White paper underground_8 FireWall blockiert Skype in unternehmenSnetzen - Infopoint Security
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
White paper
underground_8 Firewall blockiert Skype
in Unternehmensnetzen
Das Telefonieren über Computernetzwerke auf Basis von Voice over IP (VoIP) entwickelt sich im Eiltempo.
In Anwenderkreisen ist die Software Skype zum Telefonieren über das Internet am bekanntesten und am
weitesten verbreitet. Jedoch verbreitet sich die Skype-Software nicht nur unter Heimanwendern, sondern
zunehmend auch in Unternehmensnetzwerken. Dabei aber entstehen aufgrund des unkontrollierten Einsat-
zes von Skype in den Unternehmensnetzen erhebliche Sicherheitsprobleme und zusätzliche Risiken für die
Unternehmen. Der unkontrollierte Einsatz wird auch dadurch erleichtert, dass eine Installation von Skype
keine Administrationsrechte erfordert. Zudem ignorieren in der Praxis die meisten Mitarbeiter die Sicher-
heitsvorgaben des Unternehmens und installieren bzw. nutzen Skype, ohne die IT-Abteilung zu informieren.
Dies hat zur Folge, dass die Unternehmen faktisch keine Kontrolle über die via Skype übermittelten Daten
haben. Unternehmen sind jedoch auf ein Höchstmaß an Sicherheit angewiesen. Diese wird durch die Nutzung
von Skype gefährdet.
Dem wirkt der Hersteller Skype insofern entgegen, als er versucht, mit „Skype for Business“ die Skype-Tele-
fonie auch den Unternehmen schmackhaft zu machen. Durch die integrierten Erweiterungen lässt sich auf
Basis eines Windows Installer-Pakets (MSI) Skype auf mehreren Computern gleichzeitig installieren. Die IT-
Administratoren erhalten dadurch mehr Kontrolle über den über Skype abgewickelten Kommunikations- und
Datenverkehr.
Mit der Online-Systemsteuerung kann das Unternehmen einzelnen Benutzern Skype-Credits zuweisen, die
für kostenpflichtige SkypeOut-Anrufe in das Fest- oder Mobilnetz genutzt werden können. Darüber hinaus
ermöglicht diese Systemsteuerung einen Überblick über die dabei anfallenden Telefonkosten.
Zusammen mit Partnern hat Skype zudem neue Produktivitätstools für Unternehmen entwickelt. Dazu zählen
unter anderem Convenos, eine Lösung zum Web-Conferencing und zur Online-Zusammenarbeit, oder Unyte,
mit dem Benutzer einen Blick auf ihren Desktops freigeben können.
In der folgenden Tabelle sind die Skype-Hauptdienste aufgelistet:
Dienstmerkmal Beschreibung
Der Skype Client ist kostenlos. Mit seiner Hilfe ist es möglich, kostenlose Gespräche
Skype Client
über das Internet mit anderen Skype-Anwendern zu führen.
SkypeOut ist ein kostenpflichtiger Dienst, durch den Personen mit regulären Fest-
netzanschlüssen und Handys vom Skype-Netz aus angerufen werden können.
SkypeOut
Verbindungen zu Festnetzanschlüssen sind sehr kostengünstig. Teuer sind dagegen
allerdings Mobilfunkverbindungen.
SkypeIN ist ein kostenpflichtiger Dienst, bei dem einem Anwender eine eigene feste
Telefonnummer zugeordnet wird. Hierdurch können auch Gespräche von regulären
SkypeIN
Festnetzanschlüssen aus angenommen werden, und der Anruf kann über den Skype
Client entgegengenommen werden.
SEITE 1underground_8 Firewall blockiert Skype in Unternehmensnetzen
Dienstmerkmal Beschreibung
Skype Voicemail stellt einen kostenpflichtigen Anrufbeantworter als Dienst zur
Verfügung. Die Voicemail-Funktion dient nicht nur als Anrufbeantworter, sondern
es lassen sich zusätzlich noch Sprachnachrichten an alle anderen Skype-User verschi-
Skype Voicemail cken, auch wenn diese kein Voicemail-Abo besitzen.
Voicemail zeichnet Nachrichten nicht nur dann auf, wenn Skype-Anrufe nicht entge-
gengenommen werden, sondern auch, wenn der Computer ausgeschaltet ist.
Mit diesem kostenlosen Service können sich bis zu 100 Nutzer untereinander zu den
verschiedensten Themen auszutauschen.
Skypecast
Der Initiator eines Skypecast agiert als Moderator zwischen den Teilnehmern und
entscheidet, wer das Wort erhält. Um den Dienst zu nutzen, muss sich der Nutzer
vorab registrieren.
Tabelle: Dienstmerkmale von Skype
Das Gefahrenpotenzial von Skype
Skype basiert nicht auf dem SIP- oder dem H.323-Standard, sondern nutzt drei proprietäre Protokolle. Da-
rüber hinaus arbeitet Skype nach den aus den klassischen Filesharing-Netzwerken bekannten Peer-to-Peer-
Technologien. Jeder Client (somit jedes Skype-Phone) verbindet sich nicht mit einem zentralen Server, son-
dern ohne weitere Konfiguration mit anderen Clients (Peers). Aus diesem Grund verschlüsselt Skype auch
die Verbindungen. Das Skype-Protokoll nutzt zur Verschlüsselung den AES(Advanced Encryption Standard)-
Mechanismus. Die symmetrischen Schlüssel werden dabei dynamisch ausgehandelt. Die benutzten Verfahren
gelten als extrem sicher. Daneben betreibt Skype innerhalb seines Netzwerkes eine Public Key Infrastruktur
(PKI), die Austausch und Überprüfung der Schlüssel erlaubt. Allerdings warnen Kryptografie-Experten, dass
die in Skype eingebaute Verschlüsselung nicht sicher genug sei und Verbindungen mitgeschnitten und ent-
schlüsselt werden könnten.
Skype verursacht mit seiner starken Verschlüsselung der Kommunikation und der Fähigkeit zur Umgehung
von Firewalls eine Reihe von Problemen:
¬¬ stark erhöhtes Verkehrsaufkommen,
¬¬ Behinderung anderer Anwendungen und
¬¬ die Verletzung staatlicher Auflagen bzw. Telekommunikationsgesetze.
Um zu verhindern, dass der Skype-Verkehr extern blockiert werden kann, hat Skype sehr viel Aufwand in
die Verschleierung der eigenen Datenströme investiert. Wird eine Skype-Verbindungsmethode unterbunden,
greift das Programm auf eine Vielzahl von Fallbackmechanismen zurück, welche systematisch durchprobiert
werden. Skype-Datenströme können beispielsweise auch als getarnter Webverkehr oder HTTPS übertragen
werden.
Die Umgehung der Sicherheitsfunktionen durch Skype bereitet den IT-Administratoren schlaflose Nächte. Sky-
pe legt beispielsweise nach dem Start im Verzeichnis für temporäre Dateien eine ausführbare Datei namens
1.com an. Diese ist in der Lage, sämtliche BIOS-Informationen des betreffenden Rechners auszulesen. Darüber
hinaus versucht Skype das Auslesen dieser Datei zu unterbinden. Nach Aussage von Skype diene diese Über-
prüfung dem „Skype Extras Manager“ zur eindeutigen Identifizierung von Rechnern, damit sichergestellt
werde, dass lizenzpflichtige Extras nur von berechtigten Lizenznehmern installiert und betrieben würden.
Vor einigen Monaten nutzten mehrere Schadprogramme Skype für ihre Verbreitung. Denn ohne die effektive
Kontrolle des Internetverkehrs ist ein Ausbruch einer neuen Flut von Angriffen faktisch nicht zu verhindern.
Über Skype können die Nutzer beliebige Files untereinander austauschen – ungehindert und ohne Sicher-
heitskontrollen. Darüber hinaus besteht die Gefahr, dass durch das P2P-Prinzip unter Umständen die Rech-
nerressourcen des Unternehmens verschwendet werden. Bei Skype gibt es keine Kommunikationszentrale,
die man einfach blocken könnte. Die Clients finden sich dynamisch untereinander. Somit ist es schwer, den
SEITE 2underground_8 Firewall blockiert Skype in Unternehmensnetzen
Verkehr mittels Firewalls zu sperren. Mancher Administrator ist daher unangenehm überrascht, dass Skype
trotz restriktiv konfigurierter Firewall funktioniert.
Auf Basis von Skype ist es möglich, auch zwischen Clients, die durch eine Firewall geschützt sind, VoIP-Verbin-
dungen herzustellen. Möchte Nutzer A mit Nutzer B sprechen und sind beide durch eine Firewall geschützt,
sind in keiner Richtung eingehende Verbindungen möglich. Befindet sich jedoch nur Nutzer A hinter einer
Firewall, kann Nutzer A den Nutzer B anrufen, aber nicht B den Benutzer A.
Jeder Skype Client ist mit einem Supernode verbunden, der letztlich als Verteiler agiert. Dabei kann jeder
Skype-Client als Supernode arbeiten. Somit sind Supernodes keine zentralen Server, sondern andere Skype-
Nutzer. Dem IT-Administrator wird durch dieses Prinzip allerdings die Kontrolle entzogen.
Austausch von Super Nodes
Message während
dem Login
Skype Login
Server
Abbildung 1: Skype Netzwerk
Beim Verbindungsaufbau (Anruf) wird über eine bereits bestehende Verbindung zum Supernode (C) auf Basis
des Skype Proprietary Call Control Protocols ein eingehender Anruf signalisiert. Anschließend verbinden sich
A und B mit dem Supernode C und bauen über Rechner C das Gespräch auf. Das eigentliche Gespräch wird
anschließend direkt zwischen A und B (per UDP-Verbindung) abgewickelt.
SEITE 3underground_8 Firewall blockiert Skype in Unternehmensnetzen
A B A B
C C
Verbindungsaufbau über Super Node Direkte Kommunikation zwischen A und B
Abbildung 2: Verbindungsaufbau Skype
Erlaubt eine sehr restriktiv konfigurierte Firewall den Transfer des ausgehenden Datenverkehrs nur über
den TCP-Port 80 (HTTP) und 443 (HTTPS) und sind die UDP-Wege blockiert, wird das Gespräch über andere
Computer (D) geführt. Diese Funktion wird als Relaying bezeichnet. Das Relaying lässt sich nicht nur für die
Übermittlung von Sprache, sondern auch zur Datenübertragung nutzen. Die Transferrate einer solchen Ver-
bindung ist nicht sehr hoch, aber immerhin kommt die Dateiübertragung überhaupt zustande.
Ein Mechanismus zur Durchdringung von Firewalls wird als „UDP Hole Punching“ bezeichnet. Normalerweise
können zwei Rechner, die sich beide hinter einer Firewall befinden, keine direkte Kommunikation aufbau-
en. Rechner hinter einer Firewall sind durch die Network Address Translation (NAT) aus dem Internet nicht
direkt adressierbar. Selbst wenn man die übersetzte IP-Adresse eines solchen Rechners herausbekommt und
versucht, über diese zu kommunizieren, wird die Firewall der Gegenseite die Kommunikation aber jeweils
unterbinden, weil sie nicht von ihrem Netz aus aufgebaut wurde.
Beim UDP Hole Punching wird mit Hilfe eines externen Vermittlungsservers trotzdem eine Kommunikation
ermöglicht. Clients, die kommunikationsbereit sind, melden sich bei diesem externen Server an. Dadurch ist
der Firewall bekannt, dass sie auch Pakete von diesem externen Server als Antwort durchlassen muss. Die
Kommunikation der beiden Clients untereinander läuft dann jeweils über den Server, der die Pakete mit sei-
ner Adresse als Absender weiterleitet.
Das UDP Hole Punching erfordert jedoch, dass die NAT-Komponente den Status der UDP Session hält, un-
abhängig davon, dass die Pakete jetzt von einem anderen Rechner kommen. Dieser Mechanismus arbeitet
jedoch nur mit einem so genannten „full cone NAT“ und hat keinen Erfolg bei „restricted cone NAT“ oder
„symmetric NAT“.
Kein Problem ohne Lösung: Beide Rechner beginnen mit der Versendung von mehreren Paketen bzw. Ver-
bindungsversuchen. Durch das „restricted Cone NAT“ wird das erste Paket vom Kommunikationspartner blo-
ckiert. Da jedoch die NAT-Komponente anschließend über einen Vermerk („habe Paket zu anderer Maschine
versendet“) verfügt, lässt NAT anschließend alle Pakete von dieser IP-Adresse und Portnummer durch. Neben
Skype nutzen diese Technik auch die Peer-to-Peer-Mechanismen und die VoIP-Telefonie.
Das UDP Hole Punching macht es sehr schwer, Skype beispielsweise in Firmennetzen zu blockieren. Durch die
Möglichkeit, Dateien über Skype zu übertragen, ist Skype die perfekte Methode, um unerkannt Daten aus
abgesicherten Bereichen zu schmuggeln.
Die Registrierung als Skype-Nutzer und die Installation der Software erkauft man mit der Bereitstellung der
Ressourcen des eigenen Computers bzw. Firmenrechners für die Skype-Community. Besitzt der als Skype-
Client verwendete Rechner die richtigen Voraussetzungen – lange Online-Zeiten, hohe Bandbreite, eine öf-
fentliche IP-Adresse, reichlich Rechenpower und Arbeitsspeicher –, kann dieser zu einem Supernode mutieren
und damit zu einer Vermittlungszentrale für Adressbücher, Presence-Informationen und die Kommunikati-
onsströme der Skype-User werden.
SEITE 4underground_8 Firewall blockiert Skype in Unternehmensnetzen
Mit dem Befehl Netstat kann man festzustellen, ob der eigene Computer als Supernode agiert. Tauchen in den
Statistiken über einen längeren Zeitraum viele unbekannte Verbindungen auf dem in den Skype-Optionen
unter „Connection“ festgelegten Port auf, ist dies wohl ein gewisses Indiz für einen Supernode. Es kann aber
genauso sein, dass der eigene Computer „nur“ zum Relaying verwendet wird. Tatsächlich hat ein Supernode
viele neue „eingehende“ Verbindungen, die man allerdings durch einmaligen netstat-Check nicht unbedingt
mitbekommt. Daher sollte man die eingehenden Verbindungen über einen längeren Zeitraum beobachten.
Außerdem erzeugt ein Supernode ein deutlich höheres Datenvolumen als normale Knoten.
Es besteht kein Zusammenhang zwischen einer großen Anzahl an Verbindungen und dem Status als Supernode.
Um den Status eines Supernodes zu erhalten, benötigt der Rechner eine schnelle Internetanbindung, der in
Skype festgelegte Port darf für eingehende TCP- und UDP-Verbindungen nicht durch eine Firewall blockiert
sein und Skype muss tage- bzw. wochenlang ohne Neustart laufen. Supernodes werden automatisch ausge-
wählt. Bei einem überlasteten Supernode gibt dieser einen Teil der Last an einen der verbundenen Clients ab
und die Last wird automatisch verteilt. Ein Supernode stellt von sich aus Bandbreite zur Verfügung, über die
der Benutzer in einem Unternehmensnetz keine Verfügungsgewalt hat.
Ab Version 3.0 des Skype-Clients kann diese Funktionalität über Registry-Keys ausgeschaltet werden. Auf
allen Rechnern, deren Verfügbarkeit garantiert werden muss, sollte die Funktionalität als Super Node oder
Relay bei der Installation des Skype-Client ausgeschaltet werden. Voraussetzung dafür ist jedoch, dass Mitar-
beiter Skype nicht unkontrolliert ins Unternehmen einführen.
Rechtliche Hintergründe zum Betrieb von Skype & Co.
Peer to Peer (P2P), Instant Messaging (IM) und Skype stellen ein immenses Risiko für Unternehmen dar. Die
Installation und der Betrieb von illegalen Tauschbörsen oder unternehmensfremden Kommunikationskanälen
sind durch Mitarbeiter technisch vergleichsweise leicht zu bewerkstelligen. Dies fällt den Mitarbeitern umso
leichter, wenn das Unternehmen nur mittelmäßige Sicherheitsmaßnahmen etabliert und diese zudem nicht
speziell auf die Thematik P2P, IM und Skype abgestimmt hat. Der Missbrauch von Arbeitszeit, Speicherplatz
und Bandbreite kann zwar zu erheblichen arbeitsrechtlichen Konsequenzen für die Mitarbeiter bis hin zur
fristlosen Entlassung führen; für das Unternehmen ist dies aber nur eine relativ unbefriedigende Begren-
zung eines Schadens, der in der Regel schon längst entstanden ist. Unternehmen, deren Mitarbeiter durch
unbemerkt und unkontrolliert laufende P2P-Plattformen Urheberrechte verletzen, können dafür samt ihrer
Vorstände und Geschäftsführer zur Rechenschaft gezogen werden. Die rechtlichen Konsequenzen reichen
dabei von Unterlassungs- und Schadensersatzansprüchen bis hin zu Haftstrafen für die Geschäftsführung.
Und Unwissenheit schützt bekanntlich nicht vor Strafe: Die Folgen können die Unternehmensleitung sogar
dann treffen, wenn diese von den Tauschbörsen nichts gewusst haben. Laufen die Tauschbörsen nur unter-
nehmensintern, drohen Gefahren aus unerwarteten Richtungen: Das deutsche Jugendschutzrecht bestraft
beispielsweise ausbildende Betriebe mit Bußgeld- und sogar Haftstrafen, wenn diese ihre Aufsichtspflichten
verletzen und ihren Auszubildenden den Zugriff auf jugendgefährdende Medien erlauben – und sei es auch
nur durch die Gewährung unbeschränkten und unkontrollierten Speicherplatzes auf den Firmenservern, der
von den Auszubildenden für den Austausch von entsprechenden Audio- und Videotiteln genutzt wird.
Externalität ist ein Begriff aus der Wirtschaftssprache. Dieser beschreibt die Auswirkungen des Handelns einer
Person auf eine andere. Das ökonomische Problem der externen Effekte liegt darin, dass die Verursacher der
externen Effekte diese nicht im wirtschaftlichen Kalkül berücksichtigen. Ohne gesetzliche Regelungen wer-
den im Falle negativer externer Effekte gesamtgesellschaftliche Kosten verursacht, da sie vom Entscheider
nicht berücksichtigt werden, bzw. im Falle positiver externer Effekte gesamtgesellschaftlicher Nutzen nicht
verursacht, da der Entscheider nicht von ihnen profitieren würde. Beides ist nicht wünschenswert und führt
daher zu staatlichen Regelungen. Zur Verhinderung externer Effekte hat der Staat die einschlägigen Rechts-
vorschriften bzw. Haftungsprinzipien erlassen. Nur durch entsprechende technische und organisatorische
Maßnahmen lässt sich effektiv verhindern, dass Mitarbeiter die Ressourcen des Unternehmens dazu nutzen,
um vom Arbeitsplatz aus illegale Tauschbörsen oder andere unerwünschte Anwendungen zu betreiben.
SEITE 5underground_8 Firewall blockiert Skype in Unternehmensnetzen
Skype macht das eigene Netzwerk angreifbar
Wie schon erwähnt, ist ein wesentlicher Sicherheitsaspekt die Gefahr, über Skype-Verbindungen das eigene
Netzwerk angreifbar zu machen. Philippe Biondi und Fabrice Desclaux von EADS haben die genauere Arbeits-
weise des Clients veröffentlicht. Sie fanden heraus, dass der Hersteller immensen Aufwand betreibt, um das
Reverse Engineering seiner Software zu verhindern. So erkennt der Client beispielsweise, ob er in einem De-
bugger läuft, und ändert sein Laufzeitverhalten, indem er andere Register und Speicherbereiche nutzt. Teile
des Codes sind sogar verschlüsselt und werden erst zur Laufzeit ausgepackt. Darüber hinaus ist es den beiden
Forschern gelungen, die Art der Datenverschlüsselung, die Berechnung des Schlüssels sowie die Authentifi-
zierung von Skype herauszufinden. Prinzipiell besteht die Möglichkeit, manipulierte Supernodes ins Netz zu
bringen, um den Sprachverkehr umzuleiten und zu belauschen.
Durch die fehlende Transparenz von Skype ist somit diese Applikation nicht mit der Sicherheitspolitik ei-
nes Netzwerkbetreibers vereinbar. So können eventuell schon vorhandene oder zukünftige Backdoors nicht
erkannt werden. Das Netzwerk ist gegen Angriffe ungeschützt, da die Angriffe über Skype grundsätzlich
“versteckt” sind. Weiterhin wird ein Datenverkehr erzeugt, der nicht einfach überwacht werden kann. Jeder
Nutzer von Skype muss automatisch nicht nur den anderen Nutzern, sondern auch jeglichen Knoten, die für
die Verbindungen genutzt werden, blind vertrauen. Auch wenn die Entwickler von Skype alles daransetzen,
eventuelle Sicherheitslücken zu schließen, treten wie bei allen Softwareentwicklungen derartige Lücken im-
mer wieder auf. Da eine Skype-Verbindung quasi einen Tunnel durch die Firewall eines Netzwerkes aufbaut,
ist die Gefahr, dass Dritte über eine solche Verbindung unberechtigt eindringen, gegeben. Und anders als bei
reinen Telefonverbindungen ist damit der Zugriff auf sämtliche Daten im Netzwerk, die Einschleusung von
Trojanern und Spyware oder die Verseuchung mit einem Virus möglich.
Außerdem baut Skype sehr viele Internetverbindungen auf, welche von IDS nicht eindeutig zugeordnet wer-
den können, und führt gleichzeitig zu einer erhöhten Rate von fehlerhaften Sicherheitsalarmen. Dies zieht
einerseits das Risiko nach sich, dass wichtige Alarme zwischen Fehlalarmen übersehen werden. Andererseits
würden zu lockerere Sicherheitseinstellungen für IDS ein größeres Risiko darstellen, da tatsächliche Angriffe
nicht erkannt werden.
Zusammenfassung
Das ernüchternde Ergebnis ist, dass sich der Einsatz von Skype in den Unternehmen mit gängigen Maßnah-
men kaum blockieren lässt. Jeder Skype Client verwendet einen anderen Port. Dieser Kommunikationsport
wird bei der Installation nach dem Zufallsprinzip festgelegt. Aus diesem Grund lässt sich der Skype-Verkehr
nicht ohne weiteres in der Firewall, durch Blockierung einzelner Ports, unterbinden. Weil Skype auf einer
Peer-to-Peer-Technologie basiert, kann auch kein zentraler Server blockiert werden. Bleibt noch der Login-
Server, auf dem sich jeder Nutzer anmelden muss, um einen neuen Account zu registrieren und um sich im
Skype-Netzwerk anzumelden, wenn er nicht die Option Autologin aktiviert hat. Hat sich ein Nutzer bereits
angemeldet (möglicherweise von zu Hause) und wurde die Option Autologin gewählt, braucht der Benutzer
nicht einmal mehr eine Verbindung zu einem Login-Server. Die Login-Server verfügen über feste IP-Adressen
(beispielsweise 80.160.91.5, 80.160.91.11, 80.160.91.13, 80.160.91.25). Daher könnte der Zugriff auf diese
Server blockiert werden. Dies bietet jedoch keinen hundertprozentigen Schutz.
Wie steht es mit dem Datenschutz bei der Nutzung von Skype im Unternehmen?
Der Umfang der datenschutzrechtlichen Anforderungen betreffend die Nutzung von Skype hängt ganz maß-
geblich davon ab, ob diese für die Öffentlichkeit oder nur für geschlossene Benutzerkreise bestimmt ist.
Firmeneigene Netze werden in aller Regel nur für geschlossene Benutzerkreise angeboten. Hierbei sind aus
datenschutzrechtlicher Sicht zwei Varianten zu unterscheiden:
¬¬ Die Nutzung des firmeneigenen Netzes ist nur für betriebliche Zwecke erlaubt.
Für den Fall, dass die Angestellten eines Unternehmens das firmeneigene Netz ausschließlich für betrieb-
liche Zwecke nutzen dürfen, ist das Unternehmen (als Betreiber des Netzes) kein „Anbieter” im Sinne
des Telekommunikations- oder Telediensterechts. Schließlich stellt der Arbeitgeber seinen Arbeitnehmern
lediglich ein weiteres Arbeitsmittel zur Verfügung. Beim Anbieter und Nutzer des Netzwerks handelt es
SEITE 6underground_8 Firewall blockiert Skype in Unternehmensnetzen
sich damit rechtlich nicht um zwei verschiedene Rechtssubjekte. Diese „Personenidentität” hat für das
Unternehmen die rechtliche Konsequenz, dass es weder an die Vorschriften zum Fernmeldegeheimnis oder
zum Datenschutz noch an die datenschutzrechtlichen Vorschriften des Teledienstedatenschutzgesetzes ge-
bunden ist. Das Unternehmen hat einzig und allein die jeweils einschlägigen Vorschriften für Personalda-
tenverarbeitung zu beachten.
¬¬ Die Nutzung des firmeneigenen Netzes ist für private und betriebliche Zwecke erlaubt.
Wird dagegen den Angestellten erlaubt, das firmeneigene Netzwerk auch für private Zwecke zu nutzen, er-
bringt das jeweilige Unternehmen geschäftsmäßige Telekommunikationsdienste. Eine „Personenidentität”
ist nun nicht mehr annehmbar, vielmehr geht es nun um zwei verschiedene Rechtssubjekte, nämlich den
Arbeitgeber (Anbieter) und seinen Arbeitnehmer (Nutzer). In datenschutzrechtlicher Hinsicht hat dies zur
Folge, dass das betreffende Unternehmen sowohl das Fernmeldegeheimnis als auch die datenschutzrecht-
lichen Vorschriften der Telekommunikationsgesetze zu beachten hat.
Welche Risiken birgt Skype?
Die Installation und der Betrieb von illegalen Kommunikationskanälen sind durch Mitarbeiter technisch ver-
gleichsweise leicht zu bewerkstelligen. Dies fällt den Mitarbeitern umso leichter, wenn das Unternehmen
nur mittelmäßige Sicherheitsmaßnahmen etabliert und diese zudem nicht speziell auf die Thematik P2P, IM
und Skype abgestimmt hat. Einschlägige Untersuchungen zeigen, dass die Risiken von Skype noch immer
unterschätzt werden. Die größte Gefahr geht vom Risiko des Datenabflusses aus. Mit anderen Worten: Durch
Skype können vertrauliche Unternehmensdaten unbemerkt aus dem Unternehmen geschmuggelt werden.
Der Missbrauch von Arbeitszeit, Speicherplatz und Bandbreite kann zwar zu erheblichen arbeitsrechtlichen
Konsequenzen für die Mitarbeiter bis hin zur fristlosen Entlassung führen; für das Unternehmen ist dies aber
nur eine relativ unbefriedigende Begrenzung eines Schadens, der in der Regel schon längst entstanden ist.
Unternehmen, deren Mitarbeiter durch unbemerkt und unkontrolliert laufende Plattformen Urheberrechte
verletzen, können dafür samt ihrer Vorstände und Geschäftsführer zur Rechenschaft gezogen werden. Die
rechtlichen Konsequenzen reichen dabei von Unterlassungs- und Schadensersatzansprüchen bis hin zu Haft-
strafen für die Geschäftsführung.
Skype auf dem USB-Stick
Mit Hilfe von USB-Sticks ist es möglich, Skype zu benutzen, auch wenn die Installation an sich durch Ab-
wehrmaßnahmen nicht möglich wäre. Skype kann auf einem USB-Stick lauffertig installiert werden. Dabei
ist besonders hinterhältig, dass dieser Betrieb keine Spuren hinterlässt, da alle temporären Dateien, die zur
Benutzung nötig sind, auf dem USB-Stick als Laufwerk abgelegt werden. Wird der Stick abgezogen und die
Anwendung geschlossen, ist nicht nachzuweisen, dass Skype jemals auf dem Rechner war.
Einsatz von Skype bedarf klarer Regeln
Unternehmen, die Skype bereits einsetzen oder dies in Zukunft planen, müssen klare Regeln für den Umgang
mit Skype aufgestellen:
¬¬ Der IT-Verantwortliche und/oder der IT-Sicherheitsbeauftragte müssen unbedingt über den Skype-Einsatz
informiert werden und die Voraussetzungen für die Nutzung prüfen.
¬¬ Auf Rechnern sicherheitskritischer Bereiche mit hohem Schutzbedürfnis muss die Installation von Skype
untersagt werden.
¬¬ Die Mitarbeiter müssen detailliert über die Risiken von Skype informiert und für den richtigen Umgang mit
unternehmenskritischen Daten sensibilisiert werden.
¬¬ Die Anwender müssen bei der Nutzung alle definierten Regeln einhalten. Dazu zählt auch, dass nur mit
bekannten Partnern kommuniziert wird und dass die automatische Annahme von Verbindungen strikt
untersagt ist.
SEITE 7underground_8 Firewall blockiert Skype in Unternehmensnetzen
Gefahrenquelle Mensch
Außer Problemen durch den Einsatz des Skype-Clients selbst können Sicherheitslücken natürlich auch durch
Mängel in der Programmumgebung beziehungsweise durch böse Absicht oder Fahrlässigkeit der Anwender
entstehen. Die Praxis zeigt, dass die Hauptquelle der Gefahren vom User selbst ausgeht. Mit anderen Worten:
Ausgerechnet der Faktor Mensch kann bei der Verwendung von Skype am häufigsten zu Verletzungen der
Datensicherheit führen. Bei etwa der Hälfte aller bekannten Vorfälle lag die Schuld für Datenverlust tatsäch-
lich an den Mitarbeitern des Unternehmens, die fahrlässig mit den Daten umgegangen sind oder die Absicht
hegten, Daten aus dem Unternehmen zu entwenden.
Mängel in der Programmumgebung von Skype, Schwachstellen im Betriebssystem oder in den auf dem PC
genutzten Anwendungen bergen zusätzliche Gefahrenpotenziale beim Zusammenspiel mit Skype. Das Bun-
desamt für Sicherheit in der Informationstechnik (BSI) hat in einer Studie (VoIPSEC, Studie zur Sicherheit von
Voice over Internet Protocol) eine Reihe von Skype-Schwachstellen aufgezeigt. Hierzu gehören:
¬¬ Skype-Rechner wurden mit dem Trojaner W32/Ramex.A infiziert, der den Fremdzugriff auf den Computer
ermöglichte und ihn zum Teil eines Botnetzes machte.
¬¬ Über ein Sicherheitsleck in Skype konnten Angreifer die Kontrolle über fremde Systeme erlangen. Durch
das Einschleusen manipulierter Videos ließen sich Cross Site Scripting-Attacken auf Skype zu starten.
¬¬ Unwissenheit schützt bekanntlich nicht vor Strafe: Die Folgen eines unkontrollierten Einsatzes von Skype
können die Unternehmensleitung sogar dann treffen, wenn diese von deren Nutzung nichts gewusst hat.
Sicherheitsrisiken Rechtliche Risiken
Fehlende Standardisierung und Interoperabilität Unklare Bindungswirkung des Lizenzvertrages
Unklare Sicherheit, da Protokolle nicht offengelegt Geschäftliche Nutzung rechtlich nicht klar geregelt
werden .
Mögliche Sicherheitslücken im Quellcode Skype lehnt Gewährleistungsansprüche ab
Keine Sicherstellung der Authentizität und Integri- Skype kann Benutzerkonten löschen
tät der Daten/Verbindungen .
Potenzieller Kanal zum Schmuggeln vertraulicher Unklare Eigentums- und Verwendungsrechte der
Unternehmensdaten Skype-ID
Überwachung des Nutzers möglich
Belastung des Firmennetzes durch Super-Node-
Funktionalität
Gefährdung des Unternehmensnetzwerkes über die
Endgeräte
Quelle: Berlecon Research GmbH
Wie bekommt man das Problem „Skype im Unternehmen“ trotzdem in den
Griff?
Um die Kontrolle über Skype zu gewinnen, gibt es verschiedene Möglichkeiten. Eine sehr aufwändige Me-
thode ist es, extrem restriktive Netzwerkeinstellungen und Überwachungen aller Installationen im eigenen
Netzwerk vorzunehmen.
Die bessere Möglichkeit ist, Skype am Gateway zum Internet zu sperren. Dazu eignet sich die von under-
ground_8 entwickelte MF Security Gateway™ Serie hervorragend.
Aufgebaut auf einem proprietärem Betriebssystem Sniper OS bietet das MF Security Gateway™ einen allum-
SEITE 8underground_8 Firewall blockiert Skype in Unternehmensnetzen
fassenden Schutz gegen die wachsende Anzahl an Bedrohungen auf Applikationsebene. Darunter versteht
underground_8 eine Kombination an Filtermöglichkeiten für gängige Protokolle wie HTTP, FTP, SMTP, POP3,
P2P oder auch VoIP. Diese Absicherung ist ganz besonders für Unternehmen erforderlich, die mit personen-
bezogenen Daten arbeiten, da sie von gesetzlicher Seite eine besonders hohe Sorgfaltspflicht einzuhalten
haben.
In Kombination mit Stealth Technologie sorgt der Applikations- und P2P-Schutz, gepaart mit sorgfältig design-
ter Hardware, für ein sicheres und performantes Netzwerken.
Das MF Security Gateway™ erkennt, klassifiziert und blockt alle Arten von Messaging- und P2P-Programmen.
underground_8 bietet im Rahmen der „Web Filtering-Option“ folgende Funktionen:
¬¬ Erweiterte Erkennung von IM/P2P-Protokollen: Ein neuer Flow Classifier ermöglicht Identifikation und
Klassifizierung komplexer und schwer erkennbarer Protokolle im Datenstrom.
¬¬ Skype-Blockierung: Der Skype-Blocker verändert die Firewall- und HTTP-Proxy-Konfiguration des MF Security
Gateways™ nachhaltig. Dadurch werden jegliche Verbindungsversuche von Skype strickt unterbunden.
Nach der Aktivierung des Skype-Blockers wird die gesamte Kommunikation vom internen ins externe Netz
über das MF Security Gateway™ abgewickelt. Dabei werden die Kommunikationsströme über die DCI
Engine und spezielle Filter geleitet. (siehe auch „Peer-2-Peer Filter und SOCKS Proxy“).
¬¬ Administratoren können Ausnahmen von der unternehmensweiten Sicherheits-Policy für Instant Messenger
und P2P-Anwendungen definieren. Auf Basis der „Clients allow-Liste“ kann der Netzadministrator einzelnen
Clients (bzw. IP-Adressen) die Skype-Nutzung erlauben und einen geregelten Skype-Verbindungsaufbau
zulassen. Auf diese Weise lässt sich der Gebrauch entsprechender Tools granular für einzelne IP-Adressen
oder Anwender freischalten.
¬¬ Mit der Funktion „Server allow-Liste“ hat der Netzadministrator die Möglichkeit, den Zugriff auf einzelne
Server im Internet zu erlauben. Damit kann die Verbindung zu bestimmten Servern – die einen ähnlichen
Verbindungsaufbau wie Skype nutzen – realisiert werden.
Peer-2-Peer Filter und SOCKS Proxy
Jeder Rechner in einem Peer-to-Peer-Netzwerk kann Client- und Server-Funktionen übernehmen. Dedizierte
Server sind in der Regel nicht vorhanden. Gemeinsam genutzte Ressourcen (Verzeichnisfreigaben, Drucker
etc.) verteilen sich über alle teilnehmenden Rechner. Ein reines Peer-to-Peer-Netzwerk unterscheidet sich
deutlich vom Client-Server-Modell, bei dem die Kommunikation normalerweise von einem zentralen Server
ausgeht.
Im Peer-2-Peer-Filtermenü lassen sich die P2P-Filter für das MF Security Gateway™ konfigurieren. Viele File-
sharing-Netzwerke wie e-Donkey, KaZaA, Gnutella usw. sind hier aufgelistet. Der Administrator kann aus-
wählen, welche Filesharing-Netzwerke zur Ausführung berechtigt sind.
Das MF Security Gateway™ bietet auch die Möglichkeit, einen protokoll-unabhängigen Proxy, einen so ge-
nannten SOCKS Proxy, zu definieren. Die Regeln für den SOCKS Proxy werden über spezifische Merkmale wie
beispielsweise Access Control List (ACL), Protocol, Permission, Source- und Destination Ziel-IP-Adresse bzw.
Source- und Destination-Port festgelegt.
Darüber hinaus sorgt das MF Security Gateway™ für ein effektives Bandbreitenmanagement. Oftmals geben
Unternehmen einen Großteil ihres IT-Budgets für sehr teure und geschäftskritische Applikationen aus, um
dann herauszufinden, dass diese über WAN und Internet nicht effizient funktionieren. Auch der herkömm-
liche Internetzugang wird unnötigerweise überdimensioniert, nur weil man Bandbreite nicht unterteilt und
Dienste priorisiert. Diese Anwendungen müssen sich ihre Bandbreite von weniger wichtigen Applikationen
erkämpfen, da die Bandbreitenressourcen beschränkt sind. Diese „Frei-für-alle-Anwendungen“-Philosophie
kann die Zustellung wichtiger Informationen verzögern, die Leistung der Anwendungen behindern und da-
durch dem Unternehmen schaden. Dabei benötigen die meisten Netze heute keine zusätzliche Bandbreite,
sondern Wege, die existierende Bandbreite zu managen und deren Verbrauch zu kontrollieren.
Genau diese Lösung unterstützt der underground_8 mit dem integrierten portbasierten Traffic Shaping. Da-
durch werden Dienste wie VoIP, HTTP, POP3, FTP usw. optimiert.
SEITE 9underground_8 Firewall blockiert Skype in Unternehmensnetzen Fazit Skype sollte in Unternehmen und vor allem in Bereichen, in denen mit geheimen Informationen gearbeitet wird, nicht eingesetzt werden. Das bedeutet jedoch nicht, dass die Nutzung von Skype in Unternehmen generell ausgeschlossen werden sollte. Der Einsatz muss jedoch unter Beachtung klar definierter Regeln er- folgen. Dazu gehört auch, dass Mitarbeiter über die Risiken von Skype informiert und für den Umgang mit unternehmenskritischen Daten sensibilisiert werden. Denn IT-Sicherheit entsteht nicht nur durch technische Schutzmaßnahmen wie der MF Security Gateway™-Technologie und Anti-Viren-Software. Ein mindestens ebenso wichtiger Faktor ist ein gesundes Maß an Misstrauen und Wachsamkeit gegenüber der Software, die auf den Systemen läuft. underground_8 secure computing GmbH assumes no responsibility for any inaccuracies in this document. underground_8 secure computing GmbH reserves the right to change, modify, transfer or revise this publication without notice. AAS, AS, DCI, DLA, LPC, MF, NGTM, PVN, RMF, SPN, Stealth, XC are registered trademarks of underground_8 secure computing GmbH. ©2008 underground_8 secure computing GmbH. All rights reserved. underground_8 secure computing gmbh | sales@underground8.com | www.underground8.com SEITE 10
Sie können auch lesen
