Sicherheitsrisiko Skype

Die Kommunikationssoftware Skype ist beliebt und hat sowohl unter Privatleuten als auch im geschäftlichen Sektor eine beachtliche Verbreitung erfahren. Der Beliebtheit haben dabei auch diverse negative Schlagzeilen nicht geschadet. So wurde der seit 2011 im Besitz von Microsoft stehende Messenger bereits 2007 dabei ertappt, eine ausführbare Datei im Benutzerordner anzulegen, welche Gerätedaten des Computers sammelt und diesen Vorgang vor dem Nutzer zu verbergen sucht. Im Jahre 2010 wurde bekannt, dass deutsche Behörden die verschlüsselte Kommunikation per Skype genau wie normale unverschlüsselte Telefonie abhören können, als Chat-Protokolle in Gerichtsverfahren als Beweismittel eingeführt wurden. Nach der Übernahme durch Microsoft wurde es jedoch nicht still um Skype, denn noch im selben Jahr wurde bekannt, dass an der University of North Carolina at Chapel Hill ein Verfahren entwickelt worden war, welches Skype Sprachchats auswerten konnte. Im Jahre 2013 deckte heise security nach einem Nutzerhinweis auf, dass Skype aktiv Textchats auswertet. So konnte nachvollzogen werden, dass Internetadressen, welche in Skype Chats verschickt wurden, kurze Zeit später Besuch aus den Rechenzentren von Microsoft bekamen. Pikanterweise wurden dabei nur gesicherte Adressen mit dem https Präfix besucht. Durch die Veröffentlichungen von Edward Snowden im Juli 2013 folgte dann die wenig überraschende Gewissheit, dass Skype Text-, Sprach- und Videochat flächendeckend durch die NSA ausgewertet wird.
Im Januar 2016 hat das Fraunhofer-Institut für eingebettete Systeme und Kommunikationstechnik (ESK) eine Studie zum Einsatz von Skype im Unternehmen vorgestellt. Die Studie kommt zu dem Ergebnis, das Skype nicht in Unternehmen verwendet werden sollte. Bemängelt wird insbesondere, dass Skype nach wie vor ein proprietäres Kommunikationsprotokoll verwendet. Die Prüfung der Software ist durch den nicht offen gelegten Quellcode ebenso wie durch besondere Mechanismen zum Analyseschutz behindert.
Rückschlüsse aus der erschütterten Vertrauenswürdigkeit muss nun jeder Nutzer selbst ziehen. Insbesondere in Unternehmen sollte Skype nicht bzw. mit Bedacht eingesetzt werden. Sicherheitsbedenken gelten jedoch nicht nur für Skype, sondern für einen Großteil aller Softwarelösungen, deren Quellcode nicht veröffentlicht ist. Auch wenn Open Source allein kein Garant für die Sicherheit von Software ist, erscheint sicherheitsrelevante Software welche ihren Quellcode nicht zur Prüfung offenlegt heutzutage grundsätzlich nicht mehr vertrauenswürdig.