Wie versprochen die Präsentation zur Ingram Micro Voice-over-IP Hacking Show (PDF; 3,2 MB). Die Slides geben natürlich nur einen unvollständigen Eindruck wieder, weil die ganzen Angriffe wie Abhören der Sprachkommunikation, Mitsniffen der SIP-Anmeldung etc. live vorgeführt wurden und bei einigen Zuschauern zu erheblichen Aha-Effekten geführt haben.
Interessant war dabei, das Interesse richtete sich weniger auf die Thematik Voice-over-IP, die meisten Teilnehmer haben VLANs bereits implementiert oder irgnorieren das Thema weitgehend sondern die Folgediskussionen drehten sich hauptsächlich um die Problematik von Skype im Unternehmensnetz.
Meine persönliche Meinung ist dazu recht eindeutig: Skype ist im Unternehmen ein klares no-go und das hauptsächlich aus folgenden Gründen:
- Der Administrator verliert durch die vielen verschiedenen Techniken die Skype verwendet, um Firewalls zu umgehen bzw. zu durchlöchern die Kontrolle, wer welche Art der Kommunikation durchführt.
- Die Skype-Kommunikation ist proprietär verschlüsselt, der Administrator hat keine Kontrolle, welche Daten rein oder raus gehen, insbesondere da mit Skype auch Programme und andere Dateien übertragen werden können.
- Die Skype-Kommunikation kann über sogenannte Supernodes laufen, über die der Administrator keine Kontrolle hat. Möglicherweise routet ein Skype-Client seinen Traffic über das VPN von einer Partnerfirma zu einem internen Rechner, der dann die Daten ins Internet weiterleitet. Diese Kommunikationspfade sind kaum beherrschbar und können erheblichen Datenverkehr verursachen.
- Skype gehört eBay, einem amerikanischen Unternehmen das für seine „benutzerfreundliche“ Datenschutzpolitik bekannt ist. Amerikanischen Behörden bekommen praktisch problemlos Zugriff auf alle Daten. Nicht umsonst sitzt eBay.de in Wirklichkeit in der Schweiz, also außerhalb der Europäischen Union.
- Die rechtlichen Risiken z.B. was das Eigentum der Skype-ID betrifft oder die geschäftliche Nutzung sind nicht geklärt. Skype kann laut AGB einen Account ohne Angabe von Gründen löschen und die Skype-ID ggf. einem anderen User übertragen. Der kriegt dann für mich bestimmte Anrufe.
Alles Gründe, die für mich keine Rolle spielen, wenn ich privat mit Freunden per Skype telefoniere aber die den Einsatz im Unternehmen klar verbieten. Wer hier „Futter“ für die Geschäftsleitung braucht, darf mir gerne eine Mail schicken.
Kommentare gesperrt wegen Spam
Comment by Christian — 2. Mai 2008 @ 19:22