IT-Security Hacker knackt Skype-Verschlüsselung

Internet-Telefonie gilt als abhörsicherer als Festnetztelefone oder die zurecht als "Wanze in der Tasche" gescholtenen Handys. Doch absolute Sicherheit gibt es nicht: Jetzt gelang es einem US-Hacker, die Verschlüsselung des populären Skype-Dienstes zu knacken. Bei Skype hält sich die Begeisterung in Grenzen.
Skype: Internet-Telefonie gilt (offenbar fälschlicherweise) als weitgehend abhörsicher

Skype: Internet-Telefonie gilt (offenbar fälschlicherweise) als weitgehend abhörsicher

Foto: dpa

Berlin - Ein Hacker in den USA hat offenbar den Code für die Verschlüsselungstechnik des Internet-Telefondienstes Skype geknackt. Skype bestätigte den Vorgang im Wesentlichen und betonte zugleich, dadurch werde die Sicherheit der Kommunikation mit dem Dienst in keiner Weise beeinträchtigt. Der Hack soll erst Ende Dezember auf dem Kongress des Chaos Computer Clubs (CCC) in Berlin öffentlich vorgestellt werden - das gibt dem Unternehmen eine Menge Zeit, das Leck zu stopfen.

"Es war wohl nur eine Frage der Zeit, bis ein Angriff auf die Skype-Verschlüsselung gezeigt werden konnte", erklärte CCC-Sprecherin Constanze Kurz am Freitag der Deutschen Presse-Agentur. Dies zeige, "dass geheimgehaltene technische Standards kein Mehr an Sicherheit bringen, da früher oder später immer jemand herausfindet, wie es funktioniert". Der Chaos Computer Club tritt für offene Standards auch bei Verschlüsselungstechniken ein. "Security by obscurity" (Sicherheit durch Verbergen) habe noch nie langfristig funktioniert, betonte Kurz.

Laut einem Bericht des amerikanischen Fach-Blogs "TechCrunch" erklärte der Hacker, er habe den Quellcode offengelegt, indem er den Binärcode der Software mit einem als Reverse Engineering bezeichneten Verfahren analysiert habe. Beim Reverse Engeneering wird ein fertiges Produkt durch Analyse seiner Grundbestandteile und seiner Eigenschaften rekonstruiert, also in der Regel nachgebaut. So schafft man bei Software nicht nur funktionale Kopien, sondern erlangt auch Kenntnisse über die Funktionalitäten einzelner Bestandteile - und somit Ansatzpunkte für Manipulationen.

Darf man das? Mehr oder weniger schon

Der ursprüngliche Blog-Beitrag des Hackers Sean O. war am Freitag nicht mehr zugänglich, Kopien waren aber auf anderen Web-Seiten zu sehen. Veröffentlicht wurden bisher nur Programmbibliotheken, die den Verschlüsselungsalgorithmus nachbilden. Damit ist nicht das Programm selbst geknackt, sondern sozusagen ein Weg aufgezeigt, wie man die Verschlüsselung brechen könnte.

Skype äußerte in einer Stellungnahme Verständnis, wenn jemand die Software des Unternehmens mit dem Ziel analysiere, die Sicherheit zu verbessern. Der jetzt vorgestellte Hack diene jedoch nicht diesem Ziel, sondern erleichtere den Versand von Spam, also unerwünschter Werbung. Das Unternehmen teilte mit, dass es rechtliche Schritte prüfe.

Es ist jedoch durchaus nicht ausgemacht, dass Skype damit Erfolg haben muss: Reverse Engeneering an sich ist in den meisten Ländern nicht strafbar, gehört etwa im Bereich der IT-Sicherheitsforschung zu den gängigen Methoden. Vertragsrechtliche Einschränkungen, denen man beispielsweise im Verlauf einer Programminstallation als Auflage zur Nutzungslizenz zustimmt, könnten hier jedoch greifen. Bisher ist dem Hacker allerdings absolut nichts vorzuwerfen außer einem "Proof of Concept", einem Beweis der generellen Möglichkeit des Skype-Hacks: Das Spam-Argument setzt voraus, dass jemand die neuen Erkenntnisse für eigene Interessen missbrauchen würde.

pat/dpa
Die Wiedergabe wurde unterbrochen.