Der Skype Client ist kostenlos. Mit seiner Hilfe ist es möglich, kostenlose Gespräche über das Internet mit anderen Skype-Anwendern zu führen.

Transkript

1 White paper underground_8 Firewall blockiert Skype in Unternehmensnetzen Das Telefonieren über Computernetzwerke auf Basis von Voice over IP (VoIP) entwickelt sich im Eiltempo. In Anwenderkreisen ist die Software Skype zum Telefonieren über das Internet am bekanntesten und am weitesten verbreitet. Jedoch verbreitet sich die Skype-Software nicht nur unter Heimanwendern, sondern zunehmend auch in Unternehmensnetzwerken. Dabei aber entstehen aufgrund des unkontrollierten Einsatzes von Skype in den Unternehmensnetzen erhebliche Sicherheitsprobleme und zusätzliche Risiken für die Unternehmen. Der unkontrollierte Einsatz wird auch dadurch erleichtert, dass eine Installation von Skype keine Administrationsrechte erfordert. Zudem ignorieren in der Praxis die meisten Mitarbeiter die Sicherheitsvorgaben des Unternehmens und installieren bzw. nutzen Skype, ohne die IT-Abteilung zu informieren. Dies hat zur Folge, dass die Unternehmen faktisch keine Kontrolle über die via Skype übermittelten Daten haben. Unternehmen sind jedoch auf ein Höchstmaß an Sicherheit angewiesen. Diese wird durch die Nutzung von Skype gefährdet. Dem wirkt der Hersteller Skype insofern entgegen, als er versucht, mit Skype for Business die Skype-Telefonie auch den Unternehmen schmackhaft zu machen. Durch die integrierten Erweiterungen lässt sich auf Basis eines Windows Installer-Pakets (MSI) Skype auf mehreren Computern gleichzeitig installieren. Die IT- Administratoren erhalten dadurch mehr Kontrolle über den über Skype abgewickelten Kommunikations- und Datenverkehr. Mit der Online-Systemsteuerung kann das Unternehmen einzelnen Benutzern Skype-Credits zuweisen, die für kostenpflichtige SkypeOut-Anrufe in das Fest- oder Mobilnetz genutzt werden können. Darüber hinaus ermöglicht diese Systemsteuerung einen Überblick über die dabei anfallenden Telefonkosten. Zusammen mit Partnern hat Skype zudem neue Produktivitätstools für Unternehmen entwickelt. Dazu zählen unter anderem Convenos, eine Lösung zum Web-Conferencing und zur Online-Zusammenarbeit, oder Unyte, mit dem Benutzer einen Blick auf ihren Desktops freigeben können. In der folgenden Tabelle sind die Skype-Hauptdienste aufgelistet: Dienstmerkmal Skype Client Beschreibung Der Skype Client ist kostenlos. Mit seiner Hilfe ist es möglich, kostenlose Gespräche über das Internet mit anderen Skype-Anwendern zu führen. SkypeOut SkypeOut ist ein kostenpflichtiger Dienst, durch den Personen mit regulären Festnetzanschlüssen und Handys vom Skype-Netz aus angerufen werden können. Verbindungen zu Festnetzanschlüssen sind sehr kostengünstig. Teuer sind dagegen allerdings Mobilfunkverbindungen. SkypeIN SkypeIN ist ein kostenpflichtiger Dienst, bei dem einem Anwender eine eigene feste Telefonnummer zugeordnet wird. Hierdurch können auch Gespräche von regulären Festnetzanschlüssen aus angenommen werden, und der Anruf kann über den Skype Client entgegengenommen werden. SEITE 1

2 Dienstmerkmal Skype Voic Beschreibung Skype Voic stellt einen kostenpflichtigen Anrufbeantworter als Dienst zur Verfügung. Die Voic -Funktion dient nicht nur als Anrufbeantworter, sondern es lassen sich zusätzlich noch Sprachnachrichten an alle anderen Skype-User verschicken, auch wenn diese kein Voic -Abo besitzen. Voic zeichnet Nachrichten nicht nur dann auf, wenn Skype-Anrufe nicht entgegengenommen werden, sondern auch, wenn der Computer ausgeschaltet ist. Mit diesem kostenlosen Service können sich bis zu 100 Nutzer untereinander zu den verschiedensten Themen auszutauschen. Skypecast Der Initiator eines Skypecast agiert als Moderator zwischen den Teilnehmern und entscheidet, wer das Wort erhält. Um den Dienst zu nutzen, muss sich der Nutzer vorab registrieren. Tabelle: Dienstmerkmale von Skype Das Gefahrenpotenzial von Skype Skype basiert nicht auf dem SIP- oder dem H.323-Standard, sondern nutzt drei proprietäre Protokolle. Darüber hinaus arbeitet Skype nach den aus den klassischen Filesharing-Netzwerken bekannten Peer-to-Peer- Technologien. Jeder Client (somit jedes Skype-Phone) verbindet sich nicht mit einem zentralen Server, sondern ohne weitere Konfiguration mit anderen Clients (Peers). Aus diesem Grund verschlüsselt Skype auch die Verbindungen. Das Skype-Protokoll nutzt zur Verschlüsselung den AES(Advanced Encryption Standard)- Mechanismus. Die symmetrischen Schlüssel werden dabei dynamisch ausgehandelt. Die benutzten Verfahren gelten als extrem sicher. Daneben betreibt Skype innerhalb seines Netzwerkes eine Public Key Infrastruktur (PKI), die Austausch und Überprüfung der Schlüssel erlaubt. Allerdings warnen Kryptografie-Experten, dass die in Skype eingebaute Verschlüsselung nicht sicher genug sei und Verbindungen mitgeschnitten und entschlüsselt werden könnten. Skype verursacht mit seiner starken Verschlüsselung der Kommunikation und der Fähigkeit zur Umgehung von Firewalls eine Reihe von Problemen: stark erhöhtes Verkehrsaufkommen, Behinderung anderer Anwendungen und die Verletzung staatlicher Auflagen bzw. Telekommunikationsgesetze. Um zu verhindern, dass der Skype-Verkehr extern blockiert werden kann, hat Skype sehr viel Aufwand in die Verschleierung der eigenen Datenströme investiert. Wird eine Skype-Verbindungsmethode unterbunden, greift das Programm auf eine Vielzahl von Fallbackmechanismen zurück, welche systematisch durchprobiert werden. Skype-Datenströme können beispielsweise auch als getarnter Webverkehr oder HTTPS übertragen werden. Die Umgehung der Sicherheitsfunktionen durch Skype bereitet den IT-Administratoren schlaflose Nächte. Skype legt beispielsweise nach dem Start im Verzeichnis für temporäre Dateien eine ausführbare Datei namens 1.com an. Diese ist in der Lage, sämtliche BIOS-Informationen des betreffenden Rechners auszulesen. Darüber hinaus versucht Skype das Auslesen dieser Datei zu unterbinden. Nach Aussage von Skype diene diese Überprüfung dem Skype Extras Manager zur eindeutigen Identifizierung von Rechnern, damit sichergestellt werde, dass lizenzpflichtige Extras nur von berechtigten Lizenznehmern installiert und betrieben würden. Vor einigen Monaten nutzten mehrere Schadprogramme Skype für ihre Verbreitung. Denn ohne die effektive Kontrolle des Internetverkehrs ist ein Ausbruch einer neuen Flut von Angriffen faktisch nicht zu verhindern. Über Skype können die Nutzer beliebige Files untereinander austauschen ungehindert und ohne Sicherheitskontrollen. Darüber hinaus besteht die Gefahr, dass durch das P2P-Prinzip unter Umständen die Rechnerressourcen des Unternehmens verschwendet werden. Bei Skype gibt es keine Kommunikationszentrale, die man einfach blocken könnte. Die Clients finden sich dynamisch untereinander. Somit ist es schwer, den SEITE 2

3 Verkehr mittels Firewalls zu sperren. Mancher Administrator ist daher unangenehm überrascht, dass Skype trotz restriktiv konfigurierter Firewall funktioniert. Auf Basis von Skype ist es möglich, auch zwischen Clients, die durch eine Firewall geschützt sind, VoIP-Verbindungen herzustellen. Möchte Nutzer A mit Nutzer B sprechen und sind beide durch eine Firewall geschützt, sind in keiner Richtung eingehende Verbindungen möglich. Befindet sich jedoch nur Nutzer A hinter einer Firewall, kann Nutzer A den Nutzer B anrufen, aber nicht B den Benutzer A. Jeder Skype Client ist mit einem Supernode verbunden, der letztlich als Verteiler agiert. Dabei kann jeder Skype-Client als Supernode arbeiten. Somit sind Supernodes keine zentralen Server, sondern andere Skype- Nutzer. Dem IT-Administrator wird durch dieses Prinzip allerdings die Kontrolle entzogen. Skype Login Server Austausch von Message während dem Login Super Nodes Abbildung 1: Skype Netzwerk Beim Verbindungsaufbau (Anruf) wird über eine bereits bestehende Verbindung zum Supernode (C) auf Basis des Skype Proprietary Call Control Protocols ein eingehender Anruf signalisiert. Anschließend verbinden sich A und B mit dem Supernode C und bauen über Rechner C das Gespräch auf. Das eigentliche Gespräch wird anschließend direkt zwischen A und B (per UDP-Verbindung) abgewickelt. SEITE 3

4 A B A B C C Verbindungsaufbau über Super Node Direkte Kommunikation zwischen A und B Abbildung 2: Verbindungsaufbau Skype Erlaubt eine sehr restriktiv konfigurierte Firewall den Transfer des ausgehenden Datenverkehrs nur über den TCP-Port 80 (HTTP) und 443 (HTTPS) und sind die UDP-Wege blockiert, wird das Gespräch über andere Computer (D) geführt. Diese Funktion wird als Relaying bezeichnet. Das Relaying lässt sich nicht nur für die Übermittlung von Sprache, sondern auch zur Datenübertragung nutzen. Die Transferrate einer solchen Verbindung ist nicht sehr hoch, aber immerhin kommt die Dateiübertragung überhaupt zustande. Ein Mechanismus zur Durchdringung von Firewalls wird als UDP Hole Punching bezeichnet. Normalerweise können zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation (NAT) aus dem Internet nicht direkt adressierbar. Selbst wenn man die übersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, über diese zu kommunizieren, wird die Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht von ihrem Netz aus aufgebaut wurde. Beim UDP Hole Punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermöglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist der Firewall bekannt, dass sie auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit seiner Adresse als Absender weiterleitet. Das UDP Hole Punching erfordert jedoch, dass die NAT-Komponente den Status der UDP Session hält, unabhängig davon, dass die Pakete jetzt von einem anderen Rechner kommen. Dieser Mechanismus arbeitet jedoch nur mit einem so genannten full cone NAT und hat keinen Erfolg bei restricted cone NAT oder symmetric NAT. Kein Problem ohne Lösung: Beide Rechner beginnen mit der Versendung von mehreren Paketen bzw. Verbindungsversuchen. Durch das restricted Cone NAT wird das erste Paket vom Kommunikationspartner blockiert. Da jedoch die NAT-Komponente anschließend über einen Vermerk ( habe Paket zu anderer Maschine versendet ) verfügt, lässt NAT anschließend alle Pakete von dieser IP-Adresse und Portnummer durch. Neben Skype nutzen diese Technik auch die Peer-to-Peer-Mechanismen und die VoIP-Telefonie. Das UDP Hole Punching macht es sehr schwer, Skype beispielsweise in Firmennetzen zu blockieren. Durch die Möglichkeit, Dateien über Skype zu übertragen, ist Skype die perfekte Methode, um unerkannt Daten aus abgesicherten Bereichen zu schmuggeln. Die Registrierung als Skype-Nutzer und die Installation der Software erkauft man mit der Bereitstellung der Ressourcen des eigenen Computers bzw. Firmenrechners für die Skype-Community. Besitzt der als Skype- Client verwendete Rechner die richtigen Voraussetzungen lange Online-Zeiten, hohe Bandbreite, eine öffentliche IP-Adresse, reichlich Rechenpower und Arbeitsspeicher, kann dieser zu einem Supernode mutieren und damit zu einer Vermittlungszentrale für Adressbücher, Presence-Informationen und die Kommunikationsströme der Skype-User werden. SEITE 4

5 Mit dem Befehl Netstat kann man festzustellen, ob der eigene Computer als Supernode agiert. Tauchen in den Statistiken über einen längeren Zeitraum viele unbekannte Verbindungen auf dem in den Skype-Optionen unter Connection festgelegten Port auf, ist dies wohl ein gewisses Indiz für einen Supernode. Es kann aber genauso sein, dass der eigene Computer nur zum Relaying verwendet wird. Tatsächlich hat ein Supernode viele neue eingehende Verbindungen, die man allerdings durch einmaligen netstat-check nicht unbedingt mitbekommt. Daher sollte man die eingehenden Verbindungen über einen längeren Zeitraum beobachten. Außerdem erzeugt ein Supernode ein deutlich höheres Datenvolumen als normale Knoten. Es besteht kein Zusammenhang zwischen einer großen Anzahl an Verbindungen und dem Status als Supernode. Um den Status eines Supernodes zu erhalten, benötigt der Rechner eine schnelle Internetanbindung, der in Skype festgelegte Port darf für eingehende TCP- und UDP-Verbindungen nicht durch eine Firewall blockiert sein und Skype muss tage- bzw. wochenlang ohne Neustart laufen. Supernodes werden automatisch ausgewählt. Bei einem überlasteten Supernode gibt dieser einen Teil der Last an einen der verbundenen Clients ab und die Last wird automatisch verteilt. Ein Supernode stellt von sich aus Bandbreite zur Verfügung, über die der Benutzer in einem Unternehmensnetz keine Verfügungsgewalt hat. Ab Version 3.0 des Skype-Clients kann diese Funktionalität über Registry-Keys ausgeschaltet werden. Auf allen Rechnern, deren Verfügbarkeit garantiert werden muss, sollte die Funktionalität als Super Node oder Relay bei der Installation des Skype-Client ausgeschaltet werden. Voraussetzung dafür ist jedoch, dass Mitarbeiter Skype nicht unkontrolliert ins Unternehmen einführen. Rechtliche Hintergründe zum Betrieb von Skype & Co. Peer to Peer (P2P), Instant Messaging (IM) und Skype stellen ein immenses Risiko für Unternehmen dar. Die Installation und der Betrieb von illegalen Tauschbörsen oder unternehmensfremden Kommunikationskanälen sind durch Mitarbeiter technisch vergleichsweise leicht zu bewerkstelligen. Dies fällt den Mitarbeitern umso leichter, wenn das Unternehmen nur mittelmäßige Sicherheitsmaßnahmen etabliert und diese zudem nicht speziell auf die Thematik P2P, IM und Skype abgestimmt hat. Der Missbrauch von Arbeitszeit, Speicherplatz und Bandbreite kann zwar zu erheblichen arbeitsrechtlichen Konsequenzen für die Mitarbeiter bis hin zur fristlosen Entlassung führen; für das Unternehmen ist dies aber nur eine relativ unbefriedigende Begrenzung eines Schadens, der in der Regel schon längst entstanden ist. Unternehmen, deren Mitarbeiter durch unbemerkt und unkontrolliert laufende P2P-Plattformen Urheberrechte verletzen, können dafür samt ihrer Vorstände und Geschäftsführer zur Rechenschaft gezogen werden. Die rechtlichen Konsequenzen reichen dabei von Unterlassungs- und Schadensersatzansprüchen bis hin zu Haftstrafen für die Geschäftsführung. Und Unwissenheit schützt bekanntlich nicht vor Strafe: Die Folgen können die Unternehmensleitung sogar dann treffen, wenn diese von den Tauschbörsen nichts gewusst haben. Laufen die Tauschbörsen nur unternehmensintern, drohen Gefahren aus unerwarteten Richtungen: Das deutsche Jugendschutzrecht bestraft beispielsweise ausbildende Betriebe mit Bußgeld- und sogar Haftstrafen, wenn diese ihre Aufsichtspflichten verletzen und ihren Auszubildenden den Zugriff auf jugendgefährdende Medien erlauben und sei es auch nur durch die Gewährung unbeschränkten und unkontrollierten Speicherplatzes auf den Firmenservern, der von den Auszubildenden für den Austausch von entsprechenden Audio- und Videotiteln genutzt wird. Externalität ist ein Begriff aus der Wirtschaftssprache. Dieser beschreibt die Auswirkungen des Handelns einer Person auf eine andere. Das ökonomische Problem der externen Effekte liegt darin, dass die Verursacher der externen Effekte diese nicht im wirtschaftlichen Kalkül berücksichtigen. Ohne gesetzliche Regelungen werden im Falle negativer externer Effekte gesamtgesellschaftliche Kosten verursacht, da sie vom Entscheider nicht berücksichtigt werden, bzw. im Falle positiver externer Effekte gesamtgesellschaftlicher Nutzen nicht verursacht, da der Entscheider nicht von ihnen profitieren würde. Beides ist nicht wünschenswert und führt daher zu staatlichen Regelungen. Zur Verhinderung externer Effekte hat der Staat die einschlägigen Rechtsvorschriften bzw. Haftungsprinzipien erlassen. Nur durch entsprechende technische und organisatorische Maßnahmen lässt sich effektiv verhindern, dass Mitarbeiter die Ressourcen des Unternehmens dazu nutzen, um vom Arbeitsplatz aus illegale Tauschbörsen oder andere unerwünschte Anwendungen zu betreiben. SEITE 5

6 Skype macht das eigene Netzwerk angreifbar Wie schon erwähnt, ist ein wesentlicher Sicherheitsaspekt die Gefahr, über Skype-Verbindungen das eigene Netzwerk angreifbar zu machen. Philippe Biondi und Fabrice Desclaux von EADS haben die genauere Arbeitsweise des Clients veröffentlicht. Sie fanden heraus, dass der Hersteller immensen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. So erkennt der Client beispielsweise, ob er in einem Debugger läuft, und ändert sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschlüsselt und werden erst zur Laufzeit ausgepackt. Darüber hinaus ist es den beiden Forschern gelungen, die Art der Datenverschlüsselung, die Berechnung des Schlüssels sowie die Authentifizierung von Skype herauszufinden. Prinzipiell besteht die Möglichkeit, manipulierte Supernodes ins Netz zu bringen, um den Sprachverkehr umzuleiten und zu belauschen. Durch die fehlende Transparenz von Skype ist somit diese Applikation nicht mit der Sicherheitspolitik eines Netzwerkbetreibers vereinbar. So können eventuell schon vorhandene oder zukünftige Backdoors nicht erkannt werden. Das Netzwerk ist gegen Angriffe ungeschützt, da die Angriffe über Skype grundsätzlich versteckt sind. Weiterhin wird ein Datenverkehr erzeugt, der nicht einfach überwacht werden kann. Jeder Nutzer von Skype muss automatisch nicht nur den anderen Nutzern, sondern auch jeglichen Knoten, die für die Verbindungen genutzt werden, blind vertrauen. Auch wenn die Entwickler von Skype alles daransetzen, eventuelle Sicherheitslücken zu schließen, treten wie bei allen Softwareentwicklungen derartige Lücken immer wieder auf. Da eine Skype-Verbindung quasi einen Tunnel durch die Firewall eines Netzwerkes aufbaut, ist die Gefahr, dass Dritte über eine solche Verbindung unberechtigt eindringen, gegeben. Und anders als bei reinen Telefonverbindungen ist damit der Zugriff auf sämtliche Daten im Netzwerk, die Einschleusung von Trojanern und Spyware oder die Verseuchung mit einem Virus möglich. Außerdem baut Skype sehr viele Internetverbindungen auf, welche von IDS nicht eindeutig zugeordnet werden können, und führt gleichzeitig zu einer erhöhten Rate von fehlerhaften Sicherheitsalarmen. Dies zieht einerseits das Risiko nach sich, dass wichtige Alarme zwischen Fehlalarmen übersehen werden. Andererseits würden zu lockerere Sicherheitseinstellungen für IDS ein größeres Risiko darstellen, da tatsächliche Angriffe nicht erkannt werden. Zusammenfassung Das ernüchternde Ergebnis ist, dass sich der Einsatz von Skype in den Unternehmen mit gängigen Maßnahmen kaum blockieren lässt. Jeder Skype Client verwendet einen anderen Port. Dieser Kommunikationsport wird bei der Installation nach dem Zufallsprinzip festgelegt. Aus diesem Grund lässt sich der Skype-Verkehr nicht ohne weiteres in der Firewall, durch Blockierung einzelner Ports, unterbinden. Weil Skype auf einer Peer-to-Peer-Technologie basiert, kann auch kein zentraler Server blockiert werden. Bleibt noch der Login- Server, auf dem sich jeder Nutzer anmelden muss, um einen neuen Account zu registrieren und um sich im Skype-Netzwerk anzumelden, wenn er nicht die Option Autologin aktiviert hat. Hat sich ein Nutzer bereits angemeldet (möglicherweise von zu Hause) und wurde die Option Autologin gewählt, braucht der Benutzer nicht einmal mehr eine Verbindung zu einem Login-Server. Die Login-Server verfügen über feste IP-Adressen (beispielsweise , , , ). Daher könnte der Zugriff auf diese Server blockiert werden. Dies bietet jedoch keinen hundertprozentigen Schutz. Wie steht es mit dem Datenschutz bei der Nutzung von Skype im Unternehmen? Der Umfang der datenschutzrechtlichen Anforderungen betreffend die Nutzung von Skype hängt ganz maßgeblich davon ab, ob diese für die Öffentlichkeit oder nur für geschlossene Benutzerkreise bestimmt ist. Firmeneigene Netze werden in aller Regel nur für geschlossene Benutzerkreise angeboten. Hierbei sind aus datenschutzrechtlicher Sicht zwei Varianten zu unterscheiden: Die Nutzung des firmeneigenen Netzes ist nur für betriebliche Zwecke erlaubt. Für den Fall, dass die Angestellten eines Unternehmens das firmeneigene Netz ausschließlich für betriebliche Zwecke nutzen dürfen, ist das Unternehmen (als Betreiber des Netzes) kein Anbieter im Sinne des Telekommunikations- oder Telediensterechts. Schließlich stellt der Arbeitgeber seinen Arbeitnehmern lediglich ein weiteres Arbeitsmittel zur Verfügung. Beim Anbieter und Nutzer des Netzwerks handelt es SEITE 6

7 sich damit rechtlich nicht um zwei verschiedene Rechtssubjekte. Diese Personenidentität hat für das Unternehmen die rechtliche Konsequenz, dass es weder an die Vorschriften zum Fernmeldegeheimnis oder zum Datenschutz noch an die datenschutzrechtlichen Vorschriften des Teledienstedatenschutzgesetzes gebunden ist. Das Unternehmen hat einzig und allein die jeweils einschlägigen Vorschriften für Personaldatenverarbeitung zu beachten. Die Nutzung des firmeneigenen Netzes ist für private und betriebliche Zwecke erlaubt. Wird dagegen den Angestellten erlaubt, das firmeneigene Netzwerk auch für private Zwecke zu nutzen, erbringt das jeweilige Unternehmen geschäftsmäßige Telekommunikationsdienste. Eine Personenidentität ist nun nicht mehr annehmbar, vielmehr geht es nun um zwei verschiedene Rechtssubjekte, nämlich den Arbeitgeber (Anbieter) und seinen Arbeitnehmer (Nutzer). In datenschutzrechtlicher Hinsicht hat dies zur Folge, dass das betreffende Unternehmen sowohl das Fernmeldegeheimnis als auch die datenschutzrechtlichen Vorschriften der Telekommunikationsgesetze zu beachten hat. Welche Risiken birgt Skype? Die Installation und der Betrieb von illegalen Kommunikationskanälen sind durch Mitarbeiter technisch vergleichsweise leicht zu bewerkstelligen. Dies fällt den Mitarbeitern umso leichter, wenn das Unternehmen nur mittelmäßige Sicherheitsmaßnahmen etabliert und diese zudem nicht speziell auf die Thematik P2P, IM und Skype abgestimmt hat. Einschlägige Untersuchungen zeigen, dass die Risiken von Skype noch immer unterschätzt werden. Die größte Gefahr geht vom Risiko des Datenabflusses aus. Mit anderen Worten: Durch Skype können vertrauliche Unternehmensdaten unbemerkt aus dem Unternehmen geschmuggelt werden. Der Missbrauch von Arbeitszeit, Speicherplatz und Bandbreite kann zwar zu erheblichen arbeitsrechtlichen Konsequenzen für die Mitarbeiter bis hin zur fristlosen Entlassung führen; für das Unternehmen ist dies aber nur eine relativ unbefriedigende Begrenzung eines Schadens, der in der Regel schon längst entstanden ist. Unternehmen, deren Mitarbeiter durch unbemerkt und unkontrolliert laufende Plattformen Urheberrechte verletzen, können dafür samt ihrer Vorstände und Geschäftsführer zur Rechenschaft gezogen werden. Die rechtlichen Konsequenzen reichen dabei von Unterlassungs- und Schadensersatzansprüchen bis hin zu Haftstrafen für die Geschäftsführung. Skype auf dem USB-Stick Mit Hilfe von USB-Sticks ist es möglich, Skype zu benutzen, auch wenn die Installation an sich durch Abwehrmaßnahmen nicht möglich wäre. Skype kann auf einem USB-Stick lauffertig installiert werden. Dabei ist besonders hinterhältig, dass dieser Betrieb keine Spuren hinterlässt, da alle temporären Dateien, die zur Benutzung nötig sind, auf dem USB-Stick als Laufwerk abgelegt werden. Wird der Stick abgezogen und die Anwendung geschlossen, ist nicht nachzuweisen, dass Skype jemals auf dem Rechner war. Einsatz von Skype bedarf klarer Regeln Unternehmen, die Skype bereits einsetzen oder dies in Zukunft planen, müssen klare Regeln für den Umgang mit Skype aufgestellen: Der IT-Verantwortliche und/oder der IT-Sicherheitsbeauftragte müssen unbedingt über den Skype-Einsatz informiert werden und die Voraussetzungen für die Nutzung prüfen. Auf Rechnern sicherheitskritischer Bereiche mit hohem Schutzbedürfnis muss die Installation von Skype untersagt werden. Die Mitarbeiter müssen detailliert über die Risiken von Skype informiert und für den richtigen Umgang mit unternehmenskritischen Daten sensibilisiert werden. Die Anwender müssen bei der Nutzung alle definierten Regeln einhalten. Dazu zählt auch, dass nur mit bekannten Partnern kommuniziert wird und dass die automatische Annahme von Verbindungen strikt untersagt ist. SEITE 7

8 Gefahrenquelle Mensch Außer Problemen durch den Einsatz des Skype-Clients selbst können Sicherheitslücken natürlich auch durch Mängel in der Programmumgebung beziehungsweise durch böse Absicht oder Fahrlässigkeit der Anwender entstehen. Die Praxis zeigt, dass die Hauptquelle der Gefahren vom User selbst ausgeht. Mit anderen Worten: Ausgerechnet der Faktor Mensch kann bei der Verwendung von Skype am häufigsten zu Verletzungen der Datensicherheit führen. Bei etwa der Hälfte aller bekannten Vorfälle lag die Schuld für Datenverlust tatsächlich an den Mitarbeitern des Unternehmens, die fahrlässig mit den Daten umgegangen sind oder die Absicht hegten, Daten aus dem Unternehmen zu entwenden. Mängel in der Programmumgebung von Skype, Schwachstellen im Betriebssystem oder in den auf dem PC genutzten Anwendungen bergen zusätzliche Gefahrenpotenziale beim Zusammenspiel mit Skype. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Studie (VoIPSEC, Studie zur Sicherheit von Voice over Internet Protocol) eine Reihe von Skype-Schwachstellen aufgezeigt. Hierzu gehören: Skype-Rechner wurden mit dem Trojaner W32/Ramex.A infiziert, der den Fremdzugriff auf den Computer ermöglichte und ihn zum Teil eines Botnetzes machte. Über ein Sicherheitsleck in Skype konnten Angreifer die Kontrolle über fremde Systeme erlangen. Durch das Einschleusen manipulierter Videos ließen sich Cross Site Scripting-Attacken auf Skype zu starten. Unwissenheit schützt bekanntlich nicht vor Strafe: Die Folgen eines unkontrollierten Einsatzes von Skype können die Unternehmensleitung sogar dann treffen, wenn diese von deren Nutzung nichts gewusst hat. Sicherheitsrisiken Fehlende Standardisierung und Interoperabilität Unklare Sicherheit, da Protokolle nicht offengelegt werden Rechtliche Risiken Unklare Bindungswirkung des Lizenzvertrages Geschäftliche Nutzung rechtlich nicht klar geregelt. Mögliche Sicherheitslücken im Quellcode Skype lehnt Gewährleistungsansprüche ab Keine Sicherstellung der Authentizität und Integrität der Daten/Verbindungen Skype kann Benutzerkonten löschen. Potenzieller Kanal zum Schmuggeln vertraulicher Unternehmensdaten Unklare Eigentums- und Verwendungsrechte der Skype-ID Überwachung des Nutzers möglich Belastung des Firmennetzes durch Super-Node- Funktionalität Gefährdung des Unternehmensnetzwerkes über die Endgeräte Quelle: Berlecon Research GmbH Wie bekommt man das Problem Skype im Unternehmen trotzdem in den Griff? Um die Kontrolle über Skype zu gewinnen, gibt es verschiedene Möglichkeiten. Eine sehr aufwändige Methode ist es, extrem restriktive Netzwerkeinstellungen und Überwachungen aller Installationen im eigenen Netzwerk vorzunehmen. Die bessere Möglichkeit ist, Skype am Gateway zum Internet zu sperren. Dazu eignet sich die von underground_8 entwickelte MF Security Gateway Serie hervorragend. Aufgebaut auf einem proprietärem Betriebssystem Sniper OS bietet das MF Security Gateway einen allum- SEITE 8

9 fassenden Schutz gegen die wachsende Anzahl an Bedrohungen auf Applikationsebene. Darunter versteht underground_8 eine Kombination an Filtermöglichkeiten für gängige Protokolle wie HTTP, FTP, SMTP, POP3, P2P oder auch VoIP. Diese Absicherung ist ganz besonders für Unternehmen erforderlich, die mit personenbezogenen Daten arbeiten, da sie von gesetzlicher Seite eine besonders hohe Sorgfaltspflicht einzuhalten haben. In Kombination mit Stealth Technologie sorgt der Applikations- und P2P-Schutz, gepaart mit sorgfältig designter Hardware, für ein sicheres und performantes Netzwerken. Das MF Security Gateway erkennt, klassifiziert und blockt alle Arten von Messaging- und P2P-Programmen. underground_8 bietet im Rahmen der Web Filtering-Option folgende Funktionen: Erweiterte Erkennung von IM/P2P-Protokollen: Ein neuer Flow Classifier ermöglicht Identifikation und Klassifizierung komplexer und schwer erkennbarer Protokolle im Datenstrom. Skype-Blockierung: Der Skype-Blocker verändert die Firewall- und HTTP-Proxy-Konfiguration des MF Security Gateways nachhaltig. Dadurch werden jegliche Verbindungsversuche von Skype strickt unterbunden. Nach der Aktivierung des Skype-Blockers wird die gesamte Kommunikation vom internen ins externe Netz über das MF Security Gateway abgewickelt. Dabei werden die Kommunikationsströme über die DCI Engine und spezielle Filter geleitet. (siehe auch Peer-2-Peer Filter und SOCKS Proxy ). Administratoren können Ausnahmen von der unternehmensweiten Sicherheits-Policy für Instant Messenger und P2P-Anwendungen definieren. Auf Basis der Clients allow-liste kann der Netzadministrator einzelnen Clients (bzw. IP-Adressen) die Skype-Nutzung erlauben und einen geregelten Skype-Verbindungsaufbau zulassen. Auf diese Weise lässt sich der Gebrauch entsprechender Tools granular für einzelne IP-Adressen oder Anwender freischalten. Mit der Funktion Server allow-liste hat der Netzadministrator die Möglichkeit, den Zugriff auf einzelne Server im Internet zu erlauben. Damit kann die Verbindung zu bestimmten Servern die einen ähnlichen Verbindungsaufbau wie Skype nutzen realisiert werden. Peer-2-Peer Filter und SOCKS Proxy Jeder Rechner in einem Peer-to-Peer-Netzwerk kann Client- und Server-Funktionen übernehmen. Dedizierte Server sind in der Regel nicht vorhanden. Gemeinsam genutzte Ressourcen (Verzeichnisfreigaben, Drucker etc.) verteilen sich über alle teilnehmenden Rechner. Ein reines Peer-to-Peer-Netzwerk unterscheidet sich deutlich vom Client-Server-Modell, bei dem die Kommunikation normalerweise von einem zentralen Server ausgeht. Im Peer-2-Peer-Filtermenü lassen sich die P2P-Filter für das MF Security Gateway konfigurieren. Viele Filesharing-Netzwerke wie e-donkey, KaZaA, Gnutella usw. sind hier aufgelistet. Der Administrator kann auswählen, welche Filesharing-Netzwerke zur Ausführung berechtigt sind. Das MF Security Gateway bietet auch die Möglichkeit, einen protokoll-unabhängigen Proxy, einen so genannten SOCKS Proxy, zu definieren. Die Regeln für den SOCKS Proxy werden über spezifische Merkmale wie beispielsweise Access Control List (ACL), Protocol, Permission, Source- und Destination Ziel-IP-Adresse bzw. Source- und Destination-Port festgelegt. Darüber hinaus sorgt das MF Security Gateway für ein effektives Bandbreitenmanagement. Oftmals geben Unternehmen einen Großteil ihres IT-Budgets für sehr teure und geschäftskritische Applikationen aus, um dann herauszufinden, dass diese über WAN und Internet nicht effizient funktionieren. Auch der herkömmliche Internetzugang wird unnötigerweise überdimensioniert, nur weil man Bandbreite nicht unterteilt und Dienste priorisiert. Diese Anwendungen müssen sich ihre Bandbreite von weniger wichtigen Applikationen erkämpfen, da die Bandbreitenressourcen beschränkt sind. Diese Frei-für-alle-Anwendungen -Philosophie kann die Zustellung wichtiger Informationen verzögern, die Leistung der Anwendungen behindern und dadurch dem Unternehmen schaden. Dabei benötigen die meisten Netze heute keine zusätzliche Bandbreite, sondern Wege, die existierende Bandbreite zu managen und deren Verbrauch zu kontrollieren. Genau diese Lösung unterstützt der underground_8 mit dem integrierten portbasierten Traffic Shaping. Dadurch werden Dienste wie VoIP, HTTP, POP3, FTP usw. optimiert. SEITE 9

10 Fazit Skype sollte in Unternehmen und vor allem in Bereichen, in denen mit geheimen Informationen gearbeitet wird, nicht eingesetzt werden. Das bedeutet jedoch nicht, dass die Nutzung von Skype in Unternehmen generell ausgeschlossen werden sollte. Der Einsatz muss jedoch unter Beachtung klar definierter Regeln erfolgen. Dazu gehört auch, dass Mitarbeiter über die Risiken von Skype informiert und für den Umgang mit unternehmenskritischen Daten sensibilisiert werden. Denn IT-Sicherheit entsteht nicht nur durch technische Schutzmaßnahmen wie der MF Security Gateway -Technologie und Anti-Viren-Software. Ein mindestens ebenso wichtiger Faktor ist ein gesundes Maß an Misstrauen und Wachsamkeit gegenüber der Software, die auf den Systemen läuft. underground_8 secure computing GmbH assumes no responsibility for any inaccuracies in this document. underground_8 secure computing GmbH reserves the right to change, modify, transfer or revise this publication without notice. AAS, AS, DCI, DLA, LPC, MF, NGTM, PVN, RMF, SPN, Stealth, XC are registered trademarks of underground_8 secure computing GmbH underground_8 secure computing GmbH. All rights reserved. underground_8 secure computing gmbh SEITE 10