Die IT-Sicherheitsfirma Underground_8 warnt vor einem unkontrollierten Einsatz von Internet-Telefonie. Lösungen wie Skype können an der IT-Administration vorbei als Einfallstor für Schadsoftware dienen oder für den Diebstahl von vertraulichen Unternehmensdaten missbraucht werden.

Das Telefonieren über das Internet boomt. Voice-over-IP-Software wie Skype ist nicht nur bei Privatanwendern, sondern zunehmend auch in Unternehmen verbreitet. Insbesondere bei kleineren und mittelständischen Unternehmen ist jedoch nach Angaben von Underground 8, einem Hersteller von Security-Gateways, nur wenig bekannt, dass sie sich durch diese Art des Telefonierens massive Sicherheitsprobleme einhandeln.

Skype basiert auf proprietären Protokollen und verwendet die aus den Filesharing-Netzwerken bekannten Peer-to-Peer-Techniken.

Die Skype-Clients verbinden sich nicht mit einem zentralen Server, sondern ohne weitere Konfiguration mit anderen Clients, wobei Skype die Verbindungen verschlüsselt. »Skype selbst ist zwar sehr sicher, aber gerade dadurch besonders gefährlich«, sagt Günther Wiesauer, Geschäftsführer von Underground 8.

Kommunikation an der Firewall vorbei

Auf Basis von Skype ist es nämlich möglich, über einen Tunnel VoIP-Verbindungen herzustellen - auch zwischen Clients, die durch eine Firewall geschützt sind. Da Skype auch Dateien übertragen kann, lassen sich auf diese Weise trotz Sicherheitsmaßnahmen wie Data-Leak-Prevention (DLP) und eben Firewalls vertrauliche Informationen unbemerkt aus abgesicherten Bereichen schmuggeln.

Zugleich besteht die Gefahr, dass Dritte über eine solche Verbindung unberechtigt in das Unternehmensnetz eindringen und beispielsweise Spyware, Trojaner oder Viren einschleusen.

Administratoren machtlos

Besonders gefährlich ist, dass die IT-Administration keine Kontrolle über die Aktivitäten von Skype im eigenen Unternehmen hat. Schon die Installation erfordert keine Administrationsrechte.

Auch die Anwendung von Skype lässt sich mit gängigen Maßnahmen nicht verhindern: Jeder Skype-Client verwendet einen anderen Port, der bei der Installation nach dem Zufallsprinzip festgelegt wird. Daher lässt sich der Skype-Verkehr nicht ohne Weiteres in der Firewall durch Blockade einzelner Ports unterbinden. Und weil Skype auf Peer-to-Peer-Technologie basiert, kann laut Underground 8 auch kein zentraler Server blockiert werden.

Empfehlungen

Underground 8 empfiehlt daher, dass auch kleinere und mittelständische Unternehmen Skype in Bereichen, in denen mit sensiblen Informationen gearbeitet wird, grundsätzlich nicht verwenden sollten. Wo Skype eingesetzt wird, beispielsweise um Telefonkosten zu sparen, muss die Anwendung unter Beachtung klar definierter Regeln erfolgen.

Allerdings lässt sich Skype am Gateway zum Internet blockieren. So verfügt die hardwarebasierte Sicherheits-Lösung »MF Security Gateway» von Underground 8 über einen Skype-Blocker. Das System ist mit Filtern ausgerüstet, die jegliche Verbindungsversuche von Skype unterbinden.

Unternehmen sollten jedoch zusätzlich ihre Mitarbeiter über die Risiken von Skype informieren und für den Umgang mit unternehmenskritischen Daten sensibilisieren.

Klassische Firewalls sind mit Skype überfordert

Mit dem Thema Probleme durch Skype und vergleichbare Dienste beschäftigt sich übrigens auch ein anderer Beitrag auf www.nwc.de: »Warum Stateful-Inspection-Firewalls Schnee von gestern sind«. In ihm wird beschrieben, warum herkömmliche Firewalls mit neuen Diensten wie Skype nicht zurecht kommen.

Ebenso wie Underground 8 hat der amerikanische Firewall-Hersteller Palo Alto Networks eine Lösung entwickelt, mit der sich die Nutzung von Skype wirkungsvoll regulieren lässt. Ähnliche Sicherheitsprobleme treten übrigens nicht nur bei Skype auf. Generell stellen Web-basierte Anwendungen Stateful-Inspection-Firewalls vor Probleme.