Fraunhofer ESK: Skype ist Sicherheitsrisiko für Firmen

Das Fraunhofer-Institut für Eingebettete Systeme und Kommunikationstechnik (ESK) in München hat sich erneut die Eignung von Skype für den Unternehmenseinsatz angeschaut. Nach einer ersten Studie 2013 hat Microsoft die Technik hinter dem Instant-Messaging-Dienst mittlerweile umgestaltet. Grundsätzlich beruht Skype auf einem Peer-to-Peer-Netz, jedoch nehmen Super-Nodes Anmeldungen entgegen und stellen unter bestimmten Umständen Verbindungen her. Mittlerweile stehen diese in Microsoft-Rechenzentren. Das Fraunhofer-Institut kritisiert, dass somit nicht nachvollziehbar ist, über welche Knoten der Datenverkehr läuft.

Ein weiterer Kritikpunkt ist, dass Skype ein proprietäres Kommunikationssystem und der Quellcode nicht einsehbar sei, und sich daher die Sicherheitsfeatures nicht überprüfen ließen. Außerdem lägen die Keys fürs Verschlüsseln bei Microsoft, weshalb prinzipiell Dritte auf den Inhalt der Übertragung zugreifen könnten. Für sicherheitskritische und unternehmensrelevante Informationen rät Fraunhofer ESK daher von Skype – genauso wie von klassischer unverschlüsselter Telefonie – ab.

Zurückhaltung bei Skype for Business

Bei der kostenpflichtigen Firmenversion (Skype for Business) sehen die Fraunhofer-Wissenschaftler keine Hürden wegen der Sicherheit, lediglich beim Einsatz der bei Microsoft gehosteten Cloud-Variante sollte man zuvor datenschutzrechtliche Bedenken ausräumen. Generell sollte aber auch bei dieser Variante Zurückhaltung geübt werden hinsichtlich vertraulicher Firmeninformationen.

Dass Super-Nodes zum Abhören taugen, hatte Microsoft vor einigen Jahren dementiert. Allerdings war der Redmonder Konzern beim Mitlesen von Skype-Chats ertappt worden. Der Dienst Skype for Business wird seit Frühjahr 2015 angeboten, er ging aus Microsofts eigenem Kommunikationsdienst Lync hervor. Das Unternehmen hatte die Firma Skype 2011 gekauft. (tiw)