Skype: Staat hört mit

In einem Strafverfahren ging es heute auch um Lauschangriffe. Die Kriminalisten vom Zoll haben Ende 2008 bis Mitte 2009 bei meinem Mandanten und anderen Geschäftsleuten “präventiv” mitgehört. Das dürfen die, wenn es um schwerwiegende Delikte mit Auslandsbezug geht.

Dabei kam auch zur Sprache, dass die Beteiligten nicht nur gerne das Telefon benutzt haben. Sondern auch Skype. Vom Inhalt dieser Gespräche, berichtete der Ermittlungsbeamte, sei nichts bekannt:

Wir hatten keinen Zugriff auf Skype.

Auch wenn es für das Verfahren nicht interessant war, nahm ich den gewählten Tempus zum Anlass für die Frage, ob sich das mittlerweile geändert. Das bejahte der Zeuge. Seine Behörde könne Skype – auch Gespräche von Skype zu Skype – heute genauso abhören wie das normale Telefon. Wie, wollte er allerdings nicht verraten. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.

Wie es scheint, haben die “Beschwerden” der Polizeibehörden über die Verschlüsselung des Telefondienstes, von denen man unter anderem auf Wikipedia lesen kann, Erfolg gehabt. Die über Jahre hervorgehobene Abhörsicherheit von Skype dürfte Geschichte sein.

  • Bert

    Es wird Zeit den Wikipedia-Eintrag zu ergänzen.

    :(

    Gibt es denn vernünftige Alternativen zu Skype ?

  • beyond

    Vielleicht demnächst mal einen Blick auf http://zfoneproject.com werfen. Ist sicher nicht so einfach damit loszulegen wie mit Skype, stammt dafür aber vom PGP Erfindern Phil Zimmermann, was einen gewissen Vertrauensbonus wert sein dürfte.

  • Kampfschmuser

    Der Staat lässt niemals was unversucht und ist immer am Ball. Zwar langsam, aber stetig.

    Danke für die Info wegen Skype. Ich hatte es auch schon angenommen, dass man da die Finger im Spiel hat.

  • Markus

    Äh, naja, proprietäre Verschlüsselung, wo keiner so recht weiß, wie wo was, sollte ohnehin nur einen extrem begrenzten Vertrauensvorschuss bekommen.
    Gerade, wenn ein einziger Akteur, i. e. der Hersteller/Betreiber/Unternehmen, darüber verfügt.

    Man werfe einen Blick auf RIM und die aktuelle Blackberry-Kiste in Indien und Saudi-Arabien.
    Die zeigt schön, daß *Geschäfts*unternehmen ratz-fatz alle lustigen “Sicherheits”versprechen über Bord werfen, wenns um die Profite geht und dann nur allzu gerne mit staatlichen Behörden kooperieren.

    Das sollte etwa auch man beim E-Postbrief und De-Mail dringendst im Hinterkopf behalten.

    Ernsthaft vertrauenswürdige Verschlüsselung gibts leider nur mit dem Aufwand der eigenen Verfügung über den privaten Schlüssel und eines für alle offenen Systems.

  • Daarin

    Wie sieht es denn bei Skype mit dem Richtervorbehalt aus? Ist der wie beim Telefon (naja, grundsätzlich ist er da) oder eher wie beim abrufen von DeMail?

  • Knurr

    Wenn das ganze im rechtlich geregelten Rahmen (nur bei begründetem Verdacht und unter Richtervorbehalt) passiert, dann habe ich damit kein Problem.

  • Elavynnus

    Gibt es da ein Formular, wo man eintragen kann, dass die eigene Stimme verpixelt wird? Falls nicht, Frau Aigner ihr Auftrag!

  • Andreas

    Skype? Da war doch mal was:
    http://wiki.piratenpartei.de/images/5/54/Bayern-skype-tkue.pdf
    Echtheit quasi bestätigt durch die darauffolgende Hausdurchsuchung:
    https://piratenpartei-bayern.de/node/105

  • T

    Die Frage wäre jetzt allerdings, ob damit auch Skype-to-Skype Gespräche gemeint sind oder nur Skype – Festnetz. Da letztere ja zwangsläufig über einen von Skype kontrollierten Server laufen wäre das technisch ja kein Problem.

    Spannender bei Gesprächen zwischen zwei Skype-Teilnehmern. Sofern technisch möglich (Firewall/NAT) wird ja eine Direktverbindung zwischen den beiden Teilnehmern aufgebaut und auch nur zwischen diesen beiden Daten übertragen*. Geht das nicht, wird ein passender Skype-Client (Thema Supernodes) als Mittler genutzt – auch dieser also nicht unter Kontrolle von Skype. Um etwas mitzuhören müsste Skype also über eine Funktion verfügen, die Gespräche absichtlich über eigene Server leitet.

    Die Alternative wäre eine Art Generalschlüssel, mit dem sich selbst im Nachhinein aufgezeichnete Gespräche dekodieren lassen – dann wäre die ganze Kryptographie aber auch für “unbefugte Dritte” gefährlich angreifbar. Zudem müsste der gesamte Datenverkehr beim ISP des Kunden aufgezeichnet werden. Da würde mich gleich noch interessieren ob es da eigentlich schon Fälle in denen sowas gemacht wurde?

    Any comments?

    * Wer es nicht glaubt möge Skype in den Einstellungen einen festen Port zuweisen, diesen im Router per NAT weiterleiten und dann mit Freunden chatten oder telefonieren und über einen Verbindungsmonitor (oder Wireshark, oder …) das Geschehen beobachten. Ganz nebenher bekommt man so übrigens auch die IP des Gesprächs-/Chatpartners zu Gesicht.

  • Andi

    @T:

    Ich würde eher darauf tippen, dass die da was auf seinem System installiert haben. Das umgeht dann ganz elegant jede Verschlüsselung.

    Ich meine mich auch zu erinnern, dass da in irgendeinem Fall mal was war wo die Polizei in regelmäßigen Abständen per Trojaner Screenshots gemacht hat, die dann ans Mutterschiff gesendet wurden. Oder war das nicht in DE..?

  • Kommentator

    Habt ihr das Dokument mal gelesen. Die Bayrische Polizei lässt sich da ja wunderbar über den Tisch ziehen. Lieferzeiten von 4-5 Wochen? Maximal 10 Streams? Bezahlung pro Vorgang, wobei die Mietdauer min. 3 Monate beträgt? Und das bei den Preisen?
    Hrrr, da hat ja einer nen Goldtopf aufgemacht. Wenn’s nicht so unmoralisch wäre, würde ich da ja auch Software für Strafverfolger machen ^^

  • morc

    bei den preisen für die skypeüberwachung hätte ich wohl das informatikstudium doch nicht abbrechen sollen. der markt hat potential.

  • Michael

    Interessant wäre jetzt die Frage, ob es ein Tool gibt, was auf einen bestehenden Skypeanruf (Skype zu Skype) aufsetzt, und diese Verbindung verschlüsselt. Bzw. ob das möglich ist.

  • Zazaz

    Für das Abhören von Skype gilt natürlich der gleiche Richtervorbehalt.

    Ich seh´s positiv; wer könnte ehrlicherweise ein Interesse daran haben dass Verbrecher unabgehört bleiben.

    Was das Missbrauchspotential angeht: die Telefonüberwachung ist ziemlich aufwendig. Das wird nicht bei irgendwelchen Kleinkriminellen oder Raubmordkopierern gemacht, sondern fast ausschließlich im Bereich organisierte Kriminalität.

  • mark

    @Kommentator: Es geht hier aber nicht um Standard Software die Millionenefach verkauft wird. Sondern warscheinlich nur recht selten benutzt wird. Evtl. sogar ständig angepaßt werden muß. Wäre ja schlecht wenn das Antivirenprogramm darauf anschlägt und die Überwachung Verät. Von daher sind die Preise vieleicht gar nicht so überteuert.

  • Torsten

    Die Frage ist, ob es um Skype-Gespräche oder um Skype-zu-Telefon-Gespräche geht. Im zweiten Fall ist die Verschlüsselung sowieso wirkungslos, da ja irgendwann ins normale Telefonnetz geschaltet wird – und der Betreiber des Netzes eben den Lauschverordnungen des Staates unterliegt.

  • Torsten

    @T: Da Skype ja den Einlog-Vorgang kontrolliert, könnte der Betreiber bestimmte Gespräche durch einen Abhörrechner routen. Skype bestritt zwar immer, dass sie das könnten – aber ich sehe keinen technischen Grund dafür.

  • http://twitter.com/bossboster bossboster
  • http://lawblog.de Udo Vetter

    Es geht um Gespräche von Skype zu Skype. Ich habe das im Text klargestellt.

  • mark

    @Michael: Natürlich ist das mit Aufwand möglich (VPN Tunnel, notfalls debuggen und Methoden austauschen), die Frage ist, ist das Sinnvoll? Warum nicht SIP nehmen und verschlüsseln.

  • T

    @Michael#13:

    Ohne Sourcecode, ohne Kenntnis des Protokolls? Ich glaube kaum. Zumal das mein Gesprächspartner ja dann auch nutzen müsste, und dann kann man doch gleich eine Alternative nutzen mit offenem Code und verschlüsselter Direktverbindung. Da kann dann niemand mehr etwas mithören. Wobei, gegen Trojaner auf dem Rechner oder, etwas altmodischer, Wanze in der Wohnung, hilft das auch nicht …

  • user124

    @Zazaz:
    davon ausgehend das wir “weltmeister” im telefonabhören sind glaube ich weder das die abhöraktion an sich aufändig ist oder das diese nur in schwerkriminellen bereichen angewendet wird.
    http://de.wikipedia.org/wiki/%C3%9Cberwachung#Telefon.C3.BCberwachung

    der missbrauch liegt imho schon dann vor wenn der überwachte nicht, wie vom gesetz vorgeschrieben, nach der abhöraktion darüber benachichtigt wird das er abgehört wurde.
    http://www.heise.de/ct/artikel/Abhoeren-als-Massengeschaeft-288858.html

  • Von-Links-nach-Rechts-Leser

    @Torsten: Ist das wirklich so? Klar ist, dass Telefongespräche abgehört werden können und dass das unter bestimmten Umständen auch zulässig ist. Allerdings: Wird so eine Überwachungsmaßname nicht immer für einen bestimmten Telefonanschluß angeordnet? Zumindest wäre das naheliegend. Wenn zu überwachende Person X aber nun von seinem PC aus mit Hilfe von Skype die Festnetztelefone von Personen Y und Z anruft, müsste man in dem Fall ja die Telefone von Y und Z überwachen lassen – und womöglich vorsorglich auch die von allen anderne Personen, die X anrufen könnte. Das wäre technisch und rechtlich zumindest schwieriger.

    Weiß da jemand Bescheid?

  • Kommentator

    @mark: es geht um einen einfachen Audio-Capture-Client mit Streamingfunktion der sich fernwarten lässt. Der Programmieraufwand dafür beträgt ca. 20-30 h. Dazu kommt dann die Sonderfunktionalität für Skype die man noch mal mit der gleichen Zeit veranschlagen kann. Dazu noch Tests sowie der Server. Alles in allem ein Projekt, dass sich mit nur einem Mann-Monat stemmen lässt. Selbst bei einem Stundenpreis von vollkommen utopischen 500€ für den Entwickler reden wir hier von Entwicklungskosten im sehr niedrigen 5stelligen Bereich. Bei den Preisen muss die Software nur ein einziges Mal zum Einsatz kommen, damit sie sich für die entwickelnde Firma rechnet. Ich bleibe dabei: hier wird über den Tisch gezogen.

    Zumal die Leistungsbeschreibung keinerlei Verschleierungstechniken der Prozesse, des Datenverkehrs o.ä. aufweist, bis auf die Proxy, die von der Polizei selbst zu stellen und zu betreiben sind.

    Für eine reine Softwarelizenz ohne jeden Support ist das was dort geboten wird schlicht massiv überteuert. Die Preise kann ich mir nur dadurch erklären, dass der Markt dort schlicht nicht funktioniert. Entweder gibt es zu wenig zugelassene Anbieter, oder die moralischen Bedenken der meisten Entwickler sind, wie bei mir, schlicht zu hoch.

  • Salt

    Mal eine simple Frage: Woher wissen die Behörden überhaupt welchen Accountname man benutzt? Es ist dort ja nicht jeder namentlich angemeldet bzw. es werden ja häufig Nicknames verwendet.

  • SILen(e

    Die PDF von der Piratenpartei verrät doch schon die wahrscheinlichste Methode für das Ahören von Skype – man installiert einen “Bundes”trojaner auf dem Rechner des Überwachten, diese Methode übergeht die Verschlüsselungen von sämtlichen Kommunikationsmitteln die den PC verwenden, also Skype, ICQ, Email, Email-Postfächer nutzen indem man dort eine Mail schreibt jedoch nicht abschickt sondern speichert – und jemand anderes loggt sich dann in den Account ein und liest diese gespeicherte Mail…

    Einfach absolut alles, da die einzige Verschlüsselung die bis zu diesem Punkt greift beispielsweise Truecrypt ist, d.h. eine Verschlüsselung die den Zugriff auf die Festplatte bzw. die Möglichkeit dort einen Trojaner zu installieren verhindert.

    Da die Polizei aber in diesem Fall eh schon Zugriff auf die Wohnung hatte kann man sich selbst dann nicht sicher sein, “schon” in der DDR war eine Überwachung via Mikrofon möglich und damit hätte man auch mindestens eine Seite eines Skype-Gespräches.

    Dies scheint mir alles sehr viel realistischer als dass die deutsche Polizei plötzlich die Verschlüsselung von Skype geknackt hätte oder gar mit Skype kooperiert – wir wissen doch seit der Stoppschild-Affäre – das BKA ist unfähig eine Mail an ausländische Firmen zu schreiben um sie zur Kooperation zu bitten.

  • krypto-typ

    man kann einfach den schlüssel mit dem die nachricht verschlüsselt ist an die nachricht rangepackt.

    nachricht -> verschlüsselte | anders verschlüsselter schlüssel.

    Mit asynchroner Kryptografie kann man dann dafür sorgen das die clients den Schlüssel verschlüsselt dranhängen können, aber nicht entschlüsseln können. Also kann man nur mit dem Master Schlüssel vom asynchron verschlüsselten Schlüssel den Schlüssel für die Skype Nachricht lesen. Und wird Skype hüten.

    Ich denke die werden einfach die Daten die über die Leitung des Betreffenden gehen dumpen und mit dem Master schlüssel entschlüsseln.
    Vielleicht schicken selbst die Behörden die Nachrichten an Skype an die schicken die entschlüsselt zurück.

    Dagegen könnte man eine alternative open source VOIP software nutzen:
    http://www.voip-info.org/wiki/view/Open+Source+VOIP+Software

    Oder wenn man faul ist ein VPN aufmachen und dann im VPN untereinander skypen und hoffen das nichts umgeleitet wird.

  • http://www.micuintus.de micu

    Skype hat also eine Backdoor, oder was sonst sollte man aus dieser Meldung folgern? Das wäre aber auch nicht sonderlich überraschend, da bis jetzt alle Betreiber von Skype immer wieder mal betont haben, doch gerne mit verschiedensten Organisationen bei der Überwachung zusammenzuarbeiten.

    In jedem Fall ist es nicht erst jetzt höchste Zeit für FOSS-Skype-Alternativen: http://en.wikipedia.org/wiki/ZRTP#Free_ZRTP_implementation

  • Tuttle

    Das funktioniert wie bei DE-Mail. Der Schlüssel liegt bei Skype. Skype hat seinen Sitz in der EU und muß deshalb Lawful Interception anbieten. Ist auch nicht wirklich neu die Erkenntnis.

  • Ethrwen

    Ich habe heise.de auf diesen Blog-Eintrag aufmerksam gemacht und die folgende Antwort bekommen:


    da liegt der liebe Udo Vetter falsch. Das Abhören von Skype wird über die
    sogenannte Quellen-TKÜ erledigt – eine Art “Bundestrojaner”, der speziall
    dafür auf Rechnern von Zielpersonen eingerichtet wird, um die
    VoIP-Gespräche schon vor der Verschlüsselung bzw. direkt nach der
    Entschlüsselung abhören zu können.


    (Veröffentlicht mit freundlicher Genehmigung des Autors)

  • Ethrwen
  • snafu

    Um das in Wikipedia unterzubringen, bräuchte es eine “reliable source”.
    Zumindest in der englischen, obs die deutsche so stehen lässt, werden wir sehen.
    http://en.wikipedia.org/w/index.php?title=Skype&action=history

  • f00b4r

    der quellcode zu den trojaner ist sogar publik. hab jetzt gerade nur nicht die url zu hand. ist aber auch nicht wirklich was besonderes. es wird im prinzip einfach nur der ton der vom mikrofon ins system sowie von system an die lautsprecher geht mitgeschnitten. sind nichtmal viele zeilen code.

  • Christian

    @f00b4r:
    Das Problem ist wohl eher die Schadsoftware auf den Zielrechner unter zu bringen. ;)

  • http://piratenblog.wordpress.com ralph

    Dass es bei Skype wohl Möglichkeiten gibt sollte eigentlich seit Anfang 2008 bzw. Herbst 2008 bekannt sein. Dass es jetzt eine Bestätigung vor Gericht gibt, klärt natürlich einige Dinge auf.

    http://piratenblog.wordpress.com/2010/08/17/skype-ist-nicht-abhorsicher/

  • _Flin_

    @Zazaz: “Wer könnte ein Interesse daran haben, dass Verbrecher unabgehört bleiben?”

    Ob sich wirkliche, gefährliche, professionelle Verbrecher (professionelle Mörder, Terroristen und Drogenbarone) über Skype erwischen lassen, halte ich für unwahrscheinlich.

    Für mich persönlich weiß ich: Wenn mich ein Polizist schlägt, kann ich ihn nicht hinter Gitter bringen, weil seine Exekutiv-Legislativ Kumpels ihm schöne Gesetze machen, wodurch ich ihn nicht identifizieren kann. Seine Polizisten Kumpels sagen für ihn aus, und lassen auch mal Beweismittel verschwinden. Da glaube ich einfach nicht, dass diese Polizisten ihren Exekutiv-Legislativ Kumpels nicht auch meine Geschäftsgeheimnisse verraten, wenn diese ihn freundlich darum bitten.

    So einfach ist das.

    Mit Verbrechen hat sichere Kommunikation nichts zu tun. Nur mit Geld.

  • Alexander

    @f00b4r: Der Quellcode ist öffentlich, nur ist unklar, wo? Das klingt nach einem wunderbaren Beweis, nur leider fehlt Platz, ihn auszubreiten.

  • http://www.zeitgleiter.org Falk D.

    Ich bitte mal die, die SIP over VPN vorschlagen, das auch mal zu probieren. Die sich ergebenden Delays sind weit jenseits der 250ms und damit nicht vermittelbar. Zfones ZRTP wird ewig eine Randlösung bleiben.
    Besser schon eine Hardware, wie Snom 3×0 mit SRTP und TLS/SSL. Dadurch kann man auch das Problem der Mannindermitte-Angriffe bändigen.

  • http://web62.homer.kundenserver42.de/ telefonman
  • http://www.ne-na.de gsohn

    Gibt es bei den Sicherheitsbehörden auch eine Website für Musterwidersprüche gegen die Skype-Lauschangriffe???? ;-)

  • Huck

    Mein Gott, was haben sie alle mit dem Telefonieren. Das war schon seit 100 Jahren abhörbar und ist für wirklich vertrauliches eben nicht geeignet.

    Ziemlich sichere Alternative zur Fernkommunikation:

    a) Ein völlig vom Netz abgehängter Computer, eben wie vor 20 Jahren, natürlich komplett Truecrypt-gesichert (also auch Boot-Festplatte). Also keine Trojaner, keine Screenshots, keine Keylogger und den ganzen Mist. Updates braucht man nicht, die sind sowieso praktisch nur gegen Netzgefahren. System: am besten Linux, aber ein altes W2000 tut’s auch.

    b) Auf diesem Rechner erstellt man den geheimzuhaltenden Text, speichert ihn in einem kleinen Truecrypt-Container, kopiert den Truecrypt-Container auf einen USB-Stick.

    c) Auf einem zweiten Computer mit Netzverbindung liest man den Truecrypt-Container vom USB-Stick ein und lässt ihn dem Kommunikationspartner irgendwie zukommen. Der verfährt analog umgekehrt, um den Inhalt zu lesen.

    Selbst ein Wohnungseinbruch reicht nicht. Der erste Computer ist gesichert, ohne Passwort lässt sich da nicht neues installieren.

  • http://micuintus.de micu

    @Huck:

    Selbst ein Wohnungseinbruch reicht nicht. Der erste Computer ist gesichert, ohne Passwort lässt sich da nicht neues installieren.

    Doch, man könnte einen keylogger einbauen oder eine Kamera-Wanze, die dich beim Bedienen des PCs filmt. Außerdem gibt es es noch physikalische Abstrahlung, usw. usf.

  • Kommentator

    @Huck: Wenn der Wohnungseinbruch unbemerkt bleibt, kann einfach ein Keylogger ab dem “sicheren” Rechner installiert werden.

    Außerdem ist die Lösung nicht gegen Tempest-Attacken gesichert ;-)

  • Alex

    Ich weiß das passt nicht ganz zum Thema, aber trotzdem ne kleine Geschichte:
    Ein Onkel von mir hat zwei Töchter die in Kaliningrad (Rußland) wohnen. Er ruft beide mehrmals in der Woche über Skype auf Festnetz an (per Skype weils billiger ist). Vor paar Monaten haben die Töchter Besuch von zwei dunkel gekleideteten Typen gekriegt und wurden ausgefragt wer und warum die beiden aus Deutschland so oft anruft… :-)

  • Olli

    @Kommentator:

    Nun ja Staat und Markt hat ja noch nie so wirklich funktioniert. Ich vermute also ersteres.

    Im Gegenzug können die beteiligten Firmen ja wieder meckern das der Staat viel zu viel Geld ausgibt und die Steuern viel zu hoch sind.

  • Oliver

    Wer es krass mag, kann einen Asterisk über openvpn tunneln. Da schauen dann unsere Ermittlungsbehörden garantiert in die Röhre. Oder man kauft sich nen Stapel Dx Karten auf ner Kirmes und telefoniert die reihenweise durch. Dagegen haben die auch keine Chance.

  • mark

    @Kommentator: Woher weißt du das die Software so simple ist? Wer weiß was da alles im Pflichtenheft steht. Vieleicht muß die Software vom TÜV für 100.000 Euro zertifiziert sein.

  • Andi Fritsche

    Ich bin dagegen, dass Skype-Gespräche einfach so abgehört werden. Wenn schon, dann muss dazu ein Beschluss abgegeben werden. Wenn ich nämlich mit jemandem per Skype telefoniere, dann hab’ich einfach kein Bock, in Unwissendheit zu bleiben, ob mich jemand von oben gerade belauscht oder nicht. Und hier steht nichts davon, unter welchen Bedingungen Skype-Gespräche abehört werden dürfen (und ob’s solche überhaupt gibt). So richten die mehr Schaden als Nutzen an. Und Skype ist für mich eine Super-Alternative zum Telefon, da das Telefonieren von Skype zu Skype kostenlos ist.

  • http://ammerland-news.blogspot.com/ Matthias

    @telefonman: Spannend, Du solltest aber noch den Namen bei der Begrüßung rauslöschen, schließlich hast Du die anonyme Veröffentlichung zugesagt.

  • telefonman

    @Matthias: danke für den hinweis

  • Scanner

    Vielen Dank für den Post,

    also was ist jetzt sicher?

    Skype und openvpn?
    Oder ist Skype doch sicher, weil so wie ich das verstanden habe wird doch bei Skype die peer2peer Technik genutzt. Wie kann dann was von Skype angehört werden? Verstehe ich nicht.

    Gibt es sicherere alternativen zu Skype?

    Vielen Dank!

  • elmo

    mein tip: verschlüsselung selbst in die hand nehmen. zb. über SSH tunneln, oder abhörsicheres telefon zb kaufen, gibts schon für um die 100€

  • elmo

    @huck: system linux – omg, wohl eher (Open)BSD

  • EinMensch

    Wer auch immer den Wikipedia-Eintrag geändert hat: Danke!

    Tu ne cede malis sed contra audentior!

  • Stefan

    @Andi: Das war in Österreich. Die wollten auch mal so einen richtig schönen Terrorprozess…

  • Kai

    @elmo:
    Tja, das muss die Gegenseite auch haben und das ist dann das Problem.

  • Werner

    @28 (micu)
    FOSS Software is ok, SIP Communicator läuft auf Linux, Windows, MacOS in verschiedenen Variationen, unterstützt sowohl Audio- als auch Videoverschlüsselung, demnächst auf Google Talk (Jingle). Wird seit einiger Zeit von vielen Leuten (auch in sicherheitskritische Bereichen) verwendet.

    Ob Twinkle noch aktiv weiterentwicklet wird ist derzeit nicht ganz klar – ist aber ein guter SIP Client.

    @38 (Falk D)
    ZRTP is ein Protokol um die Schlüssel auszuhandeln mit einem Mechanismus um sich gegen Man-in-the-Middle Angriffe zu schützen. Diese Schlüssel werden dann verwendet um SRTP (Secure Real-time Transport Protocol) Verbindungen aufzubauen. Ohne Schlüssel – kein SRTP. ZRTP ist also nur kurz am Anfange eines Gespräches aktiv.

  • elmo

    @55: dann bleibt wohl die einzigste lösung, den leuten zu sagen: pah mach ich doch nicht, encryption oder du bist nicht mehr mein freund xD

  • http://www.zeitgleiter.org Falk D.

    @41: TrueCrypt kann umgangen werden (BlackHat-Angriff) es erfordert zwar einen zweiten Besuch, aber ist dokumentiert.
    1. Besuch Boot-Sektoren auslesen, Keylogger einspielen und Hash anpassen. 2. Besuch: Passwort auslesen. Nebenbei ist Win2000 aus mehreren Gründen ungeeignet. Der Sicherheitsgewinn durch Vista und Seven z.B. den Schlüssel für EFS aus einer SmartCard zu beziehen oder auch nativ elliptische Verfahren zu benutzen, ist schon imens.
    Außerdem ist ein verinselter Rechner keine Lösung für eine Echtzeit-Kommunikation.

  • http://www.zeitgleiter.org Falk D.

    @56: Mein SNOM kann so eingestellt werden, dass es aussteigt wenn es die Zertifikatskette nicht aufgelöst bekommt. Bedingt natürlich, dass man einen vertrauenswürdigen Root-CA hat.

  • http://www.heiko-eckert.de/ Heiko

    das wäre echt eine dicke nummer finde ich und danke für den beitrag! die frage ist jetzt: wer fragt offiziell bei skkype nach?

  • http://web62.homer.kundenserver42.de/ telefonman

    @Heiko: Der Skype-Support hat gesagt, p2p communikation und wenn abhören, dann nur mit trojaner. Deckt sich mit den Links zur Piratenpartei oben in den Kommentaren. Also ne Backdoor solls laut dem Support nicht geben.

  • Autolykos

    @Falk D.: Okay, wenn die Gegenseite erstmal physischen Zugang hat, dann ist eh alles verloren. Die beste Möglichkeit dagegen ist wohl, unberechtigtes Eindringen zu erkennen (z.B. zu loggen wann die Tür geöffnet wird, und jedesmal nachzuschauen wenn man nach hause kommt), und in diesem Fall das kritische System neu aufzusetzen (und – für Paranoide, Spione und Terroristen – sofort umzuziehen). Wenn man tatsächlich High-Profile genug ist, daß man damit rechnen muß, heimlich die Bude verwanzt zu kriegen, sind solche Aktionen vermutlich angemessen.
    Und Tempest-Angriffe halte ich nur für ein theoretisches Risiko – ich bezweifle ernsthaft, daß das BKA überhaupt über die nötige Ausrüstung verfügt (und beim BND oder VerfassungSSchutz würde ich da auch nicht drauf wetten).

  • StPO

    Für jeden den es tatsächlich juristisch interessiert, ohne gleich wieder neue Horrorszenarien des angeblichen Überwachungsstaates zu befürchten:

    Das Abhören von Skype-Gesprächen funktioniert technisch und organisatorisch anders als das klassische Abhören. Muss es auch, weil die Polizeibehörden und Nachrichtendienste eben nicht die Skype-Verschlüsselung brechen (können). Insofern ist an Skype selbst nichts auszusetzen, Skype wurde nicht unsicherer oder spielt dem deutschen Staat die Schlüssel in die Hand. Wie es genau funktioniert, will ich hier auch nicht verraten.

    Rechtsgrundlage ist jedoch die gleiche, im Strafverfahren § 100 a StPO in der Gefahrenabwehr die Polizeigesetze, sofern diese die Telekommunikationsüberwachung vorsehen. Wann der Staat das also darf, steht im Gesetz. Es geht natürlich nicht bei Kleinigkeiten und grds. auch nicht ohne Richter. Außerdem muss der Betroffene (nach Abschluss der Maßnahme) unterrichtet werden.

    Also, alles wie bisher, nicht gleich wieder das große Fass aufmachen.

  • Sebastian Thürrschmidt

    @Zazaz: Als ehrbarer Pirat verwehre ich mich auf das schärfste gegen die Bezeichnung “Raubmordkopierer”. Der korrekte Ehrentitel lautet vielmehr: brandschatzender Raubmordkopiererverbrechervergewaltiger! Wenn man die Dinge schon beim Namen nennt, dann bitte auch beim vollständigen. Soviel Zeit muß sein.

  • Fiffi

    Skype-Gespraeche kann man laut folgendem Artikel (2008) angeblich nur unter Windows abhoeren: http://www.computerwelt.at/detailArticle.asp?a=116666&n=5

  • Lou

    Ich benutze kein Skype, da ich kein Mikrofon besitze, und wenn, dann hätte ich nichts zu verbergen. Sollen die doch lauschen die Mistsäcke.

  • shrooms
  • carlo gambino

    die beamten machen doch sowieso was sie wollen , vor allem in bayern, ich habe mir meine finger 2001 stark verbrannt,aber jetzt mache ich definitiv nichts mehr am telefon ich hab nicht mal ein handy, nur privat pc da sind spiele drauf und das wars, und jetzt bin ich wieder da, aber man muss auch sagen das die polizisten im end defekt auch nur ihre arbeit macht…

  • Olli

    @Lou:

    Nun ich hatte einige Gespräche da hätte ich es ungerne wenn jemand mitlauscht.

  • Bobby

    Wenn die es mit einem Trojaner gemacht haben, wäre interessant zu wissen ob 100a StPO dafür ausreicht. Ich meine gelesen zu haben, dass Quellen-TKÜ nur in einigen Bundesländern zur Gefahrenabwehr möglich ist und nicht zur Strafverfolgung.

  • http://www.heise.de Jürgen Kuri

    Wenn ich mal auf folgendes Hinweisen darf: Die Quellen-TKÜ ist bereits seit einiger Zeit ein von Strafverfolgern eingesetztes Mittel, das auch Skype-Mitschnitte ermöglicht:

    Die Verschlüsselung bei Skype ist keineswegs bisher geknackt, es gibt gerade einmal erste Erfolge zum Reverse Engineering des Verfahrens:

    cu.jk

  • http://www.heise.de Jürgen Kuri

    URL-Nachtrag: Wegen Knackens der Skype-Verschlüsselung

  • Labeldesigner

    Polizei kann alle Skype-Telefonate belauschen…
    Udo Vetter, Fachanwalt für Strafrecht, berichtet in seinem Law Blog, dass Behörden in Deutschland mittlerweile in der Lage seien, mit Skype geführte Telefongespräche abzuhören.
    ———————————————————————–
    Es wird höchste Zeit, daß die Verantwortlichen (bei BND, Polizei, Zoll etc.) bei nachweislich illegalen Mithör- bzw. Abhöraktionen aller Art endlich zur Rechenschaft gezogen und aus dem Dienst entfernt werden !
    Man kann generell davon ausgehen, daß nur bei sehr wenigen Verdachtsfällen betr. angeblicher Straftaten ein “Überwachungsbeschluß” durch einen Richter gerechtfertigt ist !
    Zum Mitschreiben:
    “Das Grundübel unserer Demokratie liegt darin, daß sie keine ist. Das Volk, der nominelle Herr und Souverän, hat in Wahrheit nichts zu sagen.”
    Herbert von Arnim – Verfassungsrechtler – Univ.-Prof., Dr. iur., Dipl.-Volkswirt

  • lg brent

    @Alexander: wie wär es einfach mal mit: lauer meer? google benutzen können schon die meisten internetausdrucker..

  • Ernst

    @ Labeldesigner: Ohne Demokratie könntest Du Dich hier nicht auslassen !! Die beste Demokratie taugt nichtes, wenn sie vom Verbrechen mißbraucht wird. Merke: erst war die Tat, dann der Fahnder! “Denk doch nochmal drüber nach”

  • Olli

    @Ernst:

    Natürlich kann man sich auch ohne Demokratie auslassen.

    Relative Meinungsfreiheit ist nicht alleine ein Kennzeichen für Demokratien im Gegenteil die Meinungsfreiheit musste man sich auch in den meisten Demokratien erkämpfen.

    Aber natürlich ist die Meinungsfreiheit in Demokratien viel weiträumiger ist ja auch klar hier meckert man nur. In Diktaturen passiert es gerne das sich das meckern zu einem wir jagen die ganze Regierung aus dem Land auswächst.

    Im Gegensatz zu uns hier meckert man und wählt die selbe Regierung nochmal.

    Und der angebliche Souverän also da Volk hat hier auch kaum was zu sagen die wenigsten Entscheidungen kann man hier mitbestimmen. Man kann hier nur wählen und beten das die Politiker das machen was man will.

  • madd

    @41:
    “natürlich komplett Truecrypt-gesichert (also auch Boot-Festplatte)”
    Das geht nicht. Punkt. Man kann nicht ohne unverschluesselte Informationen booten. Das ist ein Henne-Ei-Problem.
    Was beliebt ist, ist von einem unverschluesselten Stick zu booten. Ich rate davon generell ab, weil die Leute dazu neigen, erstens ohne Passwort (also mit dem Schluessel auf dem Stick) zu verschluesseln und zweitens den Stick nicht vom Rechner getrennt aufzubewahren.
    “Also keine Trojaner, keine Screenshots, keine Keylogger und den ganzen Mist. Updates braucht man nicht, die sind sowieso praktisch nur gegen Netzgefahren.”
    Das ist zwar generell moeglich, aber populaere Betriebsysteme, insbesondere Desktopsysteme, machen es einem da nicht gerade einfach. Ich meine damit alle Systeme, die so eingestellt sind, dass sie automatisch alle z.B. per USB angeschlossenen Dateisysteme einbinden. Ich weiss, alles Einstellungssache, aber Windowsen per default sind nunmal so eingestellt, dass sie externe Medien automatisch lesen und Software ausfuehren.
    Wenn der Angreifer physikalisch vor einem solchen benutzerfreundlichen Geraet steht, hat er mehrere Moeglichkeiten: wenn das Geraet laeuft, braucht er nur einen Stick anschliessen, damit seine Software ausgefuehrt wird, denn die Verschluesselung hat dann ungefaehr den Effekt einer offenen Panzertuer. Laeuft der Rechner nicht, schliesst er seinen Stick an der Rueckseite an – irgendwann wird der Rechner schon booten. Keylogger gibt es uebrigens auch als Hardware zum zwischenstecken.
    Ich weiss, fremde Hardware ist schon auffaellig, aber nur, wenn man gelegentlich einen Blick drauf wirft.
    Softwareseitig faehrt man am besten sicher mit einem spartanischem Unixoid. Windows ist ganz schlecht – dort muss man viel zu deaktivieren. Ein Standardubuntu o.ae. ist da aehnlich, auch wenn mir nicht bekannt waere, dass Linuxe einfach so fremde Binaries ausfuehren. Der richtige Weg ist aber, nur ein einfaches System zu haben und nur zu installieren, was man fuer den Zweck braucht. Und bloss keine Automatiken, auch keine weitere Hardwareerkennung.
    Und es stimmt nicht, dass Sicherheitsluecken nur im Netzwerk nutzbar waeren. Buffer Overflows bekommt man auch mit gespeicherten Dateien hin, deswegen sollte auf einem solchen Rechner keine fremden Dateien automatisch geoeffnet werden.
    Ich denke schon, dass man einen Rechner so einrichten kann, dass man davon ausgehen kann, dass er sicher ist (Irrtum ist dann eben ein Lebensrestrisiko), aber dazu gehoert dann nicht nur Technik, sondern auch Disziplin. Ausserdem steht der Sicherheitsanspruch dem Nutzungsanspruch (engeschraenkte Benutzbarkeit, offline Updates, sichere Passwoerter) entgegen – jede weitere Anwendung, die Dateien oeffnet, stellt ein weiteres Risiko dar, aber die Alternative waere, die sensiblen Daten, fuer die man extra so einen sicheren Rechner betreibt, auf einem anderen, weniger sicheren System verarbeitet. Nur dann kann man sich die Prozedur mit einem Offlinerechner auch sparen.

    Meine Ausfuehrungen dazu erheben keinen Anspruch auf Vollstaendigkeit.
    Darueber hinaus hilft Festplattenverschluesselung gegen die meisten Angriffsszenarien nicht, weil sie auf den laufenden Betrieb keinen Unterschied macht. Gegen einen Trojaner, der seinen Namen zu Recht traegt, hilft es schon gar nicht, weil der per Definition vom User selber installiert wird.

    Nur mal so aus meiner Technikerperspetive.

  • Klaus O Weber

    Es scheint mir die BRD hat grosse Angst vor den ehemaligen MfS Mitarbeitern die sich wie ich ins Ausland abgesetzt haben und mit ehemaligen MfS Mitarbeitern in der ehemaligen DDR in Verbindung sind. Uns wurde ja die deutsche Staatsbuergerschaft aberkannt da wir in der Zwischenzeit andere Staatsbuergerschaften haben und die BRD keine Handhabe hat uns in ihre Klauen zubekommen. Die BRD kennt unsere Aufenthaltsorte und hoert unsere Telephonegespraeche, faengt unsere Emails ab und seit einiger Zeit blockieren der BRD Verfassungschutz und der BND unsere Skype – Verbindungen. Waeren wir Nazis waere das kein Problem aber wir sind ehemalige MfS Mitarbeiter. “Glauben sie wir sind die 5.Kolonne und wollen die BRD in eine NEUE DDR verwandeln?” Da muss doch etwas im Busch sein, das sie Angst vor uns haben??? Der Kommunismus und Sozialismus ist tot, warum also dieses Ganze?? Wir sind alles alte Maenner und wollen unsere Ruhe und mehr nicht, auch wenn wir kaum oder gar keine Rente bekommen im Gegensatz zu den Nazis!!! Aber der Verfassungsschutz in Koeln, die Aemter der Laender und der BND benoetigen ihre Berechtigung. Diese sollten sich lieber um die Mafia-Banden, den Terroristen und Kriminalitaet in der BRD kuemmern und das Volk schuetzen. Aber Nein die ehemaligen des DDR Geheimdienst MfS und der NVA im Inland und Ausland sind viel wichtiger da sie eine Gefahr fuer die innere Sicherheit sind der BRD. Das deutsche Volk hat keine Ahnung und wir wie immer und jetzt noch mehr belogen! Armes Deutschland!!!

  • blubb

    also erstmal möchte ich sagen “cooler Blog” !
    informativ und witzig zugleich ;)

    habe mir jetzt nicht alle kommentare durchgelesen. vielleicht hats auch schon jemand angemerkt.
    möchte trotzdem kurz darauf hinweisen das sich “SKYPE” schon seit 2006
    verpflichtete mit den behörden zusammen zu arbeiten:

    http://www.heise.de/newsticker/meldung/EU-Strafermittler-nehmen-Vorwuerfe-gegen-Skype-zurueck-202086.html

  • GustavMahler

    @blubb

    Danke. Damit ist doch schon alles erklärt.

  • http://freie-meinung.org/ elmex

    Man sollte auch nicht vergessen, dass Skype – genau wie PayPal – von eBay geschluckt wurde. Dieses Unternehmen verdient gut Geld und will sich dies sicher nicht durch Verweigerung gegen behördliche Ermittlungen kaputt machen. Ich denke, Sicherheit ist bei Skype genauso ein Verkaufsargument wie bei PayPal – wer aber schonmal mit dem Käufer-/Verkäuferschutz bei PayPal Erfahrungen machen musste, merkt sehr schnell, das die dort vorgegaukelte Sicherheit nicht viel mehr als Werbung ist :-)

  • http://Kreuzberg-Jakob.blogspot.com Kreuzberg-Jakob

    Liebe Freunde der fröhlichen Freiheit!
    Ich bin ein kompletter IT Depp und weiß auch gar nicht, was skype wirklich ist, außer, daß ich nächtens beim Kartenspiel ab und zu gefragt werde, ob ich skype oder ICQ habe – jedenfalls nichts, was mir fehlt! Wenn ich mir die Herren anschaue (NUR Herren!), erfaßt mich gar ein Geheimhaltungsdrang! Ich habe den Eindruck, daß die nicht mit mir kommunizieren wollen – das könnten sie ja beim Kartenspielen oder per interne Mail etc. – deshalb ordne ich sie immer den S-Typen zu!
    S wie >> Schädling, Spitzel, Spammer, Spanner, Spinner, Spion, Stalker, Soziopath, Schweinebande!
    und skype ?
    Egal – eigentlich wollte ich die Katze vom Schwanz her satteln!
    Wer sich an die Einführung des D2-Netzes erinnert, wird auch wissen, daß damals die Post noch teilweise in Staatshand war. Sie betrieb das C-Netz und hatte – unmittelbar nach Mauerfall aufgrund kompletter Überlastung das D1 auf den Markt gebracht. Da wollte Mannesmann das private D2-Netz starten, wofür die Bundesbehörde jedoch keine Zulassung erteilte. Die Begründung war, daß das System von Mannesmann nich abhörbar sei!
    Sie hatten daran zu basteln und es für die Spitzelburgen der Dienste abhörbar zu machen, bevor sie eine Zulassung bekommen konnten! – Das bedingt natürlich ein entsprechendes Gesetz. Es ist mit Sicherheit vorhanden, aber ich hab es noch nicht gefunden. Damals hatte ich ‘nen Atari und konnte mir Internet überhaupt noch nicht vorstellen!
    Jedenfalls hätte Mannesmann sich mit dem Wisch den … sauber gemacht, wenn es keine Rechtsgrundlage dafür gäbe!
    Und wenn es in Deutschland eine Rechtsgrundlage gibt, die es verbietet, ein Kommunikationssystem zu betreiben, das von Justiz, Diensten, BKA und was es sonst noch gibt, nicht abgehört werden kann, dann gibt es das auch nicht!
    Wir sind doch nicht in Holland hier!
    :-)
    Ich besuche manchmal eine Seite, von der ich spezielle kleine Programme runterladen kann. Ein sehr freundlicher und sozialer Mensch, Er hat ein gaz wirksames , kleines schwarzes Kästchen auf der Seite, Das kann man einfach so runterziehen – mit der Maus, wie einen “Ilike” Button etwa, nur daß man das kleine Schwarze, wie ein Abziehbild – dann auf seiner Seite hat. Darauf erscheint die IP und Adresse, Uhrzeit und weiß ich was, des Seiten-Eigentümers. – direkt im Anschluß aber Deine eigene!
    **Ouch **
    Hab ich mich erschreckt, wie leicht das geht – Jedenfalls eine interne Mail an eine Freundin geschickt, worauf die mich anrief, sie habe ein Schildchen mit meiner Mail und und sämtlichen Betriebsdaten meines Rechners gefunden!
    Es ist mir unerklärlich, aber zweifellos wahr! Das eigentliche “Schildchen” ist ja Micro-wave resistent – aber in Wahrheit ist das Schildchen immateriell
    Es wird Dir einsicher gefallen!

  • batDan

    Übrigens, wer auf dem iPhone einen Chat-Client wie fringe oder IM+ benutzt und dort Skype aktiviert, gibt den Betreibern dieser Chat-Dienste sein Skype Login (wegen Push-Notifications läuft die Kommunikation immer über deren Server). Ein weiterer Weg, um an Skype-Daten zu kommen…

  • Tharben

    Das Zollkriminalamt untersteht dem Finanzministerium, dessen Chef bekanntermaßen Schäuble ist. Im letzten Jahr wurde vom ZKA eine niedrige zweistellige Anzahl von Quellen-TKÜs durchgeführt. Das ZKA sieht sich hier im Recht, was unter Juristen allerdings heftig umstritten ist.

    Wie vielen hier wohl bekannt ist, wurden an den Einsatz eines “Bundestrojaners” hohe rechtliche Hürden gestellt. Das ZKA argumentiert, dass eine Quellen-TKÜ kein Bundestrojaner wäre. Technisch ist dies natürlich unsinnig.

    Wohl erst dann, wenn die Verfassungsbeschwerde gegen das BKA-Gesetz, das die Quellen-TKÜ ebenfalls erlaubt, verhandelt wird, kann es hier zu einer rechtliche Klärung kommen.

  • never_skype_again

    Skype.. der geschickteste je unter die Leute gebrachte Trojaner! Die Bundesregierung schafft es nichteinmal an 50 Millionen Haushalte einen ‘Bundestrojaner’ zu verteilen – Skype macht das ‘mal eben’ mit 500 Millionen Haushalten.

    Finger weg von dieser Abhörsoftware!

  • heinz

    Auch wenn vielleicht unsere Bundesbehörden nicht zu allem in der Lage sind.
    Skype ist ein Unternehmen von Microsoft !
    In dem großen Land jenseits des Atlantiks exisitert eine Behörde, für die es sowieso keine Barrieren gibt.
    Jegliche Flucht ist zwecklos :-)