Sicherheitsrisiko Skype - Fraunhofer Institut rät vom Einsatz in Unternehmen ab

Donnerstag, 28. Januar 2016

Das Fraunhofer Institut für Eingebettete Systeme und Kommunikationstechnik (ESK) mit Sitz in München hat zum wiederholten Mal die Sicherheit von Skype im Unternehmensumfeld geprüft. 
Bereits 2013 hatte das Fraunhofer Institut den Instant-Messaging-Dienst auf Sicherheitsmängel hin untersucht, seitdem hatte Microsoft die dem Dienst zugrundeliegende Technik jedoch angepasst.

Skype funktioniert über ein Peer-to-peer-Netz. Anmeldungen werden aber von Super-Nodes, die sich in Microsoft-Rechenzentren befinden, entgegengenommen und diese stellen gegebenenfalls Verbindungen her. Demnach ist laut Fraunhofer-Institut nicht ersichtlich, über welche Knoten der Datenverkehr verläuft, was ein Sicherheitsrisiko darstellt.
Des Weiteren sei Skype ein proprietäres Kommunikationssystem, dadurch sei Einsichtnahme in die Quellcodes nicht möglich und demzufolge die Sicherheitsfeatures nicht überprüfbar.
Die Verschlüsselungs-Keys lägen bei Microsoft, wodurch Dritte theoretisch auf Übertragungsinhalte zugreifen könnten.

Hinsichtlich der Netzarchitektur und des Verschlüsselungsverfahrens äußert das Fraunhofer Institut Bedenken. Aus diesen Gründen empfiehlt das Institut, auf die Verwendung der kostenlosen Skype-Version für den Austausch von sensiblen oder schutzbedürftigen Unternehmensdaten zu verzichten. Dies träfe ebenso auf die klassische unverschlüsselte Telefonie zu, so das Institut.

Einsatz von Skype for Business
Microsoft bietet seit Frühjahr 2015 den kostenpflichtigen Dienst "Skype for Business" für Unternehmenskunden an. Die Firma Skype wurde 2011 von Microsoft gekauft. Mit "Skype for Business" wurde der vorherige Kommunikationsdienst Lync abgelöst.

Für "Skype for Business" sieht das Fraunhofer Institut keine Sicherheitsrisiken, weist aber auf datenschutzrechtliche Fragestellungen beim Einsatz der Cloud-Version hin. Wie bei allen Cloud-Anwendungen müssen die damit realisierten Geschäftsprozesse mit datenschutzrechtlichen Anforderungen abgestimmt werden. Für die Verarbeitung von personenbezogenen Daten und vertraulichen Firmeninformationen sind Cloud-Lösungen nur im engen Rahmen eine Option.


Quellen:
Heise: Fraunhofer ESK: Skype ist Sicherheitsrisiko für Firmen