Closed-Source ist kann nichts überprüft werden und man ist darauf angewiesen, dem Lavieren seitens Skype zu vertrauen.

Gerade unter Regimekritikerinnen hat Skype einen guten Ruf in Sachen Sicherheit. Die momentane Informationslage lässt den Sicherheits-Status von Skype allerdings anzweifeln. Insbesondere Regimekritiker sollten auf freie Software mit freien Implementierungen von Verschlüsselungsstandards setzen (zum Chatten beispielsweise Jabber mit OTR-Encryption) – alle anderen aber natürlich auch…

28 Ergänzungen

  1. … die Sicherheit von Skype nur anzuzweifeln scheint mir sehr zurückhaltend formuliert – man muss wohl davon ausgehen, dass alle Skype-Gespräche abgehört werden können. Vielleicht noch nicht von der Kripo Bad Kaffingen, aber sicherlich von etwas größeren und vor allem von geheimeren Agencies.

    Eine Lösung könnte hier Mumble sein:

    http://mumble.sourceforge.net/

    Das ist komplett Open Source, und man kann die Server selbst betreiben oder einen Server von jmd. nutzen, dem man vertraut. Nicht umsonst erfreut sich Mumble ja großer Beliebtheit u.a. bei den Piraten.

  2. Seit der Laden von Microsoft übernommen wurde was diese Entwicklung eigentlich klar , denn gerade MS ist darin schon immer sehr Patriotisch unf Gesetzestreu.
    Zudem TK Anbieter sind dazu verpflichtet die Gesetze einzuhalten , die TKÜ gibts schon länger welche vorschreibt Abhörmaßnahmen zu installieren und ist gesetzlich verpflichtend.
    Schaut einmal nach was dort drinnen steht dann erübrigt sich die Disskusion.

  3. Alle Software bei welcher der Quellcode nicht offenliegt ist als nicht sicher einzustufen da dort niemand weis was diese Software tut. Skype ist keine Freie Software und somit ganz automatisch potentiell unsicher, damit hat sich die Diskussion für mich bereits erledigt.

  4. wenn ich das richtig verstehe, kann man dann nicht mit dem bundestrojaner auch beim jabber mitlesen?

    1. Natürlich kann man mit einem Bundestrojaner im Prinzip auch bei Jabber ect. mitlesen, das ist aber eine ganz andere Geschichte.
      Hier geht es ja um spezielle Server Schnittstellen extra für Überwachungs Dienste vom Software Hersteller und weniger um Spionageprogramme auf dem heimischen Rechner.

    2. Ich glaube nicht, dass jeder so wichtig ist als das er gleich einen Bundestrojaner zugeschickt bekommt. Aber wenn man jetzt mal die ganzen Berichte zusammen nimmt, macht es eher den Eindruck, dass eher Dein Endgerät mit Nummer, notwendiger Software (Betriebssystem, Browser, …) und Anmeldung beim Telefonanbieter relevant ist…sofern Du es alleine nutzt. Bei Smartphones ist das ja meist so…ist ja irgendwie schon personengebunden.

    3. Es wird sicher der Tag kommen an dem Rootkits in Windows , MacOS oder anderen geschlossenen Systemen wie ein Tablet , Smart-TV integriert werden müssen, oder belebig per System Update auf staatlicher Anweisung vom Hersteller aufgespielt werden muss.
      Dies würde den rechtsstaatlichen „Schnüfflern“ viel Arbeit ersparen und das zwielichtige Bug Geschäft um Staatliche Trojaner und zudem deren Enttarnung Austrocknen.

  5. Goodbye Skype!

    Es gibt genug Alternativen.
    Ich möchte nicht zweifeln.
    Vielleicht hört ihr ab und schick meine Gespräche an Andere – vielleicht nicht. Darauf kann ich mich nicht verlassen. Also weg mit euch.

    Es ekelt mich einfach nur noch an. Bei jeder meiner Tätigkeit muss ich befürchten überwacht, gescannt, katerorigisiert, gespeichert, ausgewertet oder sogar verfolgt zu werden. Selbst wenn ich mich vollkommen legal verhalte. Was ist das für ein Staat der so etwas seinen Bürgern antut? Ist denen nicht klar was das in Menschen auslöst? Wahrscheinlich schon! Wahrscheinlich ist genau dieses Gefühl der permanten Angreifbarkeit erwünscht – schrecklich!

    Ganz, ganz abartig!

    Es ist dringend notwendig Menschen in Parlamente zu wählen die diesem Irrsinn ein Ende setzen!

    PS: Ich weiss, dass mein Beitrag wenig mit dem eigentlichen Thema zu tun hat aber ich lese schon zu lange Berichte über die kranken und realen Überwachungsphantasien von Konzernen und Regierungen und es kotzt mich einfach nur noch an – sry.

    1. Ach Mr. X, Sie verwenden wohl kein gewöhnliches Handy, Festnetz, Fax und dergleichen, oder nehmen Sie etwa an dass diese nicht abgehört werden?

  6. Vor ca. einem Jahr habe ich ein Jobangebot einer kleinen Leipziger Firma gefunden. Ziel des Angebotes: Integration des Skye-Protokolls in die INDECT-Architektur. Diese wurde beschrieben, als eine Grossrechenanlage, die mittels Deep Packet Instrusion(DPI) sämtlichen Datenverkehr, sämtlicher vorhandener Internet-Protokolle in Echtzeit überwacht. DPI wird über spezielle Hardware realisiert, die auch direkt bei Providern angeschlossen ist. Diese Hardware durchsucht den durchlaufenden Datenverkehr nach Schlüsselworten ab, ohne diesen dabei abzubremsen. Kurz vor diesem Jobangebot wurde Skype von Mircosoft aufgekauft.

    1. Dann will die EU also in ein, zwei Jahren das können, was die NSA schon seit ein paar Jahren kann. So schlimm ich DPI & co finde, es schadet auch nicht, wenn das außer den USA noch jemand kann. Besser wärs natürlich, keiner würd es machen, aber wir leben – leider? – in der Realität.

    2. Dir ist schon klar, dass man DPI schon benötigt, um Skype auszusperren? DPI bricht keine Verschlüsselungen und INDECT hat erst recht nichts damit zu tun…

  7. …wenn man wirklich auf Sicherheit angewiesen ist, würde ich Skype auch nicht mehr benutzen. Denn das bei Skype mitgehört werden kann ist mehr als wahrscheinlich.

    Wer sichere Kommunikation für IM, Audio- und Video benötigt, dem kann ich vor allem „Jitsi“ empfehlen. Der Client bietet verschlüsselte Kommunikation mit OTR und ZRTP! Um hier noch mitzuhören, müsste schon der eigene Rechner mit einem (Bundes?!)Trojaner verseucht sein.

    1. [Paranoia an] Oder die nehmen einfach die Backdoor in Windows [Paranoia aus]
      Danke für den Tipp, werd ich mir mal anschaun.

  8. Viel Schlimmer ist doch die zunehmende „Skype Intergration“ in vielen Geräten und Programmen bis hin zum „Smart-TV“.
    Durch Kamera und Mikro wird so selbst der Heimische Fernseher zur „Superwanze“ , die ehemalige Horrorvorstellung unserer Großeltern das der Nachrichtensprecher sie sehen könne wird so allmählich doch noch Realität.

  9. Das ist nun aber wirklich nichts neues.
    Es kursieren schon seid Jahren Meldungen über Backdoors in Skype noch bevor Microsoft auch nur Interesse an denen hatte.
    Dass Microsoft den Krams nun noch speichert verwundert doch keinen.

    1. Achja, hab mal zum Video Telefonieren kurzzeitig Skype auf meinem Adroiden gehabt, kein anderes Programm hat bisher so viel Daten und Akku gezogen, mit wem der auch immer Telefoniert hat…

  10. Muahahahaha!
    Die Malewareautoren werden ein Schlachtfest haben.
    Fest vorgeschriebene Standards für das Abhören und ein Knotenpunkt in der Infrastruktur für das Abhören.

  11. Das wir doch bereits alle gläsernd sind, ist doch nix neues mehr :) Ich wll nicht wissen was Vodafone oder Telekom so bringt.
    Und von Facebook sprechen wir besser erst garnicht :)
    Von mir aus können sie gerne hören, wenn ich gerade irgend ein Spiel zocke und mich mit einem Kollegen unterhalte.
    Dürfte für die bestimmt spannend sein ^^
    am besten man schaltet den PC aus, dann ist man vielleicht noch sicher :)

  12. Frage an die Experten. Kann der User die mögliche Gefahr des Abhörens nicht umgehen indem er über ein VPN Netzwerk agiert? Oder werden die heute auch schon geknackt?

    1. Um das Abhören auch von VPN zu Realisieren soll , oder wird ,
      die Kette der End-to-End-Verschlüsselung direkt vom Provider Unterbrochen.
      „Der dafür nötige ETSI-Sub-Standard nennt sich „Dynamic Triggering“ und ist bereits in seiner Finalisierungsphase.
      Es handelt sich um eine Art Früherkennungsystem für verschlüsselte Verbindungen, beim ersten Anzeichen des Aufbaus einer solchen Verbindung leitet das System diesen Verkehr auf einen speziell ausgestatteten Rechner im Datenzentrum um. So strukturierte Angriffe sind altbekannt, sie nennen sich „Man-in-the-Middle“-Attacken. Neu sind die aktuellen Anwendungsgebiete dieser Angriffsform.“

      http://fm4.orf.at/stories/1701899/

      Es dann also müßig noch um Skype zu streiten , was die europäische ETSI da will ist die Totalüberwachung sogar in Echtzeit.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.