Skype dürfte eine Abhörschnittstelle bieten – Quellen-TKÜ per Trojaner unverhältnismäßig

(English version)

Die weitverbreitete Voice-over-IP- und Video-Chat-Software Skype dürfte bereits zum gegenwärtigen Zeitpunkt eine Möglichkeit bieten, um auch netzinterne Voice-over-IP-Gespräche abhören zu können. Damit dürfte die seit einiger Zeit heiß diskutierte Frage, ob es zum Abhören von „Skype“ eine Alternative zur sogenannten „Quellen-TKÜ“ gibt, jedenfalls aus technischer Sicht mit „ja“ zu beantworten sein. Zwecks Vermeidung der grundrechtsbeeinträchtigenden Infiltrationen von Rechnersystemen mit staatlicher Überwachungssoftware sind die Ermittlungsbehörden aufgerufen, sich in Kooperation mit Skype – inzwischen einer Microsoft-Tochter – um die praktische Umsetzung dieser weniger eingriffsintensiven Überwachungsmaßnahme zu bemühen.

Bereits seit Jahren kursieren im Netz Gerüchte, dass die Skype-Software für staatliche Stellen einer Überwachungsschnittstelle beinhalten könnte. Hierauf deuten auch Passagen im "Kleingedruckten" des Skype-Dienstes hin, wo es heißt (Ziffer 7, Absatz 7):

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Ein definitiver Beweis für eine solche Funktion ist bisher allerdings nicht öffentlich bekannt geworden.

Gleichwohl dürfte Skype bereits nach der gegenwärtigen Ausgestaltung des Systems eine technisch einfache Möglichkeit bieten, Sprachtelefonie innerhalb des Skype-Netzes abzuhören, auch ohne die proprietäre Verschlüsselung des Audio-Datenstroms zu brechen. Dies dürfte sich durch eine heimliche Kombination der Funktionen „Skype-In“ und „Skype-Out“ durch den Netzbetreiber Skype realisieren lassen.

Die Funktionen Skype-In und Skype-Out dienen der Anbindung von Skype an das „normale“ Telefonnetz. Bei Skype-Out stellt der Nutzer aus dem Skype-Netz heraus eine Verbindung zu einem Anschluss unter Angabe einer klassischen Telefonnummer her. Bei Skype-In verhält es sich genau andersherum: Hier wird einem Skype-Benutzernamen eine „normale“ Telefonnummer zugewiesen; Anrufe auf diese Nummer werden über das Skype-Netz an den Skype-Client durchgestellt, der sich mit dem verknüpften Skype-Benutzernamen angemeldet hat.

Beide Skype-Verbindungen setzen technisch die Nutzung eines Gateways zwischen Skype-Netz und klassischem Telefonnetz voraus. Im Detail werden hierbei zwei separate Verbindungen hergestellt, die am Gateway verknüpft werden, nämlich eine echte Skype-VoIP-Verbindung zwischen Gateway und Skype-Client sowie eine normale Telefonverbindung zwischen Gateway und Telefonanschluss. Die letztere Verbindung wiederum setzt voraus, dass die verschlüsselte Skype-Verbindung am Gateway endet: Die – soweit bisher bekannt als solche sichere – Verschlüsselung endet also bestimmungsgemäß am Gateway zum klassischen Telefonnetz, wo ein einfaches Audio-Signal (ggf. wieder in digitaler, aber jedenfalls nicht kryptierter Form) übergeben wird.

Hieraus folgt zunächst, dass sich Skype-In- und Skype-Out-Gespräche am Gateway jedenfalls aus technischer Sicht mit einer „normalen“ Telefonüberwachung abgreifen lassen. Aus diesem Befund folgt jedoch zugleich, dass auch Skype-Gespräche, die „eigentlich“ allein innerhalb des Skype-Netzes geführt werden sollen, abgehört werden können.

Hierzu muss lediglich das Skype-Netz als Vermittlungsinstanz zwischen den beteiligten Clients beide Endpunkte beim Verbindungsaufbau heimlich anweisen, gerade keine verschlüsselte Direkt-Verbindung zwischen den Clients aufzubauen, sondern jeweils eine scheinbar aus dem Skype-Netz heraus gerichtete Verbindung ins normale Telefonnetz. Dazu ist es technisch völlig ausreichend, dem anrufenden Client als Endpunkt statt des Clients des Adressaten das Skype-Out-Gateway anzugeben und zwischen diesen beiden Punkten eine verschlüsselte Verbindung aufzubauen. Dem angerufenen Skype-Client wiederum wird eine Skype-In-Verbindung (also vom Gateway zu ihm) vorgespiegelt. Schaltet man nun am Skype-Gateway wiederum „in aller Stille“ beide Verbindungen zusammen, so ergibt sich dem Anschein nach eine hochsichere Skype-Direktverbindung. Tatsächlich aber lässt sich auf diese Weise seitens des Skype-Betreibers eine Man-in-the-middle-Attacke gegen netzinterne Skype-Verbindungen realisieren. Denn an der Schnittstelle beider „Beine“ der Verbindung liegt unter voller Kontrolle des Gateway-Betreibers Skype ein unverschlüsseltes Audio-Signal an, das sich technisch problemlos abgreifen und etwa im Rahmen einer TKÜ-Maßnahme ausleiten ließe.

Mir liegen keine Erkenntnisse darüber vor, ob Skype diese Möglichkeit bereits implementiert hat und auch Sicherheitsbehörden oder Geheimdiensten tatsächlich anbietet. Mir erscheint es jedoch logisch zwingend, dass – wenn Skype-In und Skype-Out als gegeben betrachtet werden – eine solche Abhörmöglichkeit ganz ohne oder allenfalls mit minimalen Änderungen an den Clients realisiert werden könnte. Die Änderungen dürften im wesentlichen darin bestehen, auf die Kennzeichnung der Verbindung als Skype-In- bzw. Skype-Out-Gespräch auf der Benutzeroberfläche zu verzichten.

Technisch betrachtet macht sich diese Lösung zunutze, dass die Skype-Clients gerade keine offene Software sind, sondern aus der Nutzerperspektive eine „black box“ darstellen. Insbesondere kann der Nutzer die Gegenstelle, mit der er kommuniziert, nicht autonom vom Netzbetreiber Skype authentifizieren. Somit dürfte Skype beliebige Gegenstellen anstatt des gewünschten Adressaten als Endpunkt einer ausgehenden Verbindung angeben können – u.a. auch das Skype-Out-Gateway anstelle des tatsächlich gewünschten Adressaten.

Insgesamt kann daher mit großer Wahrscheinlichkeit angenommen werden, dass die Implementierung einer Abhörschnittstelle auch für Gespräche innerhalb des Skype-Netzes aus Sicht des Netzanbieters Skype allenfalls minimale Änderungen erfordern würde, sofern eine solche Funktion nicht längst implementiert ist.

Darauf, dass Skype eine solche Lösung bereits anbietet oder doch problemlos in der Lage sein dürfte, eine solche einzurichten, weist auch ein Patent der Firma Microsoft aus dem Dezember 2009. Der Software-Konzern, der Skype im Sommer 2011 übernommen hat, hat sich darin ein Konzept für das Abhören von Voice-Over-IP-Gespräche mittels gezielter Umleitung des Datenstroms über einen „recording agent“ schützen lassen. So heißt es in der Kurzbeschreibung des Patents:

"Aspects of the subject matter described herein relate to silently recording communications. In aspects, data associated with a request to establish a communication is modified to cause the communication to be established via a path that includes a recording agent."

Nur Zufall?

Ich freue mich über Feedback zu diesem Gedankenspiel!

Sollten meine Überlegungen zutreffen, dürfte sich der Einsatz von Trojanern zwecks Überwachung des Skype-Verkehrs als unverhältnismäßig erweisen. Vielmehr wären die Sicherheitsbehörden gehalten, mit Skype die technischen und administrativen Details eines solchen Zugriffs abzustimmen, anstatt Quellen-TKÜ gegen Skype in Betracht zu ziehen. Die Bereitschaft hierzu dürfte bei der Microsoft-Tochter Skype durchaus zu wecken sein, hält man sich vor Augen, dass die deutsche öffentliche Verwaltung Jahr für Jahr viele Millionen Euro für Microsoft-Software ausgibt.

This entry was posted in 0zapftis, Datenschutz, Grundgesetz, Justiz, Law, Netz. Bookmark the permalink.

29 Responses to Skype dürfte eine Abhörschnittstelle bieten – Quellen-TKÜ per Trojaner unverhältnismäßig

  1. Peter Piksa says:

    Hallo,

    zunächst einmal Dank für den Beitrag. Obgleich ich Deiner Argumentation folgen kann, halte ich Dein Fazit, daß “sich der Einsatz von Trojanern zwecks Überwachung des Skype-Verkehrs als unverhältnismäßig erweisen [dürfte]”, für nur geringfügig hilfreich im Kampf gegen die Trojanisierung.

    Begründung: Unterstellt, man könnte Microsoft als Betreiber von Skype nachweisen, daß sie die von Dir aufgemalte Gateway-Methode tatsächlich anwenden, wäre ein Verzicht auf den Trojaner unter Rücksichtnahme auf den Verhältnismäßigkeitsgrundsatz gegeben – dies würde allerdings nur bei Abzuhörenden greifen, die auch tatsächlich Skype verwenden.

    Nach einer Meldung von Heise vom 18.10.2011 wurden mit dem Staatstrojaner nebst Skype allerdings einige weitere Internettelefoniedienste angezapft [1] – so zum Beispiel “PA Talk” oder “Voicebuster”. Unterstellt, daß den Herstellern von “PA Talk” und “Voicebuster” keine vergleichbare Man-in-the-Middle-Schnüffelmethode auf Basis des von Dir beschriebenen Gateways zur Verfügung steht, wäre davon auszugehen, daß die Behörden sich zum Zwecke der Rechtfertigung der Trojanisierung auf die Argumentation stützen würden, daß sie auf die Trojanisierung unter keinen Umständen verzichten können, weil a.) Skype nicht der einzige Internettelefoniedienst ist und b.) zu erwarten wäre, daß sämtliche Abzuhörenden in dem Wissen, daß Skype diese Gateway-Schnüffelmethode anwendet, ohnehin auf Alternativen zu Skype ausweichen.

    Die Argumentation der Unverhältnismäßigkeit ist zwar aus meiner Sicht – sofern ich als Nichtjurist das einschätzen kann – nachvollziehbar und korrekt, verfängt aber nicht weitreichend genug und erwiese sich daher als stumpfes Schwert im Kampf gegen die Argumentation der Trojanisierungsbefürworter.

    Sowohl Du [2], als auch Thomas Stadler [3] und der ehemalige Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier [4] sehen für die Durchführung der Quellen-TKÜ auf Basis der Strafprozessordnung übereinstimmend keine Rechtsgrundlage für gegeben. Daß selbst das Bundesverfassungsgericht im Urteil zur Onlinedurchsuchung forderte, daß bei der Quellen-TKÜ sowohl technisch als auch rechtlich sichergestellt sein muss, daß ausschließlich die Kommunikation und nichts anderes ausgeleitet werden kann, ist meines Erachtens der entscheidende Ansatz.

    Fazit: Auf die Unverhältnismäßigkeit der Quellen-TKÜ aufgrund der Microsofts Gateway-Methode abzustellen halte ich zwar für richtig, aus oben genannten Gründen aber letztlich nicht für zielführend (das Argument würde uns schließlich mit dem Verweis auf andere Internettelefoniedienste aus der Hand geschlagen werden). Für mich ist entscheidend, daß auf Basis der Strafprozessordnung faktisch keine Rechtsgrundlage zur Durchführung einer Quellen-TKÜ besteht und diese Maßnahme daher illegal erfolgt. Ich denke, daß die Trojanisierung weitaus schwieriger zu konzeptionieren wäre, wenn der Gesetzgeber eine tatsächlich unangreifbare Rechtsgrundlage schaffen müsste – was ja schließlich wohl nicht ohne Grund in der Strafprozessordnung bis heute nicht der Fall ist. Und selbst die viel weitergehende Regelung zur Onlinedurchsuchung im BKA-Gesetz wird von Florian Albrecht und Sebastian Dienst für verfassungswidrig gehalten [5].

    Aus diesen Gründen erscheint es mir zwecks Abwehr sämtlicher Trojanisierungsvorgänge zielführend, diejenigen, die die Trojanisierung haben wollen, vor die Aufgabe zu stellen, selbige auch tatsächlich verfassungskonform auszugestalten. Solange sie das Grundgesetz nicht zu Gunsten niedrigerer Hürden abändern, dürfte es ihnen nämlich schier unmöglich sein, diese Aufgabe zu bewältigen.

    Viele Grüße
    Peter

    [1] http://www.heise.de/security/meldung/Kaspersky-entdeckt-neue-Staatstrojaner-Version-1363051.html
    [2] http://ijure.org/wp/archives/756
    [3] http://www.internet-law.de/2012/01/zulassigkeit-der-heimlichen-installation-von-uberwachungssoftware.html
    [4] http://www.heise.de/newsticker/meldung/Staatstrojaner-Justizministerin-denkt-ueber-strengere-Gesetze-nach-1365371.html
    [5] http://www.jurpc.de/aufsatz/20120005.htm

    • vieuxrenard says:

      Hi,

      das stimmt natürlich – mein Argument “zieht” nur bei Skype, weswegen damit noch nicht gesagt ist, dass ein entsprechendes Gesetz unverhältnismäßig wäre. Wohl aber wäre jeder spätere Einsatz einer Quellen-TKÜ gegen Skype – selbst wenn es eine gesetzliche Grundlage gäbe – unverhältnismäßig, sofern eine Lösung existiert, die direkt bei Skype ansetzt. Und Skype macht doch in der Praxis die absolute Mehrzahl der Fälle aus.

      Mein Anliegen war vor allem, das Kartell des Schweigens zu brechen: Dass Skype “kann”, wenn sie nur wollen, scheint mir doch allzu offensichtlich. Ich habe auch keine Insider-Kenntnisse, sondern einfach eins und eins zusammengezählt.

  2. USAnwalt says:

    Nicht nur ein Gedankenspiel. Seit einigen Jahren mehren sich die Zeichen für die technischen Möglichkeiten der Überwachung von Skype-Verkehr. Wenn dies der Privatwirtschaft gelingt, darf man folgern, dass staatliche Stellen dazu ebenfalls in der Lage sind und wie bei Betriebssystemen Schnittstellen vereinbart sind.

    Die sagenumwobene Verschlüsselungssicherheit von Skype bewirkt eine gewisse Kanalisierung des Verkehrs von Straftätern, – besonders jenen, die auf eine doppelte Verschlüsselung bauen, – was die Überwachung auf privater und amtlicher Ebene vereinfacht: Sie kann sich auf Skypeverkehr konzentrieren. Daher besitzt sie kein Interesse daran, die Überwachungsmöglichkeit zu bestätigen.

    Die Rechtfertigung eines Trojanereinsatzes dient dann eher dem Aufrechterhalten des Eindrucks bei Straftätern, dass Skype nicht geknackt werden kann.

  3. Pingback: Skype likely to provide means of VoIP interception – eavesdropping by “state trojans” disproportionate | ijure.org

  4. Detlef Borchers says:

    Im Jahre 2006 gab es ne BKA-Konferenz, auf der zwei EADS-Forscher ihre Forschungen vorstellten, wie man Skype-Traffic erkennen und aussondieren kann. Nach meinen Notizen haben sie vorher auf ner Blackhat-Konferenz drüber geredet. Es würde mich wundern, wenn die Forschungen 2006-2012 nicht weitergelaufen sind…

    Hier die Meldung dazu: http://heise.de/-111559

    –Detlef

    • vieuxrenard says:

      Hi Detlef,

      in der Tat, das würde mich auch wundern … hatte damals die Meldung auf heise online auch gelesen und war doch einigermaßen schockiert ob der Anti-Debugging-Features in Skype.exe.

      Aber angesichts der Schwierigkeiten des reverse engineerings (und weil ich davon auch bei weitem nicht genug verstehe) habe ich versucht, mich dem Problem eher phänomenologisch zu nähern: Was heißt es eigentlich technisch, wenn es Skype-In und Skype-Out gibt? Was kann man daraus für die Möglichkeit einer Implementierung des Microsoft-Patents in Skype schließen?

      Bin wirklich gespannt, ob ich Einwände gegen die obige ja eigentlich überraschend naheliegende Hypothese bekomme. Bisher war das nicht der Fall.

      Viele Grüße nach Westerkappeln,

      Ulf

    • Dom says:

      It?s awalys good to learn tips like you share for blog posting. As I just started posting comments for blog and facing problem of lots of rejections. I think your suggestion would be helpful for me. I will let you know if its work for me too.

  5. Torsten says:

    Dass Skype-Out den gebräuchlichen Regeln der Analog-Telefonie unterliegt ist keinerlei Neuigkeit. Dass Skype andere Gespräche umrouten kann, wird vom Unternehmen seit Beginn dementiert und es sind niemals Gerichtsdokumente aufgetaucht, die das Gegenteil belegen könnten. Aufgetaucht sind aber Dokumente, die verschiedene Angriffe auf Skype zum Thema haben, meist durch Trojaner.

    • vieuxrenard says:

      richtig, in Bezug auf Skype-In und Skype-Out ist das keine Neuigkeit.

      Meine These ist, dass man aus dem Vorhandensein beider Features auf die Möglichkeit ihrer Kombination zwecks man-in-the-middle-Attacke schließen kann. In der Tat hat Skype sich dazu bisher nie klar geäußert – außer in ihren AGB, wo sie sich das Recht hierzu ausdrücklich einräumen lassen.

      Ich denke, die obigen Überlegungen und das Microsoft-Patent (das genau eine solche Lösung skizziert, wenn auch auf hohem Abstraktionsniveau) sollten deutlich machen, dass Skype sehr wahrscheinlich mehr kann als sie zugeben. Das endgültig zu klären wird nun Sache der Behörden sein. Aber die pauschale Behauptung “geht nicht” sollte angesichts all dessen kein Gehör mehr finden.

  6. Pingback: Condors Blog » Tschüss, Skype! Der Überwachungswahn! [4. Update]

  7. krugar says:

    ich hab an der stelle immer die beiden jungs von diesem bekannten boulevard-podcast im ohr, die an verschiedenen stellen mit belustigung darauf hinweisen, dass skype wohl für eine zeit ihre möglichkeiten & ihre bereitschaft zur zusammenarbeit mit interessierten diensten auf der offiziellen webseite bewarben. hab das selber weder gesehen noch überprüft, aber das gerücht hat sich festgesetzt

  8. Brotkorb says:

    Moin!

    Ich erinnere mich an ein geleaktes Dokument von Skype mit dessen Hilfe Ermittlungsbehörden bei Skype um entsprechende Ausleitung anfragen konnten. Das PDF ist auf cryptome.org gehostet: http://cryptome.org/isp-spy/skype-spy.pdf
    Inwieweit das natürlich authentisch ist, ist eine andere Frage…

    Grüße
    Bk

  9. Torsten says:

    Du begehst einige Fehlschlüsse:

    “Hieraus folgt zunächst, dass sich Skype-In- und Skype-Out-Gespräche am Gateway jedenfalls aus technischer Sicht mit einer „normalen“ Telefonüberwachung abgreifen lassen. Aus diesem Befund folgt jedoch zugleich, dass auch Skype-Gespräche, die „eigentlich“ allein innerhalb des Skype-Netzes geführt werden sollen, abgehört werden können.”

    Das eine hat nichts mit dem anderen zu tun. Skype könnte eine Abhör-Umleitung einbauen ohne dass die Telefonie-Gateways abgehört werden können.

    “Hierzu muss lediglich das Skype-Netz als Vermittlungsinstanz zwischen den beteiligten Clients beide Endpunkte beim Verbindungsaufbau heimlich anweisen, gerade keine verschlüsselte Direkt-Verbindung zwischen den Clients aufzubauen, sondern jeweils eine scheinbar aus dem Skype-Netz heraus gerichtete Verbindung ins normale Telefonnetz. ”

    Möglich, aber umständlich. Wozu soll man das Gespräch ins Analoge umwandeln dafür?

    Ja, eine Abhörschnittstelle zu installieren wäre technisch relativ trivial. Juristisch, organisatorisch und PR-technisch gibt es jedoch für Skype/Microsoft sehr gute Gründe dies nicht zu tun.

    Aus dieser Grundsituation kannst Du keine logischen Schlüsse ziehen. Du kannst glauben, dass Szenario A für Dich plausibler klingt, das war aber schon alles, wenn Du keine weiteren Fakten anführen kannst.

    • vieuxrenard says:

      > Das eine hat nichts mit dem anderen zu tun. Skype könnte
      > eine Abhör-Umleitung einbauen ohne dass die Telefonie-Gateways
      > abgehört werden können.

      letzteres stimmt; ersteres nicht – ich versuche gerade zu belegen, warum man aus den beiden Bausteinen Skype-In und Skype-Out eine man-in-the-middle-Attacke basteln kann, und zwar mit allenfalls trivialen Änderungen am Client.

      Dass man das Gespräch ins Analoge wandeln müsse, wollte ich gar nicht behaupten; lediglich, dass man dies am Gateway könnte, weil man es für Skype-In und Skype-Out eh können muss – zwecks Übergabe des Gesprächs ans normale Telefonnetz.

      > Ja, eine Abhörschnittstelle zu installieren wäre technisch relativ trivial.

      genau das ist mein Punkt, mehr wollte ich nicht belegen :-)

      > Juristisch, organisatorisch und PR-technisch gibt es jedoch
      > für Skype/Microsoft sehr gute Gründe dies nicht zu tun.

      das mag sein, ist mir aber für meine Zwecke egal. Denn aus rechtlicher Sicht geht es allein darum, ob sie es können, wenn sie einen entsprechenden Beschluss auf den Tisch bekommen. Denn wenn sie es können, dann ist eine Quellen-TKÜ gg. Skype unverhältnismäßig. Nur das wollte ich zeigen.

      • Torsten says:

        Gehen wir davon aus, dass die derzeitige Version von Skype keine Umleitung kann.

        SkypeOut ist keine Umleitung, stattdessen ruft man sozusagen bei Skype an und Skype stellt das Gespräch um. Der Unterschied ist enorm. Von Deinem Telefonapparat im Büro kannst Du bestimmt Gespräche an Anschluss X weiterleiten. Das bedeutet jedoch nicht, dass Du jeden Anruf, der an Anschluss X geht, abfangen kannst.

        Und die Argumentation mit dem Beschluss ist hoch gefährlich. Wenn Du Skype per Beschluss zwingen kannst Änderungen an ihrem Client vorzunehmen, der die Verschlüsselung de fakto bricht, könntest Du das mit jedem Projekt machen. Denn die Software Skype ist ein Chat-Client mit eingebauter Verschlüsselung. Wenn Du jeden Chat-Client verpflichten kannst, Verschlüsselung aufzuheben, dann ist das die alt bekannte Forderung, dass für jede vertrauliche Kommunikation Schlüssel bei staatlichen Stellen eingereicht werden müssten.

        Das ist nicht minimal-invasiv, das ist maximal-invasiv.

        • vieuxrenard says:

          da geht Dir jetzt aber einiges durcheinander … natürlich ist Skype-Out keine Umleitung; Skype-Out ist eine Kombination eines Skype-Gesprächs vom Skype-Client zum Gateway mit einem normalen Telefongespräch vom Gateway zum Ziel. Nochmals: Meine These ist, dass sich aus den technischen Voraussetzungen von Skype-Out und Skype-In ohne nennenswerte Änderungen am Client eine MITM-Attacke basteln lässt. Nicht mehr, nicht weniger. Steht alles oben ;-)

          > Wenn Du Skype per Beschluss zwingen kannst
          > Änderungen an ihrem Client vorzunehmen, der die
          > Verschlüsselung de fakto bricht, könntest Du das
          > mit jedem Projekt machen.

          dazu brauchst Du nicht mal einen Beschluss – das steht im TKG, siehe zB den Artikel von Jörg Heidrich in der aktuellen c’t (wenn auch auf Mail bezogen, aber die Grundsätze sind dieselben). Wer TK-Dienstleistungen anbietet, muss derlei können. Wir haben bei Skype bisher nur ein Rechtsdurchsetzungsdefizit – zum einen weil die Zentrale in Luxemburg sitzt, sodass man sich fragen kann, inwieweit das TKG gilt, zum anderen, weil sie sich mit der Mär davor gedrückt haben, dass es technisch nicht gehe. Letzteres stimmt aber m.E. eben nicht.

  10. Torsten says:

    Mal weg von Skype.

    Du willst nationales TK-Recht auf jede Form von Telekommunikation weltweit ausdehnen. Das Kammergericht Berlin schickt Kommunikationsdienstleister Y in Neuseeland einen Schrieb, dass er in seine Infrastruktur eine Abhörschnittstelle einbauen, den Vertrag mit ihrem Kunden brechen und die Informationen möglichst kostenfrei nach Berlin schicken soll. Y steckt das Schreiben in den Papierkorb.

    Und weiter?

    • vieuxrenard says:

      ob ich das will ist nicht die Frage (im Zweifel eher nicht). Mit ging es nur darum, dass nicht meine Argumentation brandgefährlich ist, sondern – wenn überhaupt – die Rechtslage. Und natürlich könnte kein Beschluss zu etwas zwingen, was technisch nicht möglich ist.

      Aber das gleitet jetzt doch sehr Richtung oT ab. Mir geht es nur darum, ob es technische Einwände gegen meine obige These gibt, dass sich MITM aus Skype-In und Skype-Out kombinieren lässt. Dass es keine Beweise dafür gibt, schreibe ich selber, aber es ist eben höchst plausibel (jdf. habe ich noch keinen Einwand dagegen bekommen). Ob Skype darauf Lust hat oder evtl. auch nicht – kann sein, auch das ist nicht mein Punkt.

  11. Torsten says:

    Ja, die technischen Einwände bleiben. Skype-Out hat wie geschildert nichts mit MITM zu tun.

    Skype hat niemals gesagt “Es ist unter allen Umständen technisch unmöglich, Gespräche abzuhören”. Skypes Technik basiert 100prozentig auf ihrem Geschäftsmodell, das sie von jeder Haftung über das P2P-Netz löst. Wenn Skype nämlich Kontrolle über ihre Routen hat, müssen sie auch den Traffic bezahlen, der für die bislang kostenlosen Gespräche anfällt. Skype kann verschlüsselte Gespräche abhören, wie Du Dir mit einer Bohrmaschine ein Loch in die Kniescheibe bohren kannst. Für den Bohrhammer ist es keine technische Herausforderung aber die Realität kennt sehr viel wirksamere Hindernisse.

    Eine Kernfrage ist also: Kann man Skype dazu zwingen, sein Geschäftsmodell komplett zu ruinieren und ein neues zu suchen? Auf welcher Grundlage? Wenn Du europäisches Recht nutzen willst, dann sind sie morgen in Neuseeland. Und fortan geht das Schreiben des Gerichts wieder in den Papierkorb.

    Zweite Kernfrage ist: Skype nutzt End-zu-End-Verschlüsselung. Wie tief muss der Staat in das Fernmeldegeheimnis eingreifen, um dies zu verhindern? Auch an analoge Telefone konnte man Scrambler anschließen, die das Abhören verhinderten. Ein Eingriff auf infrastruktureller Ebene ist quasi einem Verschlüsselungsverbot für Bürger gleichgestellt.

    Ich nehme an, dass du argumentieren willst, dass Bundestrojaner unnötig sind, weil man Skype doch auch so abhören könnte. Das ist jedoch falsch.

    • vieuxrenard says:

      > Skype-Out hat wie geschildert nichts mit MITM zu tun.

      warum denn nicht? Mir geht es um die technische Sicht und nicht darum, ob das in Skypes Geschäftsmodell passt. Ich habe oben sehr detailliert versucht darzulegen, warum sich für Skype-In und Skype-Out erforderliche Netzwerk-Features aus Netzbetreibersicht zu einer MITM-Attacke kombinieren lassen. Wenn ich mich irre, ok, aber dann wüsste ich gerne warum genau.

      > Eine Kernfrage ist also: Kann man Skype dazu zwingen, sein
      > Geschäftsmodell komplett zu ruinieren und ein neues zu suchen?

      wie gesagt ist das nicht meine Frage, denn das ist für die Verhältnismäßigkeit einer Quellen-TKÜ nicht relevant. Dabei geht es darum, ob es eine mildere Maßnahme zur Trojanisierung gibt. Wenn Skype kann, worauf sie ein Patent angemeldet haben und was ich oben beispielhaft schildere, dann wäre das eine mildere Maßnahme ggü. einem Trojaner.

      > Skype nutzt End-zu-End-Verschlüsselung.

      richtig. Die läuft aber leer, wenn Skype den beiden Partnern eines vermeintlich sicheren, netzinternen Gesprächs jeweils das Gateway (oder meinetwegen eine andere Schnüffelstelle) als Gegenstelle unterschieben kann. Genau darum geht’s in dem Patent, und ich argumentiere auf der Grundlage der bekannten Netzwerkfeatures, wie das bei Skype gehen könnte. Darauf geht bloß niemand ein – vielleicht ist das einfach zu naheliegend … Stell’s Dir analog zum “ARP-Spoofing” vor, nur dass eben eine andere Skype-Gegenstelle und keine andere MAC untergeschoben wird (und natürlich gibt es noch viele andere Unterschiede in Details, das ist nur als Bild gedacht).

      > Ich nehme an, dass du argumentieren willst, dass Bundestrojaner
      > unnötig sind, weil man Skype doch auch so abhören könnte.
      > Das ist jedoch falsch.

      in der Tat, darum geht es (steht ja oben). Du sagt nun zum x-ten Male, das gehe nicht, aber warum denn genau? Dass es keine Beweise gibt, sagt doch nichts aus. Und ich beschreibe eine denkbare Implementierung … vielleicht kann ja mal jmd. technisch darauf eingehen.

  12. Torsten says:

    “Ich habe oben sehr detailliert versucht darzulegen, warum sich für Skype-In und Skype-Out erforderliche Netzwerk-Features aus Netzbetreibersicht zu einer MITM-Attacke kombinieren lassen. Wenn ich mich irre, ok, aber dann wüsste ich gerne warum genau.”

    Ich hab das sehr ausführlich geschrieben warum Du da Dich irrst. Aber das ist irrlevant. Ob Skype-Out oder nicht, jede Verschlüsselung wäre umgehbar, abschaltbar, ablauschbar. Skype könnte ein Spionageprogramm bei jedem User installieren, das könnte aber auch Google oder die Telekom.

    “Du sagt nun zum x-ten Male, das gehe nicht,”

    Der Wert von X ist hier Null. Ich habe nie gesagt, dass es nicht geht. Ich habe gesagt, was es kostet, wenn man es macht.

    Warum ignorierst Du das? Ein faktisches Verschlüsselungsverbot ist für Dich OK, wenn nur keine Trojaner installiert werden?

    • vieuxrenard says:

      dann haben wir ja zumindest Konsens darüber erzielt, dass es geht (wie auch immer). Das ist aus meiner Sicht die zentrale Erkenntnis, denn daran hängt meine rechtliche Argumentation.

      > Ein faktisches Verschlüsselungsverbot ist für Dich OK,
      > wenn nur keine Trojaner installiert werden?

      ich will natürlich kein Verschlüsselungsverbot – falls der Eindruck entstanden ist, sorry.

      Mir ging es um den Nachweis, dass jede Skype-Verbindung abhörbar ist, wenn Skype nur will. Aber da sind wir uns ja nun einig. Ich hätte eigentlich gerne gewusst, an welcher Stelle Du meine obige Argumentation *technisch* unschlüssig findest. Das weiß ich nun zwar immer noch nicht, aber damit kann ich auch leben.

  13. Pingback: Bietet Skype selbst eine Abhörschnittstelle? » Telefonüberwachung, Voice over IP, Spionagesoftware, Skype, Quellen-Telekommunikationsüberwachung, Quellen-TKÜ » Datenschutzbeauftragter

  14. Pingback: Was noch übrig blieb » Von Andre Meister » netzpolitik.org

  15. Pingback: Lesezeichen vom 21.1.2012 | "Nun war er im Begriff ein Tagebuch anzulegen."

  16. Pingback: Froschs Blog » Blog Archive » Im Netz aufgefischt #44

  17. Pingback: Wochenspiegel für die 3. KW., das war die Bildzeitung, der Kuschelverteidiger und das Abhören bei Skype…… | Heymanns Strafrecht Online Blog

  18. Pingback: Skype und die Überwachungsdiskussion