Beruflich Dokumente
Kultur Dokumente
Skypein
Seite 1
dienstmerkmal
beschreibung Skype Voicemail stellt einen kostenpflichtigen Anrufbeantworter als Dienst zur Verfgung. Die Voicemail-Funktion dient nicht nur als Anrufbeantworter, sondern es lassen sich zustzlich noch Sprachnachrichten an alle anderen Skype-User verschicken, auch wenn diese kein Voicemail-Abo besitzen. Voicemail zeichnet Nachrichten nicht nur dann auf, wenn Skype-Anrufe nicht entgegengenommen werden, sondern auch, wenn der Computer ausgeschaltet ist. Mit diesem kostenlosen Service knnen sich bis zu 100 Nutzer untereinander zu den verschiedensten Themen auszutauschen.
Skype Voicemail
Skypecast
Der Initiator eines Skypecast agiert als Moderator zwischen den Teilnehmern und entscheidet, wer das Wort erhlt. Um den Dienst zu nutzen, muss sich der Nutzer vorab registrieren.
Seite 2
Verkehr mittels Firewalls zu sperren. Mancher Administrator ist daher unangenehm berrascht, dass Skype trotz restriktiv konfigurierter Firewall funktioniert. Auf Basis von Skype ist es mglich, auch zwischen Clients, die durch eine Firewall geschtzt sind, VoIP-Verbindungen herzustellen. Mchte Nutzer A mit Nutzer B sprechen und sind beide durch eine Firewall geschtzt, sind in keiner Richtung eingehende Verbindungen mglich. Befindet sich jedoch nur Nutzer A hinter einer Firewall, kann Nutzer A den Nutzer B anrufen, aber nicht B den Benutzer A. Jeder Skype Client ist mit einem Supernode verbunden, der letztlich als Verteiler agiert. Dabei kann jeder Skype-Client als Supernode arbeiten. Somit sind Supernodes keine zentralen Server, sondern andere SkypeNutzer. Dem IT-Administrator wird durch dieses Prinzip allerdings die Kontrolle entzogen.
Super Nodes
Abbildung 1: Skype Netzwerk Beim Verbindungsaufbau (Anruf) wird ber eine bereits bestehende Verbindung zum Supernode (C) auf Basis des Skype Proprietary Call Control Protocols ein eingehender Anruf signalisiert. Anschlieend verbinden sich A und B mit dem Supernode C und bauen ber Rechner C das Gesprch auf. Das eigentliche Gesprch wird anschlieend direkt zwischen A und B (per UDP-Verbindung) abgewickelt.
Seite 3
Abbildung 2: Verbindungsaufbau Skype Erlaubt eine sehr restriktiv konfigurierte Firewall den Transfer des ausgehenden Datenverkehrs nur ber den TCP-Port 80 (HTTP) und 443 (HTTPS) und sind die UDP-Wege blockiert, wird das Gesprch ber andere Computer (D) gefhrt. Diese Funktion wird als Relaying bezeichnet. Das Relaying lsst sich nicht nur fr die bermittlung von Sprache, sondern auch zur Datenbertragung nutzen. Die Transferrate einer solchen Verbindung ist nicht sehr hoch, aber immerhin kommt die Dateibertragung berhaupt zustande. Ein Mechanismus zur Durchdringung von Firewalls wird als UDP Hole Punching bezeichnet. Normalerweise knnen zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation (NAT) aus dem Internet nicht direkt adressierbar. Selbst wenn man die bersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, ber diese zu kommunizieren, wird die Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht von ihrem Netz aus aufgebaut wurde. Beim UDP Hole Punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist der Firewall bekannt, dass sie auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander luft dann jeweils ber den Server, der die Pakete mit seiner Adresse als Absender weiterleitet. Das UDP Hole Punching erfordert jedoch, dass die NAT-Komponente den Status der UDP Session hlt, unabhngig davon, dass die Pakete jetzt von einem anderen Rechner kommen. Dieser Mechanismus arbeitet jedoch nur mit einem so genannten full cone NAT und hat keinen Erfolg bei restricted cone NAT oder symmetric NAT. Kein Problem ohne Lsung: Beide Rechner beginnen mit der Versendung von mehreren Paketen bzw. Verbindungsversuchen. Durch das restricted Cone NAT wird das erste Paket vom Kommunikationspartner blockiert. Da jedoch die NAT-Komponente anschlieend ber einen Vermerk (habe Paket zu anderer Maschine versendet) verfgt, lsst NAT anschlieend alle Pakete von dieser IP-Adresse und Portnummer durch. Neben Skype nutzen diese Technik auch die Peer-to-Peer-Mechanismen und die VoIP-Telefonie. Das UDP Hole Punching macht es sehr schwer, Skype beispielsweise in Firmennetzen zu blockieren. Durch die Mglichkeit, Dateien ber Skype zu bertragen, ist Skype die perfekte Methode, um unerkannt Daten aus abgesicherten Bereichen zu schmuggeln. Die Registrierung als Skype-Nutzer und die Installation der Software erkauft man mit der Bereitstellung der Ressourcen des eigenen Computers bzw. Firmenrechners fr die Skype-Community. Besitzt der als SkypeClient verwendete Rechner die richtigen Voraussetzungen lange Online-Zeiten, hohe Bandbreite, eine ffentliche IP-Adresse, reichlich Rechenpower und Arbeitsspeicher , kann dieser zu einem Supernode mutieren und damit zu einer Vermittlungszentrale fr Adressbcher, Presence-Informationen und die Kommunikationsstrme der Skype-User werden.
Seite 4
Mit dem Befehl Netstat kann man festzustellen, ob der eigene Computer als Supernode agiert. Tauchen in den Statistiken ber einen lngeren Zeitraum viele unbekannte Verbindungen auf dem in den Skype-Optionen unter Connection festgelegten Port auf, ist dies wohl ein gewisses Indiz fr einen Supernode. Es kann aber genauso sein, dass der eigene Computer nur zum Relaying verwendet wird. Tatschlich hat ein Supernode viele neue eingehende Verbindungen, die man allerdings durch einmaligen netstat-Check nicht unbedingt mitbekommt. Daher sollte man die eingehenden Verbindungen ber einen lngeren Zeitraum beobachten. Auerdem erzeugt ein Supernode ein deutlich hheres Datenvolumen als normale Knoten. Es besteht kein Zusammenhang zwischen einer groen Anzahl an Verbindungen und dem Status als Supernode. Um den Status eines Supernodes zu erhalten, bentigt der Rechner eine schnelle Internetanbindung, der in Skype festgelegte Port darf fr eingehende TCP- und UDP-Verbindungen nicht durch eine Firewall blockiert sein und Skype muss tage- bzw. wochenlang ohne Neustart laufen. Supernodes werden automatisch ausgewhlt. Bei einem berlasteten Supernode gibt dieser einen Teil der Last an einen der verbundenen Clients ab und die Last wird automatisch verteilt. Ein Supernode stellt von sich aus Bandbreite zur Verfgung, ber die der Benutzer in einem Unternehmensnetz keine Verfgungsgewalt hat. Ab Version 3.0 des Skype-Clients kann diese Funktionalitt ber Registry-Keys ausgeschaltet werden. Auf allen Rechnern, deren Verfgbarkeit garantiert werden muss, sollte die Funktionalitt als Super Node oder Relay bei der Installation des Skype-Client ausgeschaltet werden. Voraussetzung dafr ist jedoch, dass Mitarbeiter Skype nicht unkontrolliert ins Unternehmen einfhren.
rechtliche hintergrnde zum betrieb Von Skype & co. Peer to Peer (P2P), Instant Messaging (IM) und Skype stellen ein immenses Risiko fr Unternehmen dar. Die Installation und der Betrieb von illegalen Tauschbrsen oder unternehmensfremden Kommunikationskanlen sind durch Mitarbeiter technisch vergleichsweise leicht zu bewerkstelligen. Dies fllt den Mitarbeitern umso leichter, wenn das Unternehmen nur mittelmige Sicherheitsmanahmen etabliert und diese zudem nicht speziell auf die Thematik P2P, IM und Skype abgestimmt hat. Der Missbrauch von Arbeitszeit, Speicherplatz und Bandbreite kann zwar zu erheblichen arbeitsrechtlichen Konsequenzen fr die Mitarbeiter bis hin zur fristlosen Entlassung fhren; fr das Unternehmen ist dies aber nur eine relativ unbefriedigende Begrenzung eines Schadens, der in der Regel schon lngst entstanden ist. Unternehmen, deren Mitarbeiter durch unbemerkt und unkontrolliert laufende P2P-Plattformen Urheberrechte verletzen, knnen dafr samt ihrer Vorstnde und Geschftsfhrer zur Rechenschaft gezogen werden. Die rechtlichen Konsequenzen reichen dabei von Unterlassungs- und Schadensersatzansprchen bis hin zu Haftstrafen fr die Geschftsfhrung. Und Unwissenheit schtzt bekanntlich nicht vor Strafe: Die Folgen knnen die Unternehmensleitung sogar dann treffen, wenn diese von den Tauschbrsen nichts gewusst haben. Laufen die Tauschbrsen nur unternehmensintern, drohen Gefahren aus unerwarteten Richtungen: Das deutsche Jugendschutzrecht bestraft beispielsweise ausbildende Betriebe mit Bugeld- und sogar Haftstrafen, wenn diese ihre Aufsichtspflichten verletzen und ihren Auszubildenden den Zugriff auf jugendgefhrdende Medien erlauben und sei es auch nur durch die Gewhrung unbeschrnkten und unkontrollierten Speicherplatzes auf den Firmenservern, der von den Auszubildenden fr den Austausch von entsprechenden Audio- und Videotiteln genutzt wird. Externalitt ist ein Begriff aus der Wirtschaftssprache. Dieser beschreibt die Auswirkungen des Handelns einer Person auf eine andere. Das konomische Problem der externen Effekte liegt darin, dass die Verursacher der externen Effekte diese nicht im wirtschaftlichen Kalkl bercksichtigen. Ohne gesetzliche Regelungen werden im Falle negativer externer Effekte gesamtgesellschaftliche Kosten verursacht, da sie vom Entscheider nicht bercksichtigt werden, bzw. im Falle positiver externer Effekte gesamtgesellschaftlicher Nutzen nicht verursacht, da der Entscheider nicht von ihnen profitieren wrde. Beides ist nicht wnschenswert und fhrt daher zu staatlichen Regelungen. Zur Verhinderung externer Effekte hat der Staat die einschlgigen Rechtsvorschriften bzw. Haftungsprinzipien erlassen. Nur durch entsprechende technische und organisatorische Manahmen lsst sich effektiv verhindern, dass Mitarbeiter die Ressourcen des Unternehmens dazu nutzen, um vom Arbeitsplatz aus illegale Tauschbrsen oder andere unerwnschte Anwendungen zu betreiben.
Seite 5
zuSammenFaSSung
Das ernchternde Ergebnis ist, dass sich der Einsatz von Skype in den Unternehmen mit gngigen Manahmen kaum blockieren lsst. Jeder Skype Client verwendet einen anderen Port. Dieser Kommunikationsport wird bei der Installation nach dem Zufallsprinzip festgelegt. Aus diesem Grund lsst sich der Skype-Verkehr nicht ohne weiteres in der Firewall, durch Blockierung einzelner Ports, unterbinden. Weil Skype auf einer Peer-to-Peer-Technologie basiert, kann auch kein zentraler Server blockiert werden. Bleibt noch der LoginServer, auf dem sich jeder Nutzer anmelden muss, um einen neuen Account zu registrieren und um sich im Skype-Netzwerk anzumelden, wenn er nicht die Option Autologin aktiviert hat. Hat sich ein Nutzer bereits angemeldet (mglicherweise von zu Hause) und wurde die Option Autologin gewhlt, braucht der Benutzer nicht einmal mehr eine Verbindung zu einem Login-Server. Die Login-Server verfgen ber feste IP-Adressen (beispielsweise 80.160.91.5, 80.160.91.11, 80.160.91.13, 80.160.91.25). Daher knnte der Zugriff auf diese Server blockiert werden. Dies bietet jedoch keinen hundertprozentigen Schutz.
Wie Steht eS mit dem datenSchutz bei der nutzung Von Skype im unternehmen? Der Umfang der datenschutzrechtlichen Anforderungen betreffend die Nutzung von Skype hngt ganz mageblich davon ab, ob diese fr die ffentlichkeit oder nur fr geschlossene Benutzerkreise bestimmt ist. Firmeneigene Netze werden in aller Regel nur fr geschlossene Benutzerkreise angeboten. Hierbei sind aus datenschutzrechtlicher Sicht zwei Varianten zu unterscheiden: die nutzung des firmeneigenen netzes ist nur fr betriebliche zwecke erlaubt. Fr den Fall, dass die Angestellten eines Unternehmens das firmeneigene Netz ausschlielich fr betriebliche Zwecke nutzen drfen, ist das Unternehmen (als Betreiber des Netzes) kein Anbieter im Sinne des Telekommunikations- oder Telediensterechts. Schlielich stellt der Arbeitgeber seinen Arbeitnehmern lediglich ein weiteres Arbeitsmittel zur Verfgung. Beim Anbieter und Nutzer des Netzwerks handelt es
Seite 6
sich damit rechtlich nicht um zwei verschiedene Rechtssubjekte. Diese Personenidentitt hat fr das Unternehmen die rechtliche Konsequenz, dass es weder an die Vorschriften zum Fernmeldegeheimnis oder zum Datenschutz noch an die datenschutzrechtlichen Vorschriften des Teledienstedatenschutzgesetzes gebunden ist. Das Unternehmen hat einzig und allein die jeweils einschlgigen Vorschriften fr Personaldatenverarbeitung zu beachten. die nutzung des firmeneigenen netzes ist fr private und betriebliche zwecke erlaubt. Wird dagegen den Angestellten erlaubt, das firmeneigene Netzwerk auch fr private Zwecke zu nutzen, erbringt das jeweilige Unternehmen geschftsmige Telekommunikationsdienste. Eine Personenidentitt ist nun nicht mehr annehmbar, vielmehr geht es nun um zwei verschiedene Rechtssubjekte, nmlich den Arbeitgeber (Anbieter) und seinen Arbeitnehmer (Nutzer). In datenschutzrechtlicher Hinsicht hat dies zur Folge, dass das betreffende Unternehmen sowohl das Fernmeldegeheimnis als auch die datenschutzrechtlichen Vorschriften der Telekommunikationsgesetze zu beachten hat.
einSatz Von Skype bedarF klarer regeln Unternehmen, die Skype bereits einsetzen oder dies in Zukunft planen, mssen klare Regeln fr den Umgang mit Skype aufgestellen: Der IT-Verantwortliche und/oder der IT-Sicherheitsbeauftragte mssen unbedingt ber den Skype-Einsatz informiert werden und die Voraussetzungen fr die Nutzung prfen. Auf Rechnern sicherheitskritischer Bereiche mit hohem Schutzbedrfnis muss die Installation von Skype untersagt werden. Die Mitarbeiter mssen detailliert ber die Risiken von Skype informiert und fr den richtigen Umgang mit unternehmenskritischen Daten sensibilisiert werden. Die Anwender mssen bei der Nutzung alle definierten Regeln einhalten. Dazu zhlt auch, dass nur mit bekannten Partnern kommuniziert wird und dass die automatische Annahme von Verbindungen strikt untersagt ist.
Seite 7
geFahrenquelle menSch
Auer Problemen durch den Einsatz des Skype-Clients selbst knnen Sicherheitslcken natrlich auch durch Mngel in der Programmumgebung beziehungsweise durch bse Absicht oder Fahrlssigkeit der Anwender entstehen. Die Praxis zeigt, dass die Hauptquelle der Gefahren vom User selbst ausgeht. Mit anderen Worten: Ausgerechnet der Faktor Mensch kann bei der Verwendung von Skype am hufigsten zu Verletzungen der Datensicherheit fhren. Bei etwa der Hlfte aller bekannten Vorflle lag die Schuld fr Datenverlust tatschlich an den Mitarbeitern des Unternehmens, die fahrlssig mit den Daten umgegangen sind oder die Absicht hegten, Daten aus dem Unternehmen zu entwenden. Mngel in der Programmumgebung von Skype, Schwachstellen im Betriebssystem oder in den auf dem PC genutzten Anwendungen bergen zustzliche Gefahrenpotenziale beim Zusammenspiel mit Skype. Das Bundesamt fr Sicherheit in der Informationstechnik (BSI) hat in einer Studie (VoIPSEC, Studie zur Sicherheit von Voice over Internet Protocol) eine Reihe von Skype-Schwachstellen aufgezeigt. hierzu gehren: Skype-Rechner wurden mit dem Trojaner W32/Ramex.A infiziert, der den Fremdzugriff auf den Computer ermglichte und ihn zum Teil eines Botnetzes machte. ber ein Sicherheitsleck in Skype konnten Angreifer die Kontrolle ber fremde Systeme erlangen. Durch das Einschleusen manipulierter Videos lieen sich Cross Site Scripting-Attacken auf Skype zu starten. Unwissenheit schtzt bekanntlich nicht vor Strafe: Die Folgen eines unkontrollierten Einsatzes von Skype knnen die Unternehmensleitung sogar dann treffen, wenn diese von deren Nutzung nichts gewusst hat. Sicherheitsrisiken Fehlende Standardisierung und Interoperabilitt Unklare Sicherheit, da Protokolle nicht offengelegt werden Mgliche Sicherheitslcken im Quellcode Keine Sicherstellung der Authentizitt und Integritt der Daten/Verbindungen Potenzieller Kanal zum Schmuggeln vertraulicher Unternehmensdaten berwachung des Nutzers mglich Belastung des Firmennetzes durch Super-NodeFunktionalitt Gefhrdung des Unternehmensnetzwerkes ber die Endgerte Quelle: Berlecon Research GmbH rechtliche risiken Unklare Bindungswirkung des Lizenzvertrages Geschftliche Nutzung rechtlich nicht klar geregelt . Skype lehnt Gewhrleistungsansprche ab Skype kann Benutzerkonten lschen . Unklare Eigentums- und Verwendungsrechte der Skype-ID
Wie bekommt man daS problem Skype im unternehmen trotzdem in den griFF?
Um die Kontrolle ber Skype zu gewinnen, gibt es verschiedene Mglichkeiten. Eine sehr aufwndige Methode ist es, extrem restriktive Netzwerkeinstellungen und berwachungen aller Installationen im eigenen Netzwerk vorzunehmen. Die bessere Mglichkeit ist, Skype am Gateway zum Internet zu sperren. Dazu eignet sich die von underground_8 entwickelte MF Security Gateway Serie hervorragend. Aufgebaut auf einem proprietrem Betriebssystem Sniper OS bietet das MF Security Gateway einen allum-
Seite 8
fassenden Schutz gegen die wachsende Anzahl an Bedrohungen auf Applikationsebene. Darunter versteht underground_8 eine Kombination an Filtermglichkeiten fr gngige Protokolle wie HTTP, FTP, SMTP, POP3, P2P oder auch VoIP. Diese Absicherung ist ganz besonders fr Unternehmen erforderlich, die mit personenbezogenen Daten arbeiten, da sie von gesetzlicher Seite eine besonders hohe Sorgfaltspflicht einzuhalten haben. In Kombination mit Stealth Technologie sorgt der Applikations- und P2P-Schutz, gepaart mit sorgfltig designter Hardware, fr ein sicheres und performantes Netzwerken. Das MF Security Gateway erkennt, klassifiziert und blockt alle Arten von Messaging- und P2P-Programmen. underground_8 bietet im rahmen der Web Filtering-option folgende Funktionen: erweiterte erkennung von im/p2p-protokollen: Ein neuer Flow Classifier ermglicht Identifikation und Klassifizierung komplexer und schwer erkennbarer Protokolle im Datenstrom. Skype-blockierung: Der Skype-Blocker verndert die Firewall- und HTTP-Proxy-Konfiguration des MF Security Gateways nachhaltig. Dadurch werden jegliche Verbindungsversuche von Skype strickt unterbunden. Nach der Aktivierung des Skype-Blockers wird die gesamte Kommunikation vom internen ins externe Netz ber das MF Security Gateway abgewickelt. Dabei werden die Kommunikationsstrme ber die DCI Engine und spezielle Filter geleitet. (siehe auch Peer-2-Peer Filter und SOCKS Proxy). Administratoren knnen Ausnahmen von der unternehmensweiten Sicherheits-Policy fr Instant Messenger und P2P-Anwendungen definieren. Auf Basis der Clients allow-Liste kann der Netzadministrator einzelnen Clients (bzw. IP-Adressen) die Skype-Nutzung erlauben und einen geregelten Skype-Verbindungsaufbau zulassen. Auf diese Weise lsst sich der Gebrauch entsprechender Tools granular fr einzelne IP-Adressen oder Anwender freischalten. Mit der Funktion Server allow-Liste hat der Netzadministrator die Mglichkeit, den Zugriff auf einzelne Server im Internet zu erlauben. Damit kann die Verbindung zu bestimmten Servern die einen hnlichen Verbindungsaufbau wie Skype nutzen realisiert werden.
Seite 9
Fazit
Skype sollte in Unternehmen und vor allem in Bereichen, in denen mit geheimen Informationen gearbeitet wird, nicht eingesetzt werden. Das bedeutet jedoch nicht, dass die Nutzung von Skype in Unternehmen generell ausgeschlossen werden sollte. Der Einsatz muss jedoch unter Beachtung klar definierter Regeln erfolgen. Dazu gehrt auch, dass Mitarbeiter ber die Risiken von Skype informiert und fr den Umgang mit unternehmenskritischen Daten sensibilisiert werden. Denn IT-Sicherheit entsteht nicht nur durch technische Schutzmanahmen wie der MF Security Gateway-Technologie und Anti-Viren-Software. Ein mindestens ebenso wichtiger Faktor ist ein gesundes Ma an Misstrauen und Wachsamkeit gegenber der Software, die auf den Systemen luft.
underground_8 secure computing GmbH assumes no responsibility for any inaccuracies in this document. underground_8 secure computing GmbH reserves the right to change, modify, transfer or revise this publication without notice. AAS, AS, DCI, DLA, LPC, MF, NGTM, PVN, RMF, SPN, Stealth, XC are registered trademarks of underground_8 secure computing GmbH. 2008 underground_8 secure computing GmbH. All rights reserved.
Seite 10