Home | Impressum  
 
Webseitenlogo

Allgemein

Grundlagen

Praxis

Sonstige Texte

Für Hinweise, Kommentare, oder Kritik nutzen Sie bitte den Menüpunkt "Kontakt & Sonstiges"

VoIP - Neufassung
 

Neben Instant Messaging wird auch VoIP, das Telefongespräch über das Internet, sowohl in privaten als auch in geschäftlichen Angelegenheiten immer populärer.

Mitverantwortlich ist sicher der Siegeszug, des heute noch oft verwendeten VoIP-Dienstes Skype. Andererseits ist die Verwendung von Skype in einigen Unternehmen nach wie vor verboten, oder wird zumindest nicht gerne gesehen (auch wenn mittlerweile eine "Business Version" für den Unternehmenseinsatz zum Angebot gehört). Warum das so ist und warum sich auch sonst ein kritischer Blick auf diesen Dienst empfiehlt, wird sich im Folgenden zeigen.

Um eines der wichtigsten Sicherheitsrisiken die durch Skype entstehen können, muss man sich kurz vor Augen führen, wie es funktioniert. Bei Skype-Gesprächen findet eine Peer-to-Peer Verbindung statt, das heißt, zwei Computer haben eine direkte Verbindung zueinander. Bei Verwendung eines Firewall, ist diese Art von Datenaustausch normalerweise nicht möglich. Skype "tunnelt" sich jedoch unter der Firewall hindurch, was dazu führt, dass diese nun an Sicherheit einbüßt.

Aus diesem Grund stehen viele Unternehmen die große Firmennetzwerke haben, der Nutzung von Skype aus Sicherheitsgründen skeptisch gegenüber. Damit endet jedoch die Bedrohung für den Datenschutz durch diesen Anbieter noch nicht.

Skype - der Freund in deiner Leitung

Auch wenn die Software bisher als relativ sicher galt (das Unternehmen wirbt unter anderem auch mit der automatischen Verschlüsselung der Gespräche), ist die Verwendung nicht ohne Risiken, denn eine weite Verbreitung macht diese Programme sowohl für Kriminelle, als auch überwachungstechnisch interessant. Dazu zwei kurze Meldungen:

Am 21. Dezember 2006 machte bereits der erste Skype-Wurm auf sich aufmerksam. Er fordert den Benutzer dazu auf, die Datei "sp.exe" zu downloaden - ein trojanisches Pferd.

Am 07. Februar 2007 wurde darüber hinaus in einer Meldung bei heise.de bekannt, dass die Skype-Software BIOS-Daten ausliest.

Skype ließ zwar kurz darauf erklären, die Spyware stamme von einem Drittanbieter, der lediglich für den Plug-In-Manager des Programms zuständig gewesen sei, und dass diese Spionage in aktuellen Versionen nicht mehr vorkommen würde. - das Vertrauen in das Unternehmen stärkt dies sicher nicht.

- am 27. August 2009 gab es erstmals Meldungen über einen Trojaner mit dem Namen "Trojan.Peskyspy",der dazu in der Lage ist, VoIP-Gespräche aufzuzeichnen und sie als MP3 an den entsprechenden Server zu senden. Skype dürfte als bekannteste Software besonders interessant für gezielte Angriffe sein, willkürliche Massen-Infektionen werden jedoch nicht erwartet. Bisher scheint nur Windows betroffen zu sein.

Problematisch ist neben Sicherheitslücken außerdem, dass sowohl Software als auch das Protokoll proprietär sind - der Quellcode wird unter Verschluss gehalten, was dazu führt, dass niemand genau weiß, wie die Software funktioniert und was bei der Datenübertragung passiert - ein weiterer Punkt, der die Vertrauenswürdigkeit des Unternehmens in Frage stellt.

Auch im Bezug auf sein sonstiges Image, steht es nicht günstig für Skype.

Eine ältere Meldung vom 19. April 2006, in diesem Fall von der Financial Times, berichtet von Zensurmaßnahmen. Der Geschäftspartner in China zensiere per Skype versandte Textnachrichten, die "politisch unkorrekte" Begriffe wie etwa "Falun Gong" oder "Dalai Lama" enthielten, welche dann mit einem Textfilter entfernt würden.

Im Oktober 2008 wurde bekannt, dass die Maßnahmen von TOM Online, dem chinesischen Partnerunternehmen von Skype über das oben genannte bloße Filtern hinausgehen. Wie sich herausstellte, würden per TOM-Skype versandte Nachrichten mit Schlüsselbegriffen nicht lediglich herausgefiltert und umgehend gelöscht (wie vereinbart worden war) sondern - zusammen mit personenenbezogenen Daten wie den  Benutzernamen, IP-Adressen, und Zeitangaben der beiden beteiligten Chatpartner - auf mehren Servern gespeichert werden.

Besonders heikel dabei ist auch, dass diese geheime Verbindung zwischen TOM-Skype und Server nicht verschlüsselt stattfindet und die Server nur unzureichend gesichert sind. Selbst wenn also die Skype-TOM-Verbindung zwischen zwei Text-Chattern verschlüsselt stattfindet und so wenigstens vor Zugriff von Kriminellen geschützt ist - auf der unverschlüsselten Übertragungsleitung der Regierung sind sie es nicht mehr. Dies scheint bisher lediglich auf Textnachrichten zu zutreffen - für Skype-Gespräche bei VoIP-Telefonaten gelte diese Abhörmaßnahme offensichtlich nicht.

Zwar zeigte sich Skype über die Sicherheitsverletzungen bestürzt, da so die Daten der Skype-TOM-Kunden in Gefahr wären - die Zensur an sich wurde jedoch erneut bereitwillig zugegeben. Als Rechtfertigung diente, wie so oft wenn es um Chinas Zensurpolitik geht, der Hinweis, man müsse sich an örtlich geltendes Recht halten, wenn man mit Unternehmen vor Ort kooperieren würde

Doch auch außerhalb Chinas gibt Skype Anlass zur Sorge - denn eventuell noch übrig gebliebenes Vertrauen gegenüber Skype schwindet vollends, wenn man sich die Besitzverhältnisse ansieht: Skype Technologies SA gehört seit September 2005 zum Online-Versandhaus eBay - warum die Nutzung eines eBay-Dienstes nun ebenfalls ein datenschutzrechtlicher Alptraum ist, wird in einem eigenen Kapitel-Exra dieser Webseite erklärt.

Schlussendlich fällt Skype als Tochterunternehmen von eBay auch noch unter den so genannten "USA Patriot Act" der USA und unteliegt damit der Überwachung durch amerikanische Geheimdienste. Eingeführt wurde dieses Gesetz als direkte Folge der Anschläge vom 11. September 2001.

Außerdem sind Telekommunikationsanbieter in den USA per Verordnung dazu gezwungen, Hintertüren für diese Stellen einzurichten, um ggf. das Abhören von Gesprächen zu ermöglichen. Die Regelung im CALEA ("Communications Assistance for Law Enforcement Act") von 1995 wurde 2006 auch explizit auf die Verwendung von VoIP-Diensten ausgeweitet. Dadurch müssen amerikanische Hersteller von VoIP-Software ebenfalls entsprechende Abhörmöglichkeiten in ihren Programmen installieren.

Die dabei aufkommende Frage ist, wie es um VoIP-Software steht die außerhalb der USA hergestellt und unter freien Lizenzen, mit einsehbarem Quellcode herausgegeben wird, da dort solche Manipulationen zumindest theoretisch leichter nachweisbar und damit deaktivierbar sein könnten.

Für Datenschützer, Journalisten und politische Aktivisten - aber auch für informierte, intelligente Benutzer kann es aufgrund von einem derartigen Ausmaß an Überwachung nur noch ein großes Fazit zur Verwendung von Skype geben, dass da lautet: Finger weg von Skype.

Online-Überwachung und Abhören von VoIP-Gesprächen

Allerdings garantieren auch die Ablehnung von Skype und die Nutzung anderer Dienste keine absolute Abhörsicherheit der Internet-Telefonie. Neben der Überwachung der allgemeinen Internet-Aktivität durch den "Bundestrojaner", wurden auch Pläne zu einem passenden Äquivalent, gewissermaßen dem "VoIP-Trojaner" zum Abhören von VoIP-Gesprächen laut.

Tatsächlich fanden bereits seit 2005 verschiedene Online-Durchsuchungen statt und das bayerische LKA (Landeskriminalamt) gab an, bereits mehrere Abhöraktionen durchgeführt zu haben. Allerdings wurde erklärt, dazu sei es nicht nötig, Software auf den Computern der Verdächtigen zu installieren, man könne die Gespräche bereits während der Übertragung der Daten im Internet auf entsprechende Weise "mithören".

VoIP-ÜberwachungMöglich ist das bei "offenen Protokollen" wie etwa SIP, das sich fast zum Standard für VoIP entwickelt hat. Standardmäßig wird SIP nicht verschlüsselt, so dass hier der Lauschangriff leicht fällt. Auf der Herbsttagung des BKA (Bundeskriminalamt) im jahr 2007 erklärte BKA-Chef Jörg Ziercke, Dienste die bereits bei Gesprächsbeginn die Verbindung verschlüsseln, wie etwa Skype, würden den Ermittlern ernsthafte Probleme bereiten. Allerdings würde das BKA angeblich keine Verhandlungen mit dem Unternehmen Skype Technologies um Überwachungsmethoden führen.

Im Juli 2008 meldete dann jedoch der ORF (Österreichische Rundfunk), dass das österreichische Innenministerium zwar noch kleinere Schwierigkeiten habe, die Überwachung von Skype aber kein wirkliches Problem mehr darstelle. Ob die Österreicher in diesem Punkt tatsächlich dem deutschen BND (Bundesnachrichtendienst) voraus ist, bleibt aber Mangels weiterer Informationen vorerst ungewiss.

Definitiv unglaubwürdig scheint ein Artikel des "The Register" vom 12. Februar 2009 in dem behauptet wird, die amerikanische NSA hätte ebenfalls Probleme mit der Verschlüsselung von Skype und würde nun mehrere Milliarden US-Dollar demjenigen in Aussicht stellen, der eine Abhörmöglichkeit bieten würde. Dabei erscheint nicht nur die Summe völlig völlig überzogen (Bestechung eines Skype-Mitarbeiters oder der Kauf der ganzen Firma wären deutlich günstiger) angesichts der oben genannten Gesetze in den USA scheint es mehr als unwahrscheinlich, dass ausgerechnet Skype als beliebtester VoIP-Dienst keine Backdoor für staatliche Stellen aufweisen sollte.

Interessanter ist daher definitiv eine Meldung vom September 2009 der zufolge ein Programmierer namens Ruben Unteregger bereits im Jahr 2006 für die Firma ERA IT Solutions einen Skype-Trojaner entwickelt hatte. Der Programmierer stellte Teile des Quellcodes der Software, mit der Skype-Gespräche mitgeschnitten werden können sollen, auf seiner Webseite zum Download bereit, damit sich interessierte einen Eindruck von der Arbeitsweise des Programms machen können. 

Sicheres VoIP - Was kann man tun?

Zfone-VerschlüsselungDas die erste Maßnahme für sichere Gespräche, trotz der Gesprächsverschlüsselung, der Verzicht auf Skype ist, dürfte spätestens seit den obigen Ausführungen klar sein.

Als Alternative bietet sich die Möglichkeit, bei einem entsprechenden Anbieter einen Sip-Account anzulegen. Es gibt für alle Betriebssysteme VoIP-Software (unter Windows etwa QuteCom (EN) der Nachfolger von WengoPhone). Allerdings ist der bereits genannte Punkt zu berücksichtigen: SIP-Verbindungen sind nicht automatisch verschlüsselt und auch nicht dafür vorgesehen.

Daher darf man gespannt sein, wie sich das Zfone-Projekt (EN) des Verschlüsselungs-Gurus Phil Zimmermann entwickeln wird. Im Rahmen dieses Projekts wird eine Software entwickelt, die Datenpakete von VoIP-Verbindungen erkennt, und anschließend die gesamte Verbindung verschlüsselt. Somit dürfte die Verschlüsselung von SIP dann doch möglich sein.

Eine erste funktionsfähige beta Version gibt es bereits (Stand 2008), sie funktioniert bereits auf fast allen Betriebssystemen mit entsprechender VoIP-Software. Unter Microsoft Windows läuft bisher leider nur Gizmo (proprietär) in Kombination mit Zfone, Benutzer von GNU/Linux können Twinkle mit Zfone nutzen (mittlerweile soll es auch Planungen bei Ekiga geben) und unter Mac OS ist XMeeting Zfone freundlich.

Eine Möglichkeit die Verwendung von SIP gänzlich zu umgehen, wäre die Nutzung des Jabber-Protokolls (XMPP) in Verbindung mit Jingle, was VoIP-Gespräche über Jabber ermöglicht. Bei Verwendung des Multiprotokoll-Messengers Pidgin können sogar Video-Gespräche per Webcam getätigt werden. Versuche zur Entwicklung eines reinen Jabber-VoIP-Messengers gab es bereits, etwa den Messenger Jabbin, dessen Entwicklung aber anscheinend eingeschlafen ist. Auch in diesem Fall bliebe jedoch die Frage der Verschlüsselung.

Fazit zum Thema Sicheres VoIP:
Die bisher wahrscheinlichste zukünftige Alternative bleibt lediglich die Kombination des SIP-Protokolls in Kombination mit Zfone. Wenn VoIP weitere Verbreitung findet, wird eine Auseinandersetzung mit der Frage wie langfristig die Sicherheit und Vertraulichkeit von VoIP-Telefonaten verbessert werden können, nicht nur für Datenschützer unausweichlich. Bis dahin bleibt das verschlüsselte Instant Messaging vermutlich die einzige Möglichkeit zur schnellen, unkomplizierten und gleichzeitig sicheren Online-Kommunikation.


Creative Commons License
Dieser Werk ist unter einer
Creative Commons-Lizenz lizenziert.