Seit Jahren hält sich das Gerücht, dass der Staat Skype nicht abhören könnte. Manche Redaktion schwört auch deswegen immer noch darauf, Skype als sichere Kommunikation mit Quellen zu nutzen, weil Telefon zu unsicher sei. Udo Vetter, tätig als Strafverteidiger, hat jetzt was anderes gehört und darüber gebloggt:
Dabei kam auch zur Sprache, dass die Beteiligten nicht nur gerne das Telefon benutzt haben. Sondern auch Skype. Vom Inhalt dieser Gespräche, berichtete der Ermittlungsbeamte, sei nichts bekannt:
Wir hatten keinen Zugriff auf Skype.
Auch wenn es für das Verfahren nicht interessant war, nahm ich den gewählten Tempus zum Anlass für die Frage, ob sich das mittlerweile geändert. Das bejahte der Zeuge. Seine Behörde könne Skype heute genauso abhören wie das normale Telefon. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.
liegt das jetzt daran, dass der verschlüsselungsalgorithmus doch nicht so unknackbar ist, wie man dachte, oder dass skype gewissen leuten neuerdings zugang eben diesem algorithmus gibt?
@mcnesium: Wir wissen es nicht. Eine Antwort auf die Frage würde uns aber auch interessieren.
Waren damit möglicherweise Skype-zu-Festnetz-Telefonate gemeint? Da wäre das natürlich kein Problem.
Und wie gerade Udo Vetter öfters anmerkt, ist die Netzkompetenz bei den Ermittlungsbehörden ja nicht unbedingt Vorauszusetzen.
http://blogs.skype.com/security/2005/10/skype_security_and_encryption.html
Da die Crypto Schlüssel bei Skype liegen und nicht beim nutzer ist wohl davon auszugehen, dass es theoretisch möglich ist, skypegespäche zu sniffen und dann als staatliche Stelle bei skype den key anzufragen. Ich meine auch mal gelesen zu haben das es schon vorgekommen sein soll dass skype keys an Behörden ausgehändigt hat. ob das alles für Journalisten relevant ist sei dahingestellt, vielleicht auch eher für Staatsfeinde. Aber von Abhörsicherheit zu sprechen, wenn der Nutzer weder Erzeuger noch Verwalter von kryptologischen Schlüsseln ist, halte ich für unzutreffend. Wie immer gilt es die „Bedrohungslage“ gegen den Sicherungsaufwand abzuwägen.
http://www.schneier.com/blog/archives/2010/07/skypes_cryptogr.html hier noch was über den verwendeten algorithmus
@Lars:
Udo Vetter hat’s in seinem Text klargestellt: Es ging auch um das Abhören von Gesprächen von Skype zu Skype. So jedenfalls die Aussage des Zeugen, ein Kriminalist vom Zoll.
Skype hat also eine Backdoor, oder was sonst sollte man aus dieser Meldung folgern? Das wäre aber auch nicht sonderlich überraschend, da bis jetzt alle Betreiber von Skype immer wieder mal betont haben, doch gerne mit verschiedensten Organisationen bei der Überwachung zusammenzuarbeiten.
In jedem Fall ist es nicht erst jetzt höchste Zeit für FOSS–Skype-Alternativen!
@Markus: War die Reaktion von eBay auf entsprechende Gerüchten, man würde bei Skype mit Ermittlungsbehörden zusammenarbeiten, nicht schon vor 3 oder 4 Jahren ein fast enttäuschtes: „Bisher hat noch niemand gefragt“?
Ich meine da ein recht deutliches Statement im Hinterkopf zu haben. Ah hier,2009 bei Heise Online
Wobei ich noch eine etwas konkretere Aussage im Kopf habe.
Ansonsten gab es letztes Jahr ja noch die Geschichte vom dem Schweizer, der Code zum Skype-Lauschen veröffentlicht hatte. Im gleichen Zusammenhang berichtete Heise auch noch einmal von einer ähnlichen Software in Bayern, die der CCC ans Licht der Öffentlichkeit gezerrt hatte: http://www.heise.de/security/meldung/Skype-Wanze-im-Quelltext-veroeffentlicht-753257.html
Und sonst, ich meine, eBay? Das ist ja nun wirklich keine Firma, die im Ruf steht, sich im Zweifel schützend vor ihre Kunden zu stellen.
Erklärt Skype nicht in den AGB ohnehin, alles aufzuzeichnen? Wie das in Sachen Serverbelastung aussieht, will ich mir bei Gesprächen und Videoübertragungen zwar gar nicht vorstellen, aber wenn es bei denen liegt, kann es für Ermittlungsbehörden doch gar nicht so schwer sein, da ran zu kommen, oder?
In der Art wie die Verschlüsselung zwischen zwei Gesprächspartnern aufgebaut wird, erlaubt es einen Dritten Zuhörer hinzu zu schalten, sofern jemand den Zugriff auf den beteiligten Skype-Server hat.
Es kann also durchaus sein, dass man über einen Proxy, der einen Abhört, umgeleitet wird ohne dass man davon etwas bemerkt.
Nicht nur das ist ein triftiges Argument gegen Skype, sofern man vertrauliche Informationen austauschen will, auch dass alle Komponenten Closed Source und verschlüsselt sind, spricht gegen ein vertrauenswürdiges Kommunikationsmittel.
Zudem sind sie nicht mal Rechtlich zur Vertraulichkeit verpflichtet und machen das in ihren AGBs auch deutlich klar.
Alles in allem ist Skype in keiner Weise geeignet brisante Informationen auszutauschen.
> In jedem Fall ist es nicht erst jetzt höchste Zeit für FOSS-Skype-Alternativen!
SIP halte ich aufgrund des komplizierten Verbindungsaufbau im InterNAT für leider keine Alternative zu skype.
XMPP/Jingle schon eher, nur da kenne ich leider keine Implementierung, die Verschlüsselung unterstützt. Ich hoffe noch auf OTR.
Das Skype Diktaturen wie China unterstützt ist nichts neues, die Daten werden sogar an die entsprechenden Behörden weitergegeben. Darüber hat heise vor 3 Jahren sogar einen bericht gebracht.
Aber so ist das nunmal, den Kapitalisten die Konzerne wie Skype führen ist der eigene Profit wichtiger als die Einhaltung der Menschenrechte.
löschen, sperren, abhören, abmahnungen, einstw. verfügungen…
die welt wird zum irrenhaus.
Und das überrascht jetzt wirklich jemanden? Ich dachte das wäre seit Jahren bekannt.
Telefonieren übers Internet: Wie sicher ist Skype wirklich?
Danke für diese Info, Markus. Es ist wie immer: Wer hinsichtlich Verschlüsselung geschlossenen Protokollen oder geschlossener Software vertraut, muss die Konsequenzen in Kauf nehmen: Man muss bei diesen immer davon ausgehen, dass für staatliche und andere Stellen eine Möglichkeit besteht, mitzuhören.
Micu schrieb:In jedem Fall ist es nicht erst jetzt höchste Zeit für FOSS-Skype-Alternativen!
Dem kann ich nur zustimmen.
Vielleicht ist es auch angebracht, hier einmal auf Zfone vom Macher von PGP hinzuweisen, mit dem sich viele VoIP-Verbindungen wie z.B. Google Talk sicher verschlüsseln lassen.
@zerwas
Ganz unabhängig davon welches Protokoll zur Datenverschlüsselung eingesetzt wird, ist das größere Problem immer wie man überhaupt einen Key zur Verschlüsselung austauscht. Und das ist die Schwachstelle von Skype. Skype als Man-in-the-Middle kann quasi beim Schlüsselaustausch mithören und damit total unabhängig von dem verwendeten Protokoll zur Verschlüsselung alle übertragenen Daten protokollieren.
Also ein relativ offensichtliches Problem, was nicht wirklich zu Verwunderung führt.
Der Zoll nutzt quellen-TKUE zur Überwachung von Skype (Installation von Software auf den Computer der Zielperson, ausleitung der Daten auf einen externen server VOR der Verschlüsselung). Richterliche Anordnung nötig. Es fallen ’natürlich‘ nur Daten an, die auch das Skype Gespräch betreffen. FDP meint aber, dass damit schon die grundsätzliche Hürde fuer mehr genommen wurde.
Quelle: Spiegel Nr.41 / 11.10.2010 Seite 16 ‚Zollfahnder installieren Lausch-Software
a) Wieso benutzt der Zoll solche Software wenn man Skype so überwachen kann ? Kann man Skype so überwachen ? Bekommt man mit dem Verfahren überhaupt die Antwort mit ?
b) Wieso, da unsere Sicherheit so wichtig ist, ziehen wir unsere Truppen nicht aus dem Ausland ab, sondern bringen uns erst ins Visier und geben dann auch noch unsere Privatsphäre auf ? Oder sucht der Zoll mit Lauschsoftware nach gefaeltschten Puma-Schuhen ?
falsche URL angegeben, sorry
Tempus ist Neutrum. Es müsste daher heißen: »[…] nahm ich das gewählte Tempus zum Anlass […]«