Was zu tun ist, damit Skype sicher bleibt

Udo Schneider ist Product Manager bei Trend Micro.

Die IP-Telefonie-Software Skype steht im Ruf, unsicher zu sein. Hauptgrund: Im Oktober 2006 und Anfang 2007 nutzten zwei Schadprogramme Skype für ihre eigene Verbreitung. Danach fühlten sich viele Benutzer an das Dilemma mit der Tauschbörse Kazaa erinnert. Letztere steht ebenfalls im Ruf, eine wahre Malware-Schleuder zu sein. Überdies stehen mit -Niklas Zennström und Janus Friis dieselben Gründer hinter Skype wie hinter Kazaa. Eine Tatsache, welche das Misstrauen vieler Anwender gegenüber der Software zusätzlich schürt.

Stehen uns mit Skype deswegen aber tatsächlich ähnliche Probleme wie mit Kazaa ins Haus?

Grundsätzlich lässt sich eines vorwegnehmen: Die beiden namenlosen Schadprogramme, welche sich via Skype verbreiteten, nutzten keine Lücken in der Software selbst aus. In beiden Fällen musste der Benutzer die empfangene Datei manuell speichern und ausführen. Eine automatische Verbreitung und Infektion ist somit nicht möglich. Am besten lässt sich diese Art von Schadsoftware mit anderen Varianten vergleichen, die sich über bekannte Instant-Messaging-Protokolle wie ICQ, MSN und AIM verbreiten.

Was aber macht Skype dann zu einem so dankbaren Opfer von Schadprogrammen? Um diese Frage zu klären, muss man sich die Historie und die Funktionalitäten der Software genauer ansehen. Dabei fällt auf, dass Skype und Kazaa ausser den Gründern noch etwas gemeinsam haben: So bot etwa der Kazaa-Client Zugang zu einem Peer--to-Peer-Netz (P2P), über das Anwender bequem Musik, Filme oder andere Dateien - und freilich auch Malware - verbreiten konnten. Diese P2P-Funktionsweise nutzt auch Skype.

Entsprechend gibt es bei Skype keine Zen-t-rale, die man einfach blocken könnte. Die Clients finden sich dynamisch untereinander. Somit ist es schwer, den Verkehr mittels Firewalls zu sperren. Selbst bei sehr restriktiv konfigurierten Firewalls ist Skype meist in der Lage, zu kommunizieren. Sei es durch die Verschleierung als regulärer HTTP-Verkehr oder durch Verwendung anderer Techniken. Dies macht den Skype Client für Benutzer ideal, da er unter fast allen Bedingungen kommunizieren kann. Den IT-Administratoren wird durch dieses Prinzip allerdings die Kontrolle entzogen. Hinzu kommt, dass der Skype-Verkehr verschlüsselt ist.Eine Erkennung aufgrund des Inhaltes beziehungsweise des Protokolls und ein Untersuchen auf -Viren, Würmer und Co. ist so kaum möglich.

Auf der anderen Seite bietet Skype unter einer kombinierten, einfach zu bedienenden Oberfläche eine ganze Reihe von Funktionalitäten an. Benötigte man vorher verschiedene Programme für Instant Messaging, File-transfer, Voip, Videokonferenzen und mehr, so sind dieses Features in Skype allesamt vereint. Eine Tatsache, die dem Programm eine grosse und treue Anhängerschaft von inzwischen mehr als 190 Millionen registrierten Mitgliedern beschert. Rund neun Millionen dieser Mitglieder sind ständig online.

Aber auch für Programmierer ist Skype interessant. Durch verschiedene Schnittstellen kann sich Software von Drittherstellern in Skype integrieren - dies ermöglicht zum Beispiel die Fernsteuerung eines installierten Skype-Clients. Diese Schnittstellen werden inzwischen von Skype sehr stark beworben. In neueren Versionen der Software kann man verschiedene Erweiterungen aus dem Client heraus installieren.

Für Malware-Programmierer ist dies fast das Paradies. Auf der einen Seite steht die sehr hohe Anzahl von potenziellen Opfern. Auf der anderen Seite sorgt Skype selbst dafür, dass die Kommunikation auch unter erschwerten Bedingungen möglich bleibt. Zudem ist Skype einfach fernsteuerbar.

Dennoch: Risiken entstehen oft erst durch die Unachtsamkeit der Benutzer. Wer eine gewisse Vorsicht walten lässt und die richtigen Sicherheitsmassnahmen ergreift, darf sich auch mit Skype relativ sicher fühlen.

Folgende Sicherheitsmassnahmen sind bei Skype unbedingt zu beachten:

In Skype müssen Kontakte autorisiert werden. Erst dann sehen diese Kontakte Informationen über Sie beziehungsweise Ihren Onlinestatus. Autorisieren Sie niemals Kontaktanfragen, wenn Sie nicht hundertprozentig sicher sind, die Person zu kennen.

Durch die eingebaute Chat-Funktionalität ist es sehr leicht, URLs im Chat zu versenden. Skype unterstützt dieses Verhalten sogar, indem es URLs automatisch hervorhebt, sodass Sie im Chat auf den Link klicken können. Dadurch wird dieser Link automatisch im Webbrowser geöffnet beziehungsweise die Datei heruntergeladen. Klicken Sie niemals auf diese Links, da diese auch automatisch versendet werden können. In vielen Fällen landen Sie auf Webseiten, die über Browser-Backdoors versuchen, den PC zu infizieren oder Schadsoftware herunterzuladen. Dies gilt auch, falls der Link angeblich von einem Ihrer Kontakte stammt.

Skype bietet die Möglichkeit, Dateien zu versenden. Wenn Sie eine Datei empfangen, sollten Sie auf jeden Fall den Realtime-Scan Ihres Virenscanners aktiviert haben. Dies verhindert, dass eventuelle Schadsoftware auf die Platte geschrieben wird.

Benutzen Sie nach Möglichkeit ein Headset, das es Ihnen erlaubt, das Mikrofon hardwaremässig stummzuschalten. Dies verhindert, dass Angreifer den Skype-Client missbrauchen können, um Sie abhören zu können. Auch bei Webcams gibt es inzwischen Modelle mit einer Blende, so dass auch hier Ihre Privatsphäre geschützt ist.

Versucht ein Programm, Skype fernzusteuern, fragt Skype den Benutzer, ob dies erlaubt werden soll. Gestatten Sie niemals Programmen diesen Zugriff wenn Sie nicht genau wissen, um welches Programm es sich handelt oder wenn Sie sich über dessen Funktion im Unklaren sind. Sie können jederzeit in den Skype-Optionen einsehen, welche Programme Skype benutzen dürfen und diesen im Zweifelsfall die Rechte wieder entziehen.

Weitere Informationen

Skype frisst jede Menge Bandbreite im Unternehmensnetzwerk

Für einen Telefonanruf benötigt Skype durchschnittlich lediglich zwischen 3 und 16 KBit/s, maximal 30 KBit/s an Bandbreite. Im inaktiven Zustand verwendet die Software höchstens 0,5 KBit/s für die Aktualisierung des Kontaktstatus.

Jeder Computer kann zu einem Supernode mutieren

Nur Rechner, die über eine öffentliche, routbare IP-Adresse verfügen und die sich nicht hinter einem HTTP- oder Socks5-Proxy befinden, können als Supernode fungieren. Computer in einem typischen Unternehmensnetzwerk mit einer NAT-Firewall (Network Address Translation) werden nicht zu Skype-Vermittlungszentralen. Und: Ab Version 3.0. des Skype-Clients kann die Supernode-Funk-tion über Registry-Keys deaktiviert werden.

Skype ist anfällig für IM-Viren und -Würmer

2006 wurden über 1400 Viren und Würmer gezählt, die es explizit auf IM-Clients abgesehen hatten. Keiner davon befiel Skype.

Es gibt keine Möglichkeit, Skype im Firmennetz zu blockieren

Es gibt verschiedene Wege, Skype den Weg ins Unternehmensnetzwerk zu versperren. Angefangen bei Skripts bis hin zu Netzwerkmanagement-software, welche Skype bereits am Internetgateway abweist. Traffic-Management-Systeme -können Skype beispielsweise mit Deep Packet Inspection trotz der Verschlüsselungstaktik aufspüren.