Studie des Fraunhofer ESK: Sicherheitsbedenken gegenüber Skype im Geschäftseinsatz

Pressemitteilung / 20.1.2016

München, 20. Januar 2016 - In seiner Studienreihe zur Nutzung von Skype im Unternehmensumfeld hat das Fraunhofer ESK die Studie „Einsatz von Skype im Unternehmen – Chancen und Risiken“ aktualisiert und neue Features wie den „Skype Translator“ auf den Prüfstand gestellt. Die Wissenschaftler betrachten in ihrer Studie die geänderte Skype-Architektur als Folge der Übernahme durch Microsoft. Im Ergebnis attestieren die ESK-Ingenieure dem Online-Kommunikationsdienst erhebliche Sicherheitsrisiken bei dessen Nutzung. Vor allem für den „Austausch geschäftskritischer Informationen“ raten die Wissenschaftler von der Skype-Nutzung ab.

Im Vergleich zu den Untersuchungen von 2013 haben sich die Forscher in der aktuellen Studie mit der geänderten Architektur nach der Übernahme durch Microsoft befasst. Skype ist zwar im Prinzip ein Peer-to-Peer-Netz, setzt aber auch weiterhin Super Nodes als Knotenpunkte ein. Diese nehmen die Anmeldungen der Benutzer entgegen und ermöglichen den Verbindungsaufbau zu anderen Nutzern, die gerade online sind. Vor der Übernahme durch Microsoft waren beliebige Rechner von Nutzern, die bestimmte technische Anforderungen erfüllten, diese Super Nodes. Jetzt werden alle Super Nodes im Rechenzentrum von Microsoft betrieben. Zur Begründung heißt es, so ließen sich Stabilität und Skalierbarkeit der Plattform verbessern. Mit diesen Superknoten hat Microsoft eine direkte Kontrolle über das Routing von Verbindungen zwischen den Nutzern, sodass für Microsoft ein Zugriff auf die Kommunikation ermöglicht wird.

Insgesamt ist eine neutrale, technisch-analytische Sicherheitsbewertung von Skype kaum möglich, weil es sich dabei um ein proprietäres und geschlossenes Kommunikationssystem handelt. Weder Quellcode noch eine tiefergehende Dokumentation zum System sind verfügbar. Zwar sind die genutzten Verschlüsselungsverfahren bekannt, allerdings ist die Schlüsselgenerierung nicht nachvollziehbar.

Die Studie kommt zu dem Ergebnis, dass Skype-Verbindungen durch die Verschlüsselung vor normalen Angreifern aus dem Internet relativ gut geschützt sind. Da aber Microsoft die Schlüssel vorliegen, ist die Kommunikation von berechtigten Dritten einsehbar. Deshalb lautet das Fazit der ESK-Ingenieure: „Für den Austausch sicherheitsrelevanter und geschäftskritischer Informationen wird Skype prinzipiell nicht empfohlen!“

„Skype Translator“ muss noch verbessert werden

Der Übersetzungsdienst „Skype Translator“ ist noch im Teststadium, von Microsoft als „Vorschau“ bezeichnet. Er liefert Übersetzungen zwischen zwei Sprachen während einer Skype-Verbindung. Unterstützt werden die Sprachen Chinesisch, Deutsch, Englisch, Französisch, Italienisch und Spanisch. Im Praxistest erweist sich der „Skype Translator“ für kurze Sätze als brauchbar. Längere Sätze werden in Fragmenten übersetzt, die zwar vom Sinn her passen, grammatikalisch jedoch überhaupt nicht harmonieren.

„Skype for Business“, ehemals Lync, wird von Microsoft als Kommunikationslösung für Unternehmen angeboten. Diese umfasst Audio- und Videokommunikation, Instant Messaging (IM), Präsenzanzeige, Konferenzen sowie eine Amtsanbindung per ISDN und VoIP über entsprechende Gateways. Die ESK-Forscher geben in einer separaten Kurzstudie eine Einschätzung von „Skype for Business“ ab und bescheinigen dieser Lösung, für den Einsatz im Unternehmen durchaus geeignet zu sein. Wollen Unternehmen aber ihre TK-Anlage ersetzen, sollten sie genau prüfen, ob „Skype for Business“ die gewünschten Funktionen tatsächlich bietet.