Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 05 2013

PRISM Firmen antworten der Bundesregierung: “Meine Name ist Hase, ich weiß von nichts.”

Die Firmen von PRISM.

Die Firmen von PRISM laut NSA.

Acht der neun Internet-Unternehmen, die laut NSA Teil des Überwachungsprogramms PRISM sind, dementieren eine unmittelbare Zusammenarbeit mit US-Behörden. Das geht aus den Antworten der Firmen auf einen Fragenkatalog der Bundesinnenministeriums hervor, die wir an dieser Stelle veröffentlichen. Das Problem: Falls die Unternehmen einen Beschluss auf Grundlage des Foreign Intelligence Surveillance Act erhalten haben, dürfen sie gar nicht darüber sprechen.

Der Summer of Snowden kam so richtig ins Rollen am 6. Juni, als Glenn Greenwald über das Programm PRISM berichtete, das der NSA “direkten Zugriff auf die Systeme” von neun der größten amerikanischen Internet-Firmen geben soll. Das wurde von amerikanischen Behörden auch nicht bestritten.

Die beteiligten Firmen jedoch wollen davon nichts wissen. Wie viele andere Stellen hat auch das deutsche Innenministerium einen Fragenkatalog an die beteiligten Firmen geschickt, über den wir hier berichtet hatten. Wir haben natürlich sofort eine Informationsfreiheits-Anfrage nach den Antworten gestellt. Nachdem auch Bundestag und Regierung auf die von uns veröffentlichten Fragen verwiesen haben und endlich die Antworten sehen wollten, haben wir heute endlich die Antworten erhalten:

Die Fragen der Staatssekretärin im Bundesministerium des Innern, Frau Rogall-Grothe, vom 11. Juni 2013 haben die folgenden Internetunternehmen beantwortet: Yahoo, Microsoft einschließlich seiner Konzerntochter Skype, Google einschließlich seiner Konzerntochter Youtube, Facebook und Apple. Keine Antwort ist bislang von AOL eingegangen.

Die Unternehmen Facebook und Google haben im Nachgang weitere Informationen zur Verfügung gestellt, die Ihnen auf Wunsch der beiden Firmen ebenfalls übermittelt werden.

Und die Antworten auf diese acht konkreten Fragen sind wenig überraschend: Niemand wusste von irgendwas.

Apple antwortet in einem Einseiter und zitiert seine eigene Presse-Aussage:

We have never heard of PRISM. We do not provide any government agency with direct access to our servers, and any government agency requesting customer data must get a court order.

Genaueres oder der FISA Abschnitt 702 wird noch nichtmal erwähnt.

Facebook zitiert einen Facebook-Post von Mark Zuckerberg:

Facebook is not and has never been part of any program to give the US or any other government direct access to our servers. We have never received a blanket request or court order from any government agency asking for information or metadata in bulk, like the one Verizon reportedly received. And if we did, we would fight it aggressively. We hadn’t even heard of PRISM before yesterday.

Weiter heißt es:

Sie bitten in Ihrem Schreiben um Auskunft zu Anfragen, die möglicherweise von amerikanischen Sicherheitsbehörden an Facebook gestellt wurden. Ich habe diese Fragen an meine Kollegen weitergeleitet, die unser weltweites Strafverfolgungsprogramm verantworten. Meine Kollegen haben mich darüber informiert, dass sie mir die gewünschten Informationen jedoch nicht zur Verfügung steilen können, ohne damit amerikanische Gesetze zu verletzen.

Zudem verweist Facebook auf ein Statement des Direktors der nationalen Nachrichtendienste James Clapper.

In einem zweiten Brief verweist Facebook auf seinen neu eingeführten Transparenzbericht.

Google fängt erstmal mit einem Disclaimer an:

Wie Sie wissen, sind die rechtlichen Rahmenbedingungen im Zusammenhang mit behördlichen Ersuchen zur Herausgabe von Daten gerade im internationalen Kontext äußerst komplex. Zudem unterliegt die Google Inc. umfangreichen Verschwiegenheitsverpflichtungen im Hinblick auf eine Vielzahl von Anfragen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Intelllgence Surveillence Act (FISA). Ich habe ihre Anfrage daher der Rechtsabteilung der Google Inc., die sich mit diesen Fragestellungen befasst, zur Prüfung übermittelt.

Dann das Dementi:

Auch uns haben die Presseberichte über ein Überwachungsprogramm PRISM überrascht und besorgt. Wie Sie den öffentlichen Äußerungen unseres Chief Legal Officers David Drummond entnehmen konnten, ist die in diesem Zusammenhang geäußerte Annahme, dass US Behörden direkten Zugriff auf unsere Server oder unser Netzwerk haben, schlicht falsch.

Entgegen einiger Behauptungen in den Medien ist es unzutreffend, dass Google Inc. den US Behörden uneingeschränkt Zugang zu Nutzerdaten eröffnet. Wir haben niemals eine Art Blanko-Ersuchen zu Nutzerdaten erhalten (im Gegensatz beispielsweise zu dem gleichfalls angeführten Fall, der Verizon betrifft). Die Google Inc. verweigert die Teilnahme an jedem Programm, welches den Zugang von Behörden zu unseren Servern bedingt oder uns abverlangt, technische Ausrüstung der Regierung, welcher Art auch immer, in unseren Systemen zu installieren.

Gleichwohl unterliegen wir wie erwähnt umfangreichen Verschwiegenheits-Verpflichtungen hinsichtlich einer Vielzahl von Ersuchen in Bezug auf Nationale Sicherheit, einschließlich des Foreign Inteiligence Surveillance Act (FISA).

Zwei Monate später haben sie noch einmal geantwortet und unter anderem auf einen Gastbeitrag des Chefjuristen David Drummond in der FAZ verwiesen (und als ausgedrucktes Internet angehängt).

Die Antwort von Google gilt auch für YouTube.

Microsoft antwortet wie Apple mit einem Einseiter und auf englisch:

Microsoft does not participate in a program called “PRISM” or any similar program. Microsoft also learned of the program called PRISM through the media reports you mentioned. This applies equally to Skype.

Die Antwort von Microsoft gilt auch für Skype.

Yahoo! dementiert am wenigsten deutlich:

Die Yahoo! Deutschland GmbH hat im Zusammenhang mit dem Programm „PRISM“ wissentlich keine personenbezogenen Daten ihrer deutschen Nutzer an US-amerikanische Behörden weitergegeben, noch irgendwelche Anfragen von US-amerikanischen Behörden bezüglich einer Herausgabe solcher Daten erhalten.

Die amerikanische Yahoo! Inc. hat die Yahoo! Deutschland GmbH auf das Statement Setting the Record Straight verwiesen.

Als einzige Firma beantwortet Yahoo! die acht Einzelfragen des Ministeriums. Aber da man nicht an PRISM beteiligt sei, ist die Antwort acht mal:

Die Yahoo! Deutschland GmbH arbeitet im Hinblick auf das Programm “PRISM” nicht mit US-amerikanischen Behörden zusammen.

AOL hat als einziges Unternehmen der Bundesregierung in mehr als zwei Monaten gar nicht geantwortet.

Die Bundesregierung fasst die Antworten treffend zusammen:

In den vorliegenden Antworten wird die in den Medien im Zusammenhang mit dem Programm PRISM dargestellte unmittelbare Zusammenarbeit der Unternehmen mit US-Behörden dementiert. Die Übermittlung von Daten finde allenfalls im Einzelfall auf Basis der einschlägigen US-Rechtsgrundlagen auf Grundlage richterlicher Beschlüsse statt.

Oder auch: “Meine Name ist Hase, ich weiß von nichts.”

Die Glaubwürdigkeit dieser Aussagen ist aber trotzdem “eher so mittel”. Schon am 7. Juni sagte Mark Rumold, ein Anwalt bei der Electronic Frontier Foundation, gegenüber ABC News:

Wenn diese Unternehmen im Rahmen der FISA Amendments Act einen Beschluss erhalten haben, dürfen sie laut Gesetz weder den Erhalt des Beschlusses noch irgendwelche Informationen darüber offenlegen.

Vor diesem Hintergrund klingen die Disclaimer, wie die von Google über die Verschwiegenheitsverpflichtungen, nochmal anders. Zumal die US-Regierung im Gegensatz zu den Unternehmen die Zusammenarbeit nie dementiert hat.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 20 2013

Wirtschaft und Geheimdienste: Silicon Valley und die NSA sind im selben Business – dem deiner persönlichen Daten

Internet-Firmen und Geheimdienste sind mittlerweile im selben Business: der Sammlung, Analyse und Nutzung großer Mengen persönlicher Daten. Der einzige Unterschied: Geheimdienste wollen Informationen, Firmen einfach nur Geld. Die New York Times hat jetzt ein paar Beispiele ausgegraben, darunter sind auch wieder die an PRISM beteiligten Firmen Facebook und Skype.

Skypes “Projekt Schach”

Skype hat ein eigenes geheimes Programm: “Projekt Schach”. Damit erkunden sie rechtliche und technische Fragen, wie man Skype-Gespräche für Geheimdienste und Strafverfolgungsbehörden möglichst leicht zugänglich machen kann. Weniger als ein Dutzend Menschen in der Firma wissen davon. “Projekt Schach” gibt es demnach seit circa fünf Jahren, also noch eh Skype an eBay verkauft wurde und lange bevor es an Microsoft verkauft wurde. Während Skype vor vielen Jahren noch öffentlich gesagt hat, dass seine Gespräche nicht abgehört werden können, will Microsoft das heute nicht mehr bestätigen.

(Wie oft Skype Nutzerdaten herausgibt, wollte auch der Digitale Gesellschaft schon von dem Konzern wissen.)

Solche kleinen, geheimen Teams, die eigene Daten leichter mit der NSA austauschen wollen, gibt es in immer mehr Firmen, so anonyme Informanten gegenüber dem Blatt. Einerseits werden die Unternehmen unter Druck gesetzt zu kooperieren, andererseits wollen sie den Prozess selbst kontrollieren.

Von Facebook zur NSA

Max Kelly, bis 2010 Chief Security Officer von Facebook und dort für die Sicherheit der Daten zuständig, ist vom blauen Giganten direkt zu einer anderen großen Institution gewechselt, die große Datenmengen verwaltet und analysiert: der NSA.

Diese Art Wechsel und Zusammenspiel zwischen Internet-Firmen und Geheimdiensten werden immer häufiger. Ray Wang von Constellation Research sagte dem Blatt:

Wir sind alle in diesen Geschäftsmodellen um “Big Data”. Es gibt jetzt eine Menge an Verbindungen, weil die Daten-Wissenschaftler und die Leute, die diese Systeme bauen, eine Menge gemeinsamer Interessen haben.

Und diese Zusammenarbeit wird nur noch enger, weil die Datenmengen weiter wachsen. Dan Auerbach von der Electronic Frontier Foundation sagt:

Wir haben einen Wendepunkt erreicht, an dem der Wert, Nutzer-Daten zu haben größer wurde als die Kosten zur Speicherung. Jetzt haben wir einen Anreiz, sie für immer zu speichern.

Erst letzte Woche berichteten wir, das “tausende” Firmen Daten an Geheimdienste geben.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 19 2013

Saudi-Arabien droht WhatsApp zu blockieren

Das Königreich Saudi-Arabien hat dem Instant-Messaging Dienst WhatsApp gedroht ihn im landeseigenen Netz zu blockieren, sollten die Verantwortlichen nicht den Forderungen der saudi-arabischen Telekommunikationsregulierer nachkommen. Hierzu gehört die Inbetriebnahme lokaler Server auf welche die Regulierungsbehörde Zugriff hat um die Nutzer überwachen zu können. Das berichtet die englischsprachige Nachrichtenseite Arab News. Bereits letzte Woche wurde der amerikanische Kommunikationsdienst Viber gesperrt, da er keine Zugeständnisse gegenüber der Regulierungsbehörde machte.

Bestätigt wurde das geplante Vorgehen durch den stellvertretenden Vorsitzenden der Communications and Information Technology Commission (CITC) Abdullah Al Darrab, der gegenüber Arab News sagte:

We have been communicating with WhatsApp and other similar communication platforms to get them to cooperate and comply with the Saudi telecom providers, however nothing has come of this communication yet


Auf die Frage wann mit der Blockade von WhatsApp zu rechnen sei antwortete Al Darrab:

It is highly likely before Ramadan. [Anm.: der Ramadan beginnt am 9.Juli]

Al Darrab bestätigte darüber hinaus, dass WhatsApp keineswegs der einzige Dienst sei dem mit einer Blockade gedroht werde. Auch Skype stehe oben auf der Liste und hätte die selben Konsequenzen zu befürchten, würden sie sich nicht an die Auflagen der Regulierungsbehörde halten. Bereits 2010 wurde Blackberry, damals noch Research in Motion (RIM), gedroht ihren Instant-Messaging Dienst zu sperren, welchem RIM damals aber nachgab und Server für die Regulierungsbehörden freigab.

Die Konsequenzen aus dieser Geschichte könnte Saudi-Arabien noch zu spüren bekommen. Nicht nur würde man sich mit einer Blockade von beliebten Kommunikationsdiensten die Wut der jungen Menschen auf sich ziehen. Auch Geschäftsleute in Saudi-Arabien zeigen sich immer mehr besorgt. Einerseits da eine Blockade der Dienste ihre globale Kommunikation stark einschränken würde. Andererseits aber auch, weil viele ausländische Geschäftspartner mittlerweile vor Kommunikation über das Internet zurückschrecken, da sie wissen, dass die Gespräche allesamt durch die Regulierungsbehörden kontrolliert werden. Was daraus also folgen sollte: Das abschaffen jeglicher Zensur im Internet.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 17 2013

Neue Erkenntnisse zu Skypes Chat-Überwachung

Am vergangenen Montag berichteten wir darüber, dass Skype Nachrichten aus dem Chat mitliest, wie heise security herausgefunden hatte. Heute veröffentliche heise security einen weiteren Artikel zu dem Thema, in welchem die Erkenntnisse aus den letzten Tagen noch ein zusammengefasst werden.

So präsentiert heise security gleich zu Beginn die Fakten:

Wir beobachteten ausschließlich Zugriffe auf https-URLs. Dabei nutzte Microsoft alle übertragenen Informationen – einschließlich der häufig in https-URLs enthaltenen Session-IDs oder Benutzerkennungen. Die Zugriffe erfolgen via HEAD-Request, fragen also lediglich Verwaltungsinformationen ab, nicht jedoch die Inhalte der Seiten.

Neu ist hingegen, dass anscheinend auch http-URLs abgerufen wurden, auch wenn heise security dieses Verhalten selbst nicht beobachten konnte:

Auch wenn wir keine Zugriffe auf die ebenfalls verschickten, ungesicherten http-URLs registrierten, liegen mittlerweile glaubwürdige Berichte vor, dass Microsoft diese in manchen Fällen ebenfalls abruft.


Es stehe allerdings immer noch die Frage im Raum, wozu die URLs überhaupt abgerufen werden. Am wahrscheinlichsten sei immer noch ein Zusammenhang zu einer Schutzfunktion, wie sie beispielsweise Microsofts SmartScreenFilter darstellt. Es gebe jedoch weiterhin eine Reihe von Ungereimtheiten:

Das beginnt mit der Frage, warum der Test nicht unverzüglich sondern mit einem zeitlichen Versatz von mehreren Stunden stattfindet. Bei einer aktiven Spam- oder Phishing-Kampagne ist Zeit ein kritischer Faktor; ein Test von mehreren Stunden alten URLs hat bestenfalls noch dokumentarischen Charakter.

Auch sei es nicht möglich nur durch das abrufen von HEAD-Request, also ohne den Inhalt der Seite zu kennen, eine Webseite auf ihr Sicherheitsrisiko hin zu bewerten:

Als nächstes stellt sich die Frage, wie Microsoft die Seiten bewerten will, ohne den Inhalt zu kennen. Die Verweise auf eine Reputationsdatenbank sind nicht stichhaltig, wenn für die Seiten – wie bei den speziell für den Test erstellten URLs – bislang keinerlei Referenzdaten vorliegen können. Auch der Hinweis, dass es nur darum ginge, mit dem HEAD-Request eventuelle Weiterleitungen auf bekanntermaßen bösartige Seiten zu entdecken, kann nicht überzeugen. Denn zum einen kann eine solche Weiterleitung auch im nicht abgerufenen HTML-Code erfolgen (meta http-equiv=”refresh”). Und zum anderen binden viele Web-Seiten den eigentlichen Schadcode etwa über iFrame-Tags ein – ebenfalls in den HEAD-Daten nicht sichtbar.

Und so kommt heise security zu dem abschließenden Ergebnisse, dass es sich zwar sehr wahrscheinlich um eine Schutzfunktion handele:

Doch wenn es so ist, ist diese wenig durchdacht.

Die positive Nachricht ist, dass heise security bei den letzten Tests keine Abrufe der URLs mehr feststellen konnte, Microsoft die Funktion also anscheinend mindestens vorübergehend deaktiviert hat. Und auch der Test anderer Chats verlief ereignislos:

Unsere analogen Tests mit den Chats von Google, Facebook und ICQ erbrachten übrigens keine Ergebnisse – sprich: es erfolgten keine Zugriffe auf die speziellen URLs, die wir dort verschickten.

Es bleibt also zu hoffen, dass Microsoft aus der Berichterstattung gelernt hat. Also entweder das Abrufen von URLs unterlässt oder zumindest eine Erklärung für das Abrufen liefert. Und sollte es sich tatsächlich um einen Schutzmechanismus handeln, muss erstens der Nutzer darüber informiert werden und zweitens muss der Nutzer die Möglichkeit haben, eine solche Schutzfunktion abstellen zu können.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

May 14 2013

Skype liest Nachrichten aus dem Chat mit

Wer Skype nutzt muss beim ersten Programmstart die Nutzungsbedingungen akzeptieren, mit denen man Microsoft – dem Neueigentümer von Skype – das Einverständnis erteilt Nachrichten mitlesen zu dürfen. Wie heise Security herausgefunden hat und nun berichtet, macht Microsoft von diesem Recht auch Gebrauch.

Konkret geht es um das Lesen und Öffnen von Links welche innerhalb des Chats von Skype verschickt werden. Von einem Leser auf das Problem angesprochen, machte heise Security einen Test bei dem eine Vielzahl von https-URLs über den Chat verschickt wurden. Kurze Zeit später seien alle Server von Rechnern aus Redmond besucht worden.

Auf Nachfrage von heise Security was dieses Verhalten zu bedeuten habe, reagierte Skype lediglich mit einer Passage aus seinen Datenschutzrichtlinien:

“Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.”

heise Security zweifelt allerdings reine Sicherheitsmaßnahmen seitens Skype an. Einerseits würden Spam- oder Phishing URLs nur selten hinter https-Seiten liegen – und ebenfalls verschickte “normale” http-URLs seien nicht betroffen gewesen. Andererseits wären jeweils nur sogenannte Head-Requests an die Server geschickt worden, welche nur Verwaltungsinformationen der Server abrufen, die Seiten aber nicht auf Spam- oder Phishing-Inhalte überprüfen würden.

Bereits im Januar hatten Bürgerrechtler in einem offenen Brief an Skype und Microsoft in Frage gestellt, wie sicher die Kommunikation über Skype in Zukunft sein werde. Und auch wir berichteten schon über den Wechsel zu offenen Standards zugunsten von Skype.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

March 21 2013

Microsoft veröffentlicht Bericht über Anfragen von Strafverfolgungsbehörden

Heute veröffentlichte Microsoft erstmals einen Bericht über die Menge von Anfragen zu Nutzerdaten oder Gerichtsbeschlüssen, die von Strafverfolgungsbehörden eingehen. Der Bericht, der alle sechs Monate erscheinen soll, zeigt für das Jahr 2012, dass auf die Strafverfolgungsbehörden von fünf Ländern – Türkei, USA, Großbritannien, Frankreich und Deutschland – 69 Prozent aller Anfragen entfielen. Insgesamt gab es vergangenes Jahr 70.665 Datenanfragen. In 8 von 10 Anfragen gab Microsoft “non-content information” weiter, dazu gehören Name des Kontoinhabers, Geschlecht, E-Mail-Adresse, IP-Adresse, Land des Wohnsitzes sowie Datum und Uhrzeit des Datenverkehrs. In 2,1 Prozent der Anfragen lieferte Microsoft ‘wirkliche’ Inhalte, beispielsweise den Betreff von Mails, den Inhalt von Mails oder Bilder von SkyDrive, Microsofts Cloud-Computing-Dienst. Laut Microsoft wurden solche Inhalte in 1544 Fällen nach US-amerikanischem Recht weitergegeben und in insgesamt 14 Fällen in Brasilien, Irland, Kanada und Neuseeland.

Die Anfragen von Strafverfolgungsbehörden zielen auf Benutzerinnen und Benutzer von Microsoft-Diensten wie Hotmail, Outlook.com, SkyDrive, Skype und Xbox Live. Im Januar hatte ein breites Bündnis von Datenschützern, Internet-Aktivisten, Journalisten und anderen Organisationen Microsoft aufgefordert, dem Beispiel anderer Unternehmen wie Google und Twitter zu folgen und ebenfalls mehr Transparenz herzustellen.

Aus Deutschland gingen 8419 Anfragen zu 13.226 Nutzerinnen und Nutzern ein, 7088 davon wurden mit “non-content information” beatnwortet, keine mit “content information”.

Daten über Skype werden separat dargestellt, da hier EU-Recht gelte. 2012 wurden 4713 Anfragen zu Skype Daten beantwortet, hier wurden beispielsweise die SkypeID, Name, Mailadresse oder Zahlungsinformationen an Strafverfolgungsbehörden gegeben.

But Microsoft said it released no content from any Skype transmissions during 2012. Microsoft has said that the peer-to-peer nature of Skype’s Internet conversations mean the company does not store and has no historic access to Skype conversations.

Die meisten “non-content information” über Skype Nutzerinnen und Nutzer erhielten (in dieser Reihenfolge) Großbritannien, die USA, Deutschland, Frakreich und Taiwan. Die Gesamtmenge der Skype-Anfragen wurde nicht veröffentlicht, dies soll jedoch in den kommenden Transparenzberichten geschehen. Vize-Präsident Brad Smith schreibt, dass Daten von geschätzten 0.02 Prozent aller Nutzerinnen und Nutzer 2012 von Strafverfolgungsbehörden angefordert werden.

Weiter schreibt Smith:

In general, we believe that law enforcement requests for information from an enterprise customer are best directed to that customer rather than a tech company that happens to host that customer’s data. That way, the customer’s legal department can engage directly with law enforcement personnel to address the issue.

18 Prozent aller Anfragen wurden im letzten Jahr abgelehnt, meist weil Microsoft keine Informationen zu der gewünschten Person finden konnte oder aber aufgrund fehlender rechtlicher Begründung für die Anfragen.

Abschließend heißt es,

Like every company, we are obligated to comply with legally binding requests from law enforcement, and we respect and appreciate the role that law enforcement personnel play in so many countries to protect the public’s safety. [...] As we continue to move forward, Microsoft is committed to respecting human rights, free expression, and individual privacy. We seek to operate all of the services we own in a manner that’s consistent with our Global Human Rights Statement and responsibilities as a member of the Global Network Initiative.

Feedback und Vorschläge für Verbesserungen können per Mail gesendet werden, den Report als PDF gibt es hier und hier die FAQ.

flattr this!

August 02 2012

Skype und die Überwachungsdiskussion

Momentan werden die Überwachungsmöglichkeiten von Skype diskutiert. Ausgangspunkt waren der Umzug von Verbindungsservern in Rechenzentren von Skype Eigentümer Microsoft und ein Artikel der Washington Post. Letzterer beruft sich auf Insider die über strukturelle Veränderungen und eine bessere Zusammenarbeit mit staatlichen Stellen berichten. Skype weist die Vorwürfe zurück – allerdings findet sich keine explizite Aussage welche Überwachungsmöglichkeiten bestehen und welche nicht. Jedenfalls betont Skype, dass sie durch die Serverumzüge nicht weiter ausgebaut worden wären. Behörden würde man Auskünfte innerhalb des gesetzlichen Rahmens erteilen, sofern Skype die Daten liefern könne. Nun stellt sich die Frage, wie die Überwachungssituation bei Skype wirklich aussieht. Eine Frage die nicht leicht zu beantworten ist.

Die technische Seite

Skype brüstete sich in der Vergangenheit immer wieder damit, das sie einer Überwachungsanordnung seitens der Polizei nicht entsprechen können. Mittlerweile äußern sie sich dazu nur noch ausweichend. Das Statement zu Überwachungsfragen lautet:

Our position has always been that when a law enforcement entity follows the appropriate procedures, we respond where legally required and technically feasible.

Technisch umsetzbar ist das Abhören von Voice- und Video-Calls bereits mit der vorhanden Infrastruktur. Der Richter Ulf Buermeyer beschreibt in seinem Blog die Möglichkeit über die in die Software integrierten Funktionen vom “normalen” Telefonnetz eingehende Anrufe zu empfangen (Skype-In) und in dieses zu telefonieren (Skype-Out) die Gespräche über Skype Server umleiten zu können. Dem anrufenden Skype-Clienten könnte so ein das Skype-Netz verlassendes Gespräch vorgegaukelt werden, dem angerufenen ein Anruf aus dem normalen Telefonnetz. Gespräche die das Skype-Netz verlassen müssen immer über Skype-Server laufen, auf welchen sie unverschlüsselt vorliegen. Skype kann so über die bereits vorhandene Infrastruktur einen Man-in-the-Middle-Angriff realisieren und die Ende-zu-Ende Verschlüsselung der Skype-Clienten aufheben.

Alternativ dazu könnten natürlich auch direkt in der Skype-Software Abhörmechanismen eingebaut werden. Ob und wie Überwachungsmechanismen umgesetzt wurden, lässt sich allerdings nicht nachvollziehen, da es sich um proprietäre Software handelt deren Source-Code man nicht einsehen kann. Technisch ist das Abhören von Skypegesprächen seitens Skype jedenfalls kein Problem – offen bleibt ob es auch gemacht wird – schauen wir uns die Aussagen und Gegebenheiten an.

Niemand hat die Absicht, Skype Gespräche abzuhören!

In den Skype AGBs stimmt man als Skype-Nutzer der Offenlegung von Informationen im Rechtsrahmen zu:

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Zu Chat-Nachrichten findet sich ebenfalls ein Absatz, der Skype erlaubt die Chat-Daten 30 Tage auf ihren Servern zu speichern:

Skype kann die Inhalte Ihrer Sofortnachrichten (Chats) speichern, um (a) Ihre Nachrichten zu übermitteln und zu synchronisieren und (b) Ihnen sofern möglich den Abruf Ihres Chat-Protokolls zu ermöglichen. Die Sofortnachrichten werden höchstens 30 Tage lang aufbewahrt, wenn gesetzlich nichts anderes festgelegt ist.

2007 äußerte Chief Security Officer Kurt Sauer auf zdnet.de auf die Frage ob Skype-Telefonate abgehört werden können:

Wir antworten auf diese Frage: Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werden Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.

Betrachtet man, was bisher im Bereich-Skype-Überwachung bekannt wurde scheint das Vorhandensein eine Überwachungsmöglichkeit mehr als wahrscheinlich.

  • TOM-Skype, die chinesische Skype-Version, filtert und blockiert Textnachrichten und gibt diese an chinesische Behörden weiter. Dem Dienst vertrauten auch viele Bürgerrechtler die auf sichere Kommunikationsmöglichkeiten besonders angewiesen sind. Betroffen davon sind aber auch Nutzer in anderen Ländern, wenn sie mit einem TOM-Skype-Nutzer in China kommunizieren.
  • Mitte 2008 fand ein Treffen zwischen dem österreichischen Innenministerium und Providern statt. Laut ORF-Bericht wurde dort die Voll-Überwachung einzelner Internetanschlüsse diskutiert. Auf der anschließeneden Auskunftsveranstaltung sei zu erfahren gewesen, “dass die Überwachung von verschlüsselten Telefonaten via Skype zwar nicht ganz trivial sei, aber kein wirkliches Problem mehr darstelle.” Kurz zuvor sei die Skype-Verschlüsselung noch eines der Argumente zur Notwendigkeit des Bundestrojaners gewesen.
  • In einer Pressemitteilung von Anfang 2009 warf die europäische Behörde zur Koordinierung grenzüberschreitender Strafermittlung Eurojust Skype vor, das Abhören von Skype-Telefonaten durch Verschlüsselung zu verhindern. Sie korrigierte sich jedoch: Es gäbe bereits seit 2006 Treffen und eine Kooperation mit Skype. Skype habe in der Mitteilung nur als Beispiel für VoIP gedient.
  • Der Anwalt Udo Vetter bloggte 2010 von einem Rechtsstreit, in dem ein Ermittlungsbeamter aussagte,

    Seine Behörde könne Skype – auch Gespräche von Skype zu Skype – heute genauso abhören wie das normale Telefon. Wie, wollte er allerdings nicht verraten. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.

  • Seit 2010 betreibt Skype zentrale Netzwerkknoten (Supernodes). Diese dienen als Kommunikationsvermittler, können aber auch Kommunikationsverbindungen über sich routen, um eine Verbindung zu ermöglichen, die Peer-to-Peer nicht zustande kommen kann. Auf der anderen Seite wurde hierdurch aber auch die Infrastruktur geschaffen um Kommunikation abzuhören.
  • Mitte 2011, kurz nach dem Kauf Skypes, wurde Microsoft ein Patent zugesprochen, dass das Abhören von VoIP beschreibt. Microsoft besitzt also ein Patent um Skype abzuhören…
  • Erst kürzlich wurde bekannt, dass Microsoft die von Nutzern hochgeladenen Daten auf Skydrive auf Verstöße gegen die AGB scannt und bei einem Verstoß den kompletten Windows Live Zugang sperrt.

Weitere Bedrohungen

  • In mehreren Ländern wird die Forderung oder Einführung von Staatstrojanern mit Skype begründet. Die Trojaner werden auf dem Zielrechner installiert und fangen die Kommunikation noch vor der Verschlüsselung bzw. nach der Entschlüsselung ab und leiten sie an die Überwacher weiter. Letztlich handelt es sich um eine spezielle Art der Online-Durchsuchung.
  • Das Europäische Institut für Telekommunikationsnormen (ETSI) standardisiert die Überwachung von Telekommunikation. Gerade ist man dabei Standards für die Cloud und Web2.0 Dienste auszuarbeiten. Darunter fallen neben sozialen Netzwerken, auch Chat und VoIP – also auch Skype. Die Polizei soll sowohl live auf die Inhaltsdaten zugreifen, als auch die Vorratsdaten der Kommunikation abrufen können. Um dies zu gewährleisten sollen die Anbieter gezwungen werden Hintertüren einzubauen. Außerdem soll die SSL-Verschlüsselung mit Man-in-the-Middle-Angriffen ausgesetzt werden – wir berichteten.

Fazit

Einen definitven Beweis für eine Abhörschnittstelle gibt es nicht, aber einige Informationen die stutzig machen. Da der Code Closed-Source ist kann nichts überprüft werden und man ist darauf angewiesen, dem Lavieren seitens Skype zu vertrauen.

Gerade unter Regimekritikerinnen hat Skype einen guten Ruf in Sachen Sicherheit. Die momentane Informationslage lässt den Sicherheits-Status von Skype allerdings anzweifeln. Insbesondere Regimekritiker sollten auf freie Software mit freien Implementierungen von Verschlüsselungsstandards setzen (zum Chatten beispielsweise Jabber mit OTR-Encryption) – alle anderen aber natürlich auch…

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl