Sicherheitsrisiken beim Einsatz der VoIP-Software Skype im Unternehmen

IM enttarnt

Die Übernahme von Skype durch Microsoft im Mai 2011 weckte bei vielen Unternehmen das Interesse am Einsatz von Skype als unkomplizierter VoIP- und IM-Lösung. Dabei ist seit Jahren bekannt, dass Skype im Hinblick auf Datenschutz nicht unproblematisch ist. Der Beitrag fasst die wichtigsten Argumente gegen den Unternehmens-einsatz zusammen.
Mit E-Mail-Diensten muss sich jeder Administrator früher oder später einmal beschäftigen. Das zur CeBIT erscheinende ADMIN 02/2012 gibt dazu Praxis-Tipps und ... (mehr)

Die Lust am Skype-Einsatz im Unternehmen geht in der Regel weniger vom Administrator oder der Unternehmensleitung aus. Eher schon ist es Ausdruck der Kapitulation vor der Tatsache, dass sich Skype von jedem Mitarbeiter ohne Administratorrechte installieren lässt. Wird der Skype-Einsatz von den Zuständigen geduldet, ist das meist der Popularität von Skype geschuldet und geschieht in der Absicht, Mitarbeitern eine vertraute IM- beziehungswese VoIP-Software zur Verfügung zu stellen.

Da sich der Skype-Einsatz nicht mit einer schlichten Firewall-Policy unterbinden lässt, ist es sicher eine gute Idee, an die Vernunft der Mitarbeiter zu appellieren oder in gezielten Trainings auf die Gefahren des Skype-Einsatzes aufmerksam zu machen. Denn hinterher kann das Aussprechen von Verboten oder das Androhen von Sanktionen bis hin zur Kündigung einmal entstandenen Schaden nicht wiedergutmachen. Notwendig sind unternehmensinterne Richtlinien bis hin zu vertraglichen Verbotsregelungen aber häufig trotzdem, weil sich im Zweifel auch die Unternehmensführung in Misskredit bringt, wenn sie nicht effektiv verhindert oder unterbindet, dass Mitarbeiter, etwa durch den Einsatz von Skype Sicherheitslöcher ins Unternehmensnetz reißen, weshalb die Duldung des Skype-Einsatzes kein gangbarer Weg ist.

Vom Peer zum Peer

IP-Telefonie und Instant Messaging besitzen neben E-Mail und herkömmlicher Telefonie in der Unternehmenskommunikation heute einen hohen Stellenwert. Leider sind populäre IM-Lösungen wie Skype aus Unternehmenssicht problematisch, denn der geduldete Einsatz von Skype zwingt den Admin zumeist, die firmeneigene Sicherheitspolicy zu unterlaufen, weil Skype proprietäre Protokolle verwendet und eine Reihe weiterer prinzipieller Sicherheitsrisiken aufweist, etwa das systematische Umgehen vorhandener Schutzmechanismen.

Der Hauptgrund aber, dass Skype in Unternehmen eine nicht gern gesehene Technologie ist, besteht darin, dass Skype nach dem Peer-to-Peer-Prinzip (P2P) funktioniert. Die strukturelle Ähnlichkeit zu Kazaa & Co. kommt nicht von ungefähr, denn Skype wurde ursprünglich von den Kazaa-Entwicklern Niklas Zennström und Janus Friis aus der Taufe gehoben, auf der Suche nach einer Möglichkeit, die beim Filesharing gewonnenen Erkenntnisse in eine seinerzeit neue und innovative VoIP-Software einfließen zu lassen.

Bei Peer-to-Peer-Netzwerken sind sämtliche Rechner mit aktivem Netzwerk-Client – im Fall von Skype die Skype-Software beziehungsweise das Skype-Phone – Teil des Netzwerks, sodass Skype deren Ressourcen (Bandbreiten) nutzen kann, um anderen Nutzern Sprachdaten, Chat-Inhalte oder Dateien zur Verfügung zu stellen. Auch ein nicht aktiver Skype-Client kommuniziert stets über eine Reihe von Ports mithilfe proprietärer Protokolle mit anderen Skype-Rechnern.

Verbindung um jeden Preis

Problematisch daran ist, dass das Sperren der von Skype verwendeten Ports in der Firewall wenig bringt, weil zum einem jeder Skype-Client beim Installieren einen anderen zufällig bestimmten UDP-Port nutzt, und weil sich Skype weiterer Technologien wie Relaying und UDP Hole Punching bedient, um Firewalls zu umgehen. Im Übrigen ist es schwierig, an technische Details zu gelangen, weil sich der Hersteller in dieser Frage zugeknöpft gibt. Lesenswerte externe Quellen sind etwa [1] oder [2] .

Bekannt ist, dass bei Skype, sollte der Admin ein Verbindungsverfahren unterbinden, automatisch eine Reihe von Fallback-Mechanismen greifen, damit auf jeden Fall eine Verbindung zustande kommt. Skype probiert dabei systematisch, welche Verbindungsmethode funktioniert. Selbst wenn sämtliche UDP-Ports zu sind, ist Skype offenbar in der Lage, den eigenen Traffic als ganz normalen HTTP-Datenverkehr zu tarnen. Da die TCP-Ports 80 (HTTP) und 443 (HTTPS) von nahezu jeder Firewall durchgeleitet werden, kann Skype Gespräche für den Fall, dass alle anderen Methoden fehlschlagen, immer noch über einen anderen Host routen.

Neben dem Umgehen einer Firewall durch geschicktes Routen bei gleichzeitigem Maskieren des Datenverkehrs ist Skype auch in der Lage, die Firewall zu durchtunneln. Befindet sich nur ein Kommunikationspartner hinter einer restriktiv konfigurierten Firewall, kann Skype dank der Peer-to-Peer-Architektur eine Verbindung mittels indirekter Kommunikation über einen Supernode herstellen. Doch auch wenn beide Kommunikationspartner durch eine Firewall abgeschirmt sind, findet Skype einen Weg zum Verbindungsaufbau.

Bei UDP Hole Punching handelt es sich um eine Technologie, die nicht nur Skype, sondern auch andere VoIP- und VPN-Dienste einsetzen, um es zwei P2P-Partnern trotz NAT-Firewall zu ermöglichen, einen Kommunikationskanal aufzubauen. Im Normalfall können zwei P2P-Partner hinter einer Firewall keine Verbindung miteinander aufnehmen, weil Hosts hinter einer Firewall wegen NAT (Network Address Translation) nicht aus dem Internet erreichbar sind, auch dann nicht, wenn die temporär gültige IP-Adresse eines Hosts bekannt sein sollte.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023