White paper

underground_8 FireWall blockiert Skype in unternehmenSnetzen

Das Telefonieren ber Computernetzwerke auf Basis von Voice over IP (VoIP) entwickelt sich im Eiltempo. In Anwenderkreisen ist die Software Skype zum Telefonieren ber das Internet am bekanntesten und am weitesten verbreitet. Jedoch verbreitet sich die Skype-Software nicht nur unter Heimanwendern, sondern zunehmend auch in Unternehmensnetzwerken. Dabei aber entstehen aufgrund des unkontrollierten Einsatzes von Skype in den Unternehmensnetzen erhebliche Sicherheitsprobleme und zustzliche Risiken fr die Unternehmen. Der unkontrollierte Einsatz wird auch dadurch erleichtert, dass eine Installation von Skype keine Administrationsrechte erfordert. Zudem ignorieren in der Praxis die meisten Mitarbeiter die Sicherheitsvorgaben des Unternehmens und installieren bzw. nutzen Skype, ohne die IT-Abteilung zu informieren. Dies hat zur Folge, dass die Unternehmen faktisch keine Kontrolle ber die via Skype bermittelten Daten haben. Unternehmen sind jedoch auf ein Hchstma an Sicherheit angewiesen. Diese wird durch die Nutzung von Skype gefhrdet. Dem wirkt der Hersteller Skype insofern entgegen, als er versucht, mit Skype for Business die Skype-Telefonie auch den Unternehmen schmackhaft zu machen. Durch die integrierten Erweiterungen lsst sich auf Basis eines Windows Installer-Pakets (MSI) Skype auf mehreren Computern gleichzeitig installieren. Die ITAdministratoren erhalten dadurch mehr Kontrolle ber den ber Skype abgewickelten Kommunikations- und Datenverkehr. Mit der Online-Systemsteuerung kann das Unternehmen einzelnen Benutzern Skype-Credits zuweisen, die fr kostenpflichtige SkypeOut-Anrufe in das Fest- oder Mobilnetz genutzt werden knnen. Darber hinaus ermglicht diese Systemsteuerung einen berblick ber die dabei anfallenden Telefonkosten. Zusammen mit Partnern hat Skype zudem neue Produktivittstools fr Unternehmen entwickelt. Dazu zhlen unter anderem Convenos, eine Lsung zum Web-Conferencing und zur Online-Zusammenarbeit, oder Unyte, mit dem Benutzer einen Blick auf ihren Desktops freigeben knnen. in der folgenden tabelle sind die Skype-hauptdienste aufgelistet: dienstmerkmal Skype client beschreibung Der Skype Client ist kostenlos. Mit seiner Hilfe ist es mglich, kostenlose Gesprche ber das Internet mit anderen Skype-Anwendern zu fhren. SkypeOut ist ein kostenpflichtiger Dienst, durch den Personen mit regulren Festnetzanschlssen und Handys vom Skype-Netz aus angerufen werden knnen. Skypeout Verbindungen zu Festnetzanschlssen sind sehr kostengnstig. Teuer sind dagegen allerdings Mobilfunkverbindungen. SkypeIN ist ein kostenpflichtiger Dienst, bei dem einem Anwender eine eigene feste Telefonnummer zugeordnet wird. Hierdurch knnen auch Gesprche von regulren Festnetzanschlssen aus angenommen werden, und der Anruf kann ber den Skype Client entgegengenommen werden.

Skypein

Seite 1

underground_8 FireWall blockiert Skype in unternehmenSnetzen

dienstmerkmal

beschreibung Skype Voicemail stellt einen kostenpflichtigen Anrufbeantworter als Dienst zur Verfgung. Die Voicemail-Funktion dient nicht nur als Anrufbeantworter, sondern es lassen sich zustzlich noch Sprachnachrichten an alle anderen Skype-User verschicken, auch wenn diese kein Voicemail-Abo besitzen. Voicemail zeichnet Nachrichten nicht nur dann auf, wenn Skype-Anrufe nicht entgegengenommen werden, sondern auch, wenn der Computer ausgeschaltet ist. Mit diesem kostenlosen Service knnen sich bis zu 100 Nutzer untereinander zu den verschiedensten Themen auszutauschen.

Skype Voicemail

Skypecast

Der Initiator eines Skypecast agiert als Moderator zwischen den Teilnehmern und entscheidet, wer das Wort erhlt. Um den Dienst zu nutzen, muss sich der Nutzer vorab registrieren.

tabelle: Dienstmerkmale von Skype

daS geFahrenpotenzial Von Skype

Skype basiert nicht auf dem SIP- oder dem H.323-Standard, sondern nutzt drei proprietre Protokolle. Darber hinaus arbeitet Skype nach den aus den klassischen Filesharing-Netzwerken bekannten Peer-to-PeerTechnologien. Jeder Client (somit jedes Skype-Phone) verbindet sich nicht mit einem zentralen Server, sondern ohne weitere Konfiguration mit anderen Clients (Peers). Aus diesem Grund verschlsselt Skype auch die Verbindungen. Das Skype-Protokoll nutzt zur Verschlsselung den AES(Advanced Encryption Standard)Mechanismus. Die symmetrischen Schlssel werden dabei dynamisch ausgehandelt. Die benutzten Verfahren gelten als extrem sicher. Daneben betreibt Skype innerhalb seines Netzwerkes eine Public Key Infrastruktur (PKI), die Austausch und berprfung der Schlssel erlaubt. Allerdings warnen Kryptografie-Experten, dass die in Skype eingebaute Verschlsselung nicht sicher genug sei und Verbindungen mitgeschnitten und entschlsselt werden knnten. Skype verursacht mit seiner starken Verschlsselung der kommunikation und der Fhigkeit zur umgehung von Firewalls eine reihe von problemen: stark erhhtes Verkehrsaufkommen, Behinderung anderer Anwendungen und die Verletzung staatlicher Auflagen bzw. Telekommunikationsgesetze. Um zu verhindern, dass der Skype-Verkehr extern blockiert werden kann, hat Skype sehr viel Aufwand in die Verschleierung der eigenen Datenstrme investiert. Wird eine Skype-Verbindungsmethode unterbunden, greift das Programm auf eine Vielzahl von Fallbackmechanismen zurck, welche systematisch durchprobiert werden. Skype-Datenstrme knnen beispielsweise auch als getarnter Webverkehr oder HTTPS bertragen werden. Die Umgehung der Sicherheitsfunktionen durch Skype bereitet den IT-Administratoren schlaflose Nchte. Skype legt beispielsweise nach dem Start im Verzeichnis fr temporre Dateien eine ausfhrbare Datei namens 1.com an. Diese ist in der Lage, smtliche BIOS-Informationen des betreffenden Rechners auszulesen. Darber hinaus versucht Skype das Auslesen dieser Datei zu unterbinden. Nach Aussage von Skype diene diese berprfung dem Skype Extras Manager zur eindeutigen Identifizierung von Rechnern, damit sichergestellt werde, dass lizenzpflichtige Extras nur von berechtigten Lizenznehmern installiert und betrieben wrden. Vor einigen Monaten nutzten mehrere Schadprogramme Skype fr ihre Verbreitung. Denn ohne die effektive Kontrolle des Internetverkehrs ist ein Ausbruch einer neuen Flut von Angriffen faktisch nicht zu verhindern. ber Skype knnen die Nutzer beliebige Files untereinander austauschen ungehindert und ohne Sicherheitskontrollen. Darber hinaus besteht die Gefahr, dass durch das P2P-Prinzip unter Umstnden die Rechnerressourcen des Unternehmens verschwendet werden. Bei Skype gibt es keine Kommunikationszentrale, die man einfach blocken knnte. Die Clients finden sich dynamisch untereinander. Somit ist es schwer, den

Seite 2

underground_8 FireWall blockiert Skype in unternehmenSnetzen

Verkehr mittels Firewalls zu sperren. Mancher Administrator ist daher unangenehm berrascht, dass Skype trotz restriktiv konfigurierter Firewall funktioniert. Auf Basis von Skype ist es mglich, auch zwischen Clients, die durch eine Firewall geschtzt sind, VoIP-Verbindungen herzustellen. Mchte Nutzer A mit Nutzer B sprechen und sind beide durch eine Firewall geschtzt, sind in keiner Richtung eingehende Verbindungen mglich. Befindet sich jedoch nur Nutzer A hinter einer Firewall, kann Nutzer A den Nutzer B anrufen, aber nicht B den Benutzer A. Jeder Skype Client ist mit einem Supernode verbunden, der letztlich als Verteiler agiert. Dabei kann jeder Skype-Client als Supernode arbeiten. Somit sind Supernodes keine zentralen Server, sondern andere SkypeNutzer. Dem IT-Administrator wird durch dieses Prinzip allerdings die Kontrolle entzogen.

Skype Login Server

Austausch von Message whrend dem Login

Super Nodes

Abbildung 1: Skype Netzwerk Beim Verbindungsaufbau (Anruf) wird ber eine bereits bestehende Verbindung zum Supernode (C) auf Basis des Skype Proprietary Call Control Protocols ein eingehender Anruf signalisiert. Anschlieend verbinden sich A und B mit dem Supernode C und bauen ber Rechner C das Gesprch auf. Das eigentliche Gesprch wird anschlieend direkt zwischen A und B (per UDP-Verbindung) abgewickelt.

Seite 3

underground_8 FireWall blockiert Skype in unternehmenSnetzen

Verbindungsaufbau ber Super Node

Direkte Kommunikation zwischen A und B

Abbildung 2: Verbindungsaufbau Skype Erlaubt eine sehr restriktiv konfigurierte Firewall den Transfer des ausgehenden Datenverkehrs nur ber den TCP-Port 80 (HTTP) und 443 (HTTPS) und sind die UDP-Wege blockiert, wird das Gesprch ber andere Computer (D) gefhrt. Diese Funktion wird als Relaying bezeichnet. Das Relaying lsst sich nicht nur fr die bermittlung von Sprache, sondern auch zur Datenbertragung nutzen. Die Transferrate einer solchen Verbindung ist nicht sehr hoch, aber immerhin kommt die Dateibertragung berhaupt zustande. Ein Mechanismus zur Durchdringung von Firewalls wird als UDP Hole Punching bezeichnet. Normalerweise knnen zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbauen. Rechner hinter einer Firewall sind durch die Network Address Translation (NAT) aus dem Internet nicht direkt adressierbar. Selbst wenn man die bersetzte IP-Adresse eines solchen Rechners herausbekommt und versucht, ber diese zu kommunizieren, wird die Firewall der Gegenseite die Kommunikation aber jeweils unterbinden, weil sie nicht von ihrem Netz aus aufgebaut wurde. Beim UDP Hole Punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation ermglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist der Firewall bekannt, dass sie auch Pakete von diesem externen Server als Antwort durchlassen muss. Die Kommunikation der beiden Clients untereinander luft dann jeweils ber den Server, der die Pakete mit seiner Adresse als Absender weiterleitet. Das UDP Hole Punching erfordert jedoch, dass die NAT-Komponente den Status der UDP Session hlt, unabhngig davon, dass die Pakete jetzt von einem anderen Rechner kommen. Dieser Mechanismus arbeitet jedoch nur mit einem so genannten full cone NAT und hat keinen Erfolg bei restricted cone NAT oder symmetric NAT. Kein Problem ohne Lsung: Beide Rechner beginnen mit der Versendung von mehreren Paketen bzw. Verbindungsversuchen. Durch das restricted Cone NAT wird das erste Paket vom Kommunikationspartner blockiert. Da jedoch die NAT-Komponente anschlieend ber einen Vermerk (habe Paket zu anderer Maschine versendet) verfgt, lsst NAT anschlieend alle Pakete von dieser IP-Adresse und Portnummer durch. Neben Skype nutzen diese Technik auch die Peer-to-Peer-Mechanismen und die VoIP-Telefonie. Das UDP Hole Punching macht es sehr schwer, Skype beispielsweise in Firmennetzen zu blockieren. Durch die Mglichkeit, Dateien ber Skype zu bertragen, ist Skype die perfekte Methode, um unerkannt Daten aus abgesicherten Bereichen zu schmuggeln. Die Registrierung als Skype-Nutzer und die Installation der Software erkauft man mit der Bereitstellung der Ressourcen des eigenen Computers bzw. Firmenrechners fr die Skype-Community. Besitzt der als SkypeClient verwendete Rechner die richtigen Voraussetzungen lange Online-Zeiten, hohe Bandbreite, eine ffentliche IP-Adresse, reichlich Rechenpower und Arbeitsspeicher , kann dieser zu einem Supernode mutieren und damit zu einer Vermittlungszentrale fr Adressbcher, Presence-Informationen und die Kommunikationsstrme der Skype-User werden.

Seite 4

underground_8 FireWall blockiert Skype in unternehmenSnetzen

Mit dem Befehl Netstat kann man festzustellen, ob der eigene Computer als Supernode agiert. Tauchen in den Statistiken ber einen lngeren Zeitraum viele unbekannte Verbindungen auf dem in den Skype-Optionen unter Connection festgelegten Port auf, ist dies wohl ein gewisses Indiz fr einen Supernode. Es kann aber genauso sein, dass der eigene Computer nur zum Relaying verwendet wird. Tatschlich hat ein Supernode viele neue eingehende Verbindungen, die man allerdings durch einmaligen netstat-Check nicht unbedingt mitbekommt. Daher sollte man die eingehenden Verbindungen ber einen lngeren Zeitraum beobachten. Auerdem erzeugt ein Supernode ein deutlich hheres Datenvolumen als normale Knoten. Es besteht kein Zusammenhang zwischen einer groen Anzahl an Verbindungen und dem Status als Supernode. Um den Status eines Supernodes zu erhalten, bentigt der Rechner eine schnelle Internetanbindung, der in Skype festgelegte Port darf fr eingehende TCP- und UDP-Verbindungen nicht durch eine Firewall blockiert sein und Skype muss tage- bzw. wochenlang ohne Neustart laufen. Supernodes werden automatisch ausgewhlt. Bei einem berlasteten Supernode gibt dieser einen Teil der Last an einen der verbundenen Clients ab und die Last wird automatisch verteilt. Ein Supernode stellt von sich aus Bandbreite zur Verfgung, ber die der Benutzer in einem Unternehmensnetz keine Verfgungsgewalt hat. Ab Version 3.0 des Skype-Clients kann diese Funktionalitt ber Registry-Keys ausgeschaltet werden. Auf allen Rechnern, deren Verfgbarkeit garantiert werden muss, sollte die Funktionalitt als Super Node oder Relay bei der Installation des Skype-Client ausgeschaltet werden. Voraussetzung dafr ist jedoch, dass Mitarbeiter Skype nicht unkontrolliert ins Unternehmen einfhren.

rechtliche hintergrnde zum betrieb Von Skype & co. Peer to Peer (P2P), Instant Messaging (IM) und Skype stellen ein immenses Risiko fr Unternehmen dar. Die Installation und der Betrieb von illegalen Tauschbrsen oder unternehmensfremden Kommunikationskanlen sind durch Mitarbeiter technisch vergleichsweise leicht zu bewerkstelligen. Dies fllt den Mitarbeitern umso leichter, wenn das Unternehmen nur mittelmige Sicherheitsmanahmen etabliert und diese zudem nicht speziell auf die Thematik P2P, IM und Skype abgestimmt hat. Der Missbrauch von Arbeitszeit, Speicherplatz und Bandbreite kann zwar zu erheblichen arbeitsrechtlichen Konsequenzen fr die Mitarbeiter bis hin zur fristlosen Entlassung fhren; fr das Unternehmen ist dies aber nur eine relativ unbefriedigende Begrenzung eines Schadens, der in der Regel schon lngst entstanden ist. Unternehmen, deren Mitarbeiter durch unbemerkt und unkontrolliert laufende P2P-Plattformen Urheberrechte verletzen, knnen dafr samt ihrer Vorstnde und Geschftsfhrer zur Rechenschaft gezogen werden. Die rechtlichen Konsequenzen reichen dabei von Unterlassungs- und Schadensersatzansprchen bis hin zu Haftstrafen fr die Geschftsfhrung. Und Unwissenheit schtzt bekanntlich nicht vor Strafe: Die Folgen knnen die Unternehmensleitung sogar dann treffen, wenn diese von den Tauschbrsen nichts gewusst haben. Laufen die Tauschbrsen nur unternehmensintern, drohen Gefahren aus unerwarteten Richtungen: Das deutsche Jugendschutzrecht bestraft beispielsweise ausbildende Betriebe mit Bugeld- und sogar Haftstrafen, wenn diese ihre Aufsichtspflichten verletzen und ihren Auszubildenden den Zugriff auf jugendgefhrdende Medien erlauben und sei es auch nur durch die Gewhrung unbeschrnkten und unkontrollierten Speicherplatzes auf den Firmenservern, der von den Auszubildenden fr den Austausch von entsprechenden Audio- und Videotiteln genutzt wird. Externalitt ist ein Begriff aus der Wirtschaftssprache. Dieser beschreibt die Auswirkungen des Handelns einer Person auf eine andere. Das konomische Problem der externen Effekte liegt darin, dass die Verursacher der externen Effekte diese nicht im wirtschaftlichen Kalkl bercksichtigen. Ohne gesetzliche Regelungen werden im Falle negativer externer Effekte gesamtgesellschaftliche Kosten verursacht, da sie vom Entscheider nicht bercksichtigt werden, bzw. im Falle positiver externer Effekte gesamtgesellschaftlicher Nutzen nicht verursacht, da der Entscheider nicht von ihnen profitieren wrde. Beides ist nicht wnschenswert und fhrt daher zu staatlichen Regelungen. Zur Verhinderung externer Effekte hat der Staat die einschlgigen Rechtsvorschriften bzw. Haftungsprinzipien erlassen. Nur durch entsprechende technische und organisatorische Manahmen lsst sich effektiv verhindern, dass Mitarbeiter die Ressourcen des Unternehmens dazu nutzen, um vom Arbeitsplatz aus illegale Tauschbrsen oder andere unerwnschte Anwendungen zu betreiben.

Seite 5

underground_8 FireWall blockiert Skype in unternehmenSnetzen

Skype macht daS eigene netzWerk angreiFbar

Wie schon erwhnt, ist ein wesentlicher Sicherheitsaspekt die Gefahr, ber Skype-Verbindungen das eigene Netzwerk angreifbar zu machen. Philippe Biondi und Fabrice Desclaux von EADS haben die genauere Arbeitsweise des Clients verffentlicht. Sie fanden heraus, dass der Hersteller immensen Aufwand betreibt, um das Reverse Engineering seiner Software zu verhindern. So erkennt der Client beispielsweise, ob er in einem Debugger luft, und ndert sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile des Codes sind sogar verschlsselt und werden erst zur Laufzeit ausgepackt. Darber hinaus ist es den beiden Forschern gelungen, die Art der Datenverschlsselung, die Berechnung des Schlssels sowie die Authentifizierung von Skype herauszufinden. Prinzipiell besteht die Mglichkeit, manipulierte Supernodes ins Netz zu bringen, um den Sprachverkehr umzuleiten und zu belauschen. Durch die fehlende Transparenz von Skype ist somit diese Applikation nicht mit der Sicherheitspolitik eines Netzwerkbetreibers vereinbar. So knnen eventuell schon vorhandene oder zuknftige Backdoors nicht erkannt werden. Das Netzwerk ist gegen Angriffe ungeschtzt, da die Angriffe ber Skype grundstzlich versteckt sind. Weiterhin wird ein Datenverkehr erzeugt, der nicht einfach berwacht werden kann. Jeder Nutzer von Skype muss automatisch nicht nur den anderen Nutzern, sondern auch jeglichen Knoten, die fr die Verbindungen genutzt werden, blind vertrauen. Auch wenn die Entwickler von Skype alles daransetzen, eventuelle Sicherheitslcken zu schlieen, treten wie bei allen Softwareentwicklungen derartige Lcken immer wieder auf. Da eine Skype-Verbindung quasi einen Tunnel durch die Firewall eines Netzwerkes aufbaut, ist die Gefahr, dass Dritte ber eine solche Verbindung unberechtigt eindringen, gegeben. Und anders als bei reinen Telefonverbindungen ist damit der Zugriff auf smtliche Daten im Netzwerk, die Einschleusung von Trojanern und Spyware oder die Verseuchung mit einem Virus mglich. Auerdem baut Skype sehr viele Internetverbindungen auf, welche von IDS nicht eindeutig zugeordnet werden knnen, und fhrt gleichzeitig zu einer erhhten Rate von fehlerhaften Sicherheitsalarmen. Dies zieht einerseits das Risiko nach sich, dass wichtige Alarme zwischen Fehlalarmen bersehen werden. Andererseits wrden zu lockerere Sicherheitseinstellungen fr IDS ein greres Risiko darstellen, da tatschliche Angriffe nicht erkannt werden.

zuSammenFaSSung
Das ernchternde Ergebnis ist, dass sich der Einsatz von Skype in den Unternehmen mit gngigen Manahmen kaum blockieren lsst. Jeder Skype Client verwendet einen anderen Port. Dieser Kommunikationsport wird bei der Installation nach dem Zufallsprinzip festgelegt. Aus diesem Grund lsst sich der Skype-Verkehr nicht ohne weiteres in der Firewall, durch Blockierung einzelner Ports, unterbinden. Weil Skype auf einer Peer-to-Peer-Technologie basiert, kann auch kein zentraler Server blockiert werden. Bleibt noch der LoginServer, auf dem sich jeder Nutzer anmelden muss, um einen neuen Account zu registrieren und um sich im Skype-Netzwerk anzumelden, wenn er nicht die Option Autologin aktiviert hat. Hat sich ein Nutzer bereits angemeldet (mglicherweise von zu Hause) und wurde die Option Autologin gewhlt, braucht der Benutzer nicht einmal mehr eine Verbindung zu einem Login-Server. Die Login-Server verfgen ber feste IP-Adressen (beispielsweise 80.160.91.5, 80.160.91.11, 80.160.91.13, 80.160.91.25). Daher knnte der Zugriff auf diese Server blockiert werden. Dies bietet jedoch keinen hundertprozentigen Schutz.

Wie Steht eS mit dem datenSchutz bei der nutzung Von Skype im unternehmen? Der Umfang der datenschutzrechtlichen Anforderungen betreffend die Nutzung von Skype hngt ganz mageblich davon ab, ob diese fr die ffentlichkeit oder nur fr geschlossene Benutzerkreise bestimmt ist. Firmeneigene Netze werden in aller Regel nur fr geschlossene Benutzerkreise angeboten. Hierbei sind aus datenschutzrechtlicher Sicht zwei Varianten zu unterscheiden: die nutzung des firmeneigenen netzes ist nur fr betriebliche zwecke erlaubt. Fr den Fall, dass die Angestellten eines Unternehmens das firmeneigene Netz ausschlielich fr betriebliche Zwecke nutzen drfen, ist das Unternehmen (als Betreiber des Netzes) kein Anbieter im Sinne des Telekommunikations- oder Telediensterechts. Schlielich stellt der Arbeitgeber seinen Arbeitnehmern lediglich ein weiteres Arbeitsmittel zur Verfgung. Beim Anbieter und Nutzer des Netzwerks handelt es

Seite 6

underground_8 FireWall blockiert Skype in unternehmenSnetzen

sich damit rechtlich nicht um zwei verschiedene Rechtssubjekte. Diese Personenidentitt hat fr das Unternehmen die rechtliche Konsequenz, dass es weder an die Vorschriften zum Fernmeldegeheimnis oder zum Datenschutz noch an die datenschutzrechtlichen Vorschriften des Teledienstedatenschutzgesetzes gebunden ist. Das Unternehmen hat einzig und allein die jeweils einschlgigen Vorschriften fr Personaldatenverarbeitung zu beachten. die nutzung des firmeneigenen netzes ist fr private und betriebliche zwecke erlaubt. Wird dagegen den Angestellten erlaubt, das firmeneigene Netzwerk auch fr private Zwecke zu nutzen, erbringt das jeweilige Unternehmen geschftsmige Telekommunikationsdienste. Eine Personenidentitt ist nun nicht mehr annehmbar, vielmehr geht es nun um zwei verschiedene Rechtssubjekte, nmlich den Arbeitgeber (Anbieter) und seinen Arbeitnehmer (Nutzer). In datenschutzrechtlicher Hinsicht hat dies zur Folge, dass das betreffende Unternehmen sowohl das Fernmeldegeheimnis als auch die datenschutzrechtlichen Vorschriften der Telekommunikationsgesetze zu beachten hat.

Welche riSiken birgt Skype?

Die Installation und der Betrieb von illegalen Kommunikationskanlen sind durch Mitarbeiter technisch vergleichsweise leicht zu bewerkstelligen. Dies fllt den Mitarbeitern umso leichter, wenn das Unternehmen nur mittelmige Sicherheitsmanahmen etabliert und diese zudem nicht speziell auf die Thematik P2P, IM und Skype abgestimmt hat. Einschlgige Untersuchungen zeigen, dass die Risiken von Skype noch immer unterschtzt werden. Die grte Gefahr geht vom Risiko des Datenabflusses aus. Mit anderen Worten: Durch Skype knnen vertrauliche Unternehmensdaten unbemerkt aus dem Unternehmen geschmuggelt werden. Der Missbrauch von Arbeitszeit, Speicherplatz und Bandbreite kann zwar zu erheblichen arbeitsrechtlichen Konsequenzen fr die Mitarbeiter bis hin zur fristlosen Entlassung fhren; fr das Unternehmen ist dies aber nur eine relativ unbefriedigende Begrenzung eines Schadens, der in der Regel schon lngst entstanden ist. Unternehmen, deren Mitarbeiter durch unbemerkt und unkontrolliert laufende Plattformen Urheberrechte verletzen, knnen dafr samt ihrer Vorstnde und Geschftsfhrer zur Rechenschaft gezogen werden. Die rechtlichen Konsequenzen reichen dabei von Unterlassungs- und Schadensersatzansprchen bis hin zu Haftstrafen fr die Geschftsfhrung.

Skype auF dem uSb-Stick

Mit Hilfe von USB-Sticks ist es mglich, Skype zu benutzen, auch wenn die Installation an sich durch Abwehrmanahmen nicht mglich wre. Skype kann auf einem USB-Stick lauffertig installiert werden. Dabei ist besonders hinterhltig, dass dieser Betrieb keine Spuren hinterlsst, da alle temporren Dateien, die zur Benutzung ntig sind, auf dem USB-Stick als Laufwerk abgelegt werden. Wird der Stick abgezogen und die Anwendung geschlossen, ist nicht nachzuweisen, dass Skype jemals auf dem Rechner war.

einSatz Von Skype bedarF klarer regeln Unternehmen, die Skype bereits einsetzen oder dies in Zukunft planen, mssen klare Regeln fr den Umgang mit Skype aufgestellen: Der IT-Verantwortliche und/oder der IT-Sicherheitsbeauftragte mssen unbedingt ber den Skype-Einsatz informiert werden und die Voraussetzungen fr die Nutzung prfen. Auf Rechnern sicherheitskritischer Bereiche mit hohem Schutzbedrfnis muss die Installation von Skype untersagt werden. Die Mitarbeiter mssen detailliert ber die Risiken von Skype informiert und fr den richtigen Umgang mit unternehmenskritischen Daten sensibilisiert werden. Die Anwender mssen bei der Nutzung alle definierten Regeln einhalten. Dazu zhlt auch, dass nur mit bekannten Partnern kommuniziert wird und dass die automatische Annahme von Verbindungen strikt untersagt ist.

Seite 7

underground_8 FireWall blockiert Skype in unternehmenSnetzen

geFahrenquelle menSch
Auer Problemen durch den Einsatz des Skype-Clients selbst knnen Sicherheitslcken natrlich auch durch Mngel in der Programmumgebung beziehungsweise durch bse Absicht oder Fahrlssigkeit der Anwender entstehen. Die Praxis zeigt, dass die Hauptquelle der Gefahren vom User selbst ausgeht. Mit anderen Worten: Ausgerechnet der Faktor Mensch kann bei der Verwendung von Skype am hufigsten zu Verletzungen der Datensicherheit fhren. Bei etwa der Hlfte aller bekannten Vorflle lag die Schuld fr Datenverlust tatschlich an den Mitarbeitern des Unternehmens, die fahrlssig mit den Daten umgegangen sind oder die Absicht hegten, Daten aus dem Unternehmen zu entwenden. Mngel in der Programmumgebung von Skype, Schwachstellen im Betriebssystem oder in den auf dem PC genutzten Anwendungen bergen zustzliche Gefahrenpotenziale beim Zusammenspiel mit Skype. Das Bundesamt fr Sicherheit in der Informationstechnik (BSI) hat in einer Studie (VoIPSEC, Studie zur Sicherheit von Voice over Internet Protocol) eine Reihe von Skype-Schwachstellen aufgezeigt. hierzu gehren: Skype-Rechner wurden mit dem Trojaner W32/Ramex.A infiziert, der den Fremdzugriff auf den Computer ermglichte und ihn zum Teil eines Botnetzes machte. ber ein Sicherheitsleck in Skype konnten Angreifer die Kontrolle ber fremde Systeme erlangen. Durch das Einschleusen manipulierter Videos lieen sich Cross Site Scripting-Attacken auf Skype zu starten. Unwissenheit schtzt bekanntlich nicht vor Strafe: Die Folgen eines unkontrollierten Einsatzes von Skype knnen die Unternehmensleitung sogar dann treffen, wenn diese von deren Nutzung nichts gewusst hat. Sicherheitsrisiken Fehlende Standardisierung und Interoperabilitt Unklare Sicherheit, da Protokolle nicht offengelegt werden Mgliche Sicherheitslcken im Quellcode Keine Sicherstellung der Authentizitt und Integritt der Daten/Verbindungen Potenzieller Kanal zum Schmuggeln vertraulicher Unternehmensdaten berwachung des Nutzers mglich Belastung des Firmennetzes durch Super-NodeFunktionalitt Gefhrdung des Unternehmensnetzwerkes ber die Endgerte Quelle: Berlecon Research GmbH rechtliche risiken Unklare Bindungswirkung des Lizenzvertrages Geschftliche Nutzung rechtlich nicht klar geregelt . Skype lehnt Gewhrleistungsansprche ab Skype kann Benutzerkonten lschen . Unklare Eigentums- und Verwendungsrechte der Skype-ID

Wie bekommt man daS problem Skype im unternehmen trotzdem in den griFF?
Um die Kontrolle ber Skype zu gewinnen, gibt es verschiedene Mglichkeiten. Eine sehr aufwndige Methode ist es, extrem restriktive Netzwerkeinstellungen und berwachungen aller Installationen im eigenen Netzwerk vorzunehmen. Die bessere Mglichkeit ist, Skype am Gateway zum Internet zu sperren. Dazu eignet sich die von underground_8 entwickelte MF Security Gateway Serie hervorragend. Aufgebaut auf einem proprietrem Betriebssystem Sniper OS bietet das MF Security Gateway einen allum-

Seite 8

underground_8 FireWall blockiert Skype in unternehmenSnetzen

fassenden Schutz gegen die wachsende Anzahl an Bedrohungen auf Applikationsebene. Darunter versteht underground_8 eine Kombination an Filtermglichkeiten fr gngige Protokolle wie HTTP, FTP, SMTP, POP3, P2P oder auch VoIP. Diese Absicherung ist ganz besonders fr Unternehmen erforderlich, die mit personenbezogenen Daten arbeiten, da sie von gesetzlicher Seite eine besonders hohe Sorgfaltspflicht einzuhalten haben. In Kombination mit Stealth Technologie sorgt der Applikations- und P2P-Schutz, gepaart mit sorgfltig designter Hardware, fr ein sicheres und performantes Netzwerken. Das MF Security Gateway erkennt, klassifiziert und blockt alle Arten von Messaging- und P2P-Programmen. underground_8 bietet im rahmen der Web Filtering-option folgende Funktionen: erweiterte erkennung von im/p2p-protokollen: Ein neuer Flow Classifier ermglicht Identifikation und Klassifizierung komplexer und schwer erkennbarer Protokolle im Datenstrom. Skype-blockierung: Der Skype-Blocker verndert die Firewall- und HTTP-Proxy-Konfiguration des MF Security Gateways nachhaltig. Dadurch werden jegliche Verbindungsversuche von Skype strickt unterbunden. Nach der Aktivierung des Skype-Blockers wird die gesamte Kommunikation vom internen ins externe Netz ber das MF Security Gateway abgewickelt. Dabei werden die Kommunikationsstrme ber die DCI Engine und spezielle Filter geleitet. (siehe auch Peer-2-Peer Filter und SOCKS Proxy). Administratoren knnen Ausnahmen von der unternehmensweiten Sicherheits-Policy fr Instant Messenger und P2P-Anwendungen definieren. Auf Basis der Clients allow-Liste kann der Netzadministrator einzelnen Clients (bzw. IP-Adressen) die Skype-Nutzung erlauben und einen geregelten Skype-Verbindungsaufbau zulassen. Auf diese Weise lsst sich der Gebrauch entsprechender Tools granular fr einzelne IP-Adressen oder Anwender freischalten. Mit der Funktion Server allow-Liste hat der Netzadministrator die Mglichkeit, den Zugriff auf einzelne Server im Internet zu erlauben. Damit kann die Verbindung zu bestimmten Servern die einen hnlichen Verbindungsaufbau wie Skype nutzen realisiert werden.

peer-2-peer Filter und SockS proxy

Jeder Rechner in einem Peer-to-Peer-Netzwerk kann Client- und Server-Funktionen bernehmen. Dedizierte Server sind in der Regel nicht vorhanden. Gemeinsam genutzte Ressourcen (Verzeichnisfreigaben, Drucker etc.) verteilen sich ber alle teilnehmenden Rechner. Ein reines Peer-to-Peer-Netzwerk unterscheidet sich deutlich vom Client-Server-Modell, bei dem die Kommunikation normalerweise von einem zentralen Server ausgeht. Im Peer-2-Peer-Filtermen lassen sich die P2P-Filter fr das MF Security Gateway konfigurieren. Viele Filesharing-Netzwerke wie e-Donkey, KaZaA, Gnutella usw. sind hier aufgelistet. Der Administrator kann auswhlen, welche Filesharing-Netzwerke zur Ausfhrung berechtigt sind. Das MF Security Gateway bietet auch die Mglichkeit, einen protokoll-unabhngigen Proxy, einen so genannten SOCKS Proxy, zu definieren. Die Regeln fr den SOCKS Proxy werden ber spezifische Merkmale wie beispielsweise Access Control List (ACL), Protocol, Permission, Source- und Destination Ziel-IP-Adresse bzw. Source- und Destination-Port festgelegt. Darber hinaus sorgt das MF Security Gateway fr ein effektives Bandbreitenmanagement. Oftmals geben Unternehmen einen Groteil ihres IT-Budgets fr sehr teure und geschftskritische Applikationen aus, um dann herauszufinden, dass diese ber WAN und Internet nicht effizient funktionieren. Auch der herkmmliche Internetzugang wird unntigerweise berdimensioniert, nur weil man Bandbreite nicht unterteilt und Dienste priorisiert. Diese Anwendungen mssen sich ihre Bandbreite von weniger wichtigen Applikationen erkmpfen, da die Bandbreitenressourcen beschrnkt sind. Diese Frei-fr-alle-Anwendungen-Philosophie kann die Zustellung wichtiger Informationen verzgern, die Leistung der Anwendungen behindern und dadurch dem Unternehmen schaden. Dabei bentigen die meisten Netze heute keine zustzliche Bandbreite, sondern Wege, die existierende Bandbreite zu managen und deren Verbrauch zu kontrollieren. Genau diese Lsung untersttzt der underground_8 mit dem integrierten portbasierten Traffic Shaping. Dadurch werden Dienste wie VoIP, HTTP, POP3, FTP usw. optimiert.

Seite 9

underground_8 FireWall blockiert Skype in unternehmenSnetzen

Fazit
Skype sollte in Unternehmen und vor allem in Bereichen, in denen mit geheimen Informationen gearbeitet wird, nicht eingesetzt werden. Das bedeutet jedoch nicht, dass die Nutzung von Skype in Unternehmen generell ausgeschlossen werden sollte. Der Einsatz muss jedoch unter Beachtung klar definierter Regeln erfolgen. Dazu gehrt auch, dass Mitarbeiter ber die Risiken von Skype informiert und fr den Umgang mit unternehmenskritischen Daten sensibilisiert werden. Denn IT-Sicherheit entsteht nicht nur durch technische Schutzmanahmen wie der MF Security Gateway-Technologie und Anti-Viren-Software. Ein mindestens ebenso wichtiger Faktor ist ein gesundes Ma an Misstrauen und Wachsamkeit gegenber der Software, die auf den Systemen luft.

underground_8 secure computing GmbH assumes no responsibility for any inaccuracies in this document. underground_8 secure computing GmbH reserves the right to change, modify, transfer or revise this publication without notice. AAS, AS, DCI, DLA, LPC, MF, NGTM, PVN, RMF, SPN, Stealth, XC are registered trademarks of underground_8 secure computing GmbH. 2008 underground_8 secure computing GmbH. All rights reserved.

underground_8 Secure computing gmbh | SaleS@underground8.com | WWW.underground8.com

Seite 10