Die weitverbreitete Voice-over-IP- und Video-Chat-Software Skype dürfte bereits zum gegenwärtigen Zeitpunkt eine Möglichkeit bieten, um auch netzinterne Voice-over-IP-Gespräche abhören zu können. Damit dürfte die seit einiger Zeit heiß diskutierte Frage, ob es zum Abhören von „Skype“ eine Alternative zur sogenannten „Quellen-TKÜ“ gibt, jedenfalls aus technischer Sicht mit „ja“ zu beantworten sein. Zwecks Vermeidung der grundrechtsbeeinträchtigenden Infiltrationen von Rechnersystemen mit staatlicher Überwachungssoftware sind die Ermittlungsbehörden aufgerufen, sich in Kooperation mit Skype – inzwischen einer Microsoft-Tochter – um die praktische Umsetzung dieser weniger eingriffsintensiven Überwachungsmaßnahme zu bemühen.

Bereits seit Jahren kursieren im Netz Gerüchte, dass die Skype-Software für staatliche Stellen einer Überwachungsschnittstelle beinhalten könnte. Hierauf deuten auch Passagen im "Kleingedruckten" des Skype-Dienstes hin, wo es heißt (Ziffer 7, Absatz 7):

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Ein definitiver Beweis für eine solche Funktion ist bisher allerdings nicht öffentlich bekannt geworden.

Gleichwohl dürfte Skype bereits nach der gegenwärtigen Ausgestaltung des Systems eine technisch einfache Möglichkeit bieten, Sprachtelefonie innerhalb des Skype-Netzes abzuhören, auch ohne die proprietäre Verschlüsselung des Audio-Datenstroms zu brechen. Dies dürfte sich durch eine heimliche Kombination der Funktionen „Skype-In“ und „Skype-Out“ durch den Netzbetreiber Skype realisieren lassen.

Die Funktionen Skype-In und Skype-Out dienen der Anbindung von Skype an das „normale“ Telefonnetz. Bei Skype-Out stellt der Nutzer aus dem Skype-Netz heraus eine Verbindung zu einem Anschluss unter Angabe einer klassischen Telefonnummer her. Bei Skype-In verhält es sich genau andersherum: Hier wird einem Skype-Benutzernamen eine „normale“ Telefonnummer zugewiesen; Anrufe auf diese Nummer werden über das Skype-Netz an den Skype-Client durchgestellt, der sich mit dem verknüpften Skype-Benutzernamen angemeldet hat.

Beide Skype-Verbindungen setzen technisch die Nutzung eines Gateways zwischen Skype-Netz und klassischem Telefonnetz voraus. Im Detail werden hierbei zwei separate Verbindungen hergestellt, die am Gateway verknüpft werden, nämlich eine echte Skype-VoIP-Verbindung zwischen Gateway und Skype-Client sowie eine normale Telefonverbindung zwischen Gateway und Telefonanschluss. Die letztere Verbindung wiederum setzt voraus, dass die verschlüsselte Skype-Verbindung am Gateway endet: Die – soweit bisher bekannt als solche sichere – Verschlüsselung endet also bestimmungsgemäß am Gateway zum klassischen Telefonnetz, wo ein einfaches Audio-Signal (ggf. wieder in digitaler, aber jedenfalls nicht kryptierter Form) übergeben wird.

Hieraus folgt zunächst, dass sich Skype-In- und Skype-Out-Gespräche am Gateway jedenfalls aus technischer Sicht mit einer „normalen“ Telefonüberwachung abgreifen lassen. Aus diesem Befund folgt jedoch zugleich, dass auch Skype-Gespräche, die „eigentlich“ allein innerhalb des Skype-Netzes geführt werden sollen, abgehört werden können.

Hierzu muss lediglich das Skype-Netz als Vermittlungsinstanz zwischen den beteiligten Clients beide Endpunkte beim Verbindungsaufbau heimlich anweisen, gerade keine verschlüsselte Direkt-Verbindung zwischen den Clients aufzubauen, sondern jeweils eine scheinbar aus dem Skype-Netz heraus gerichtete Verbindung ins normale Telefonnetz. Dazu ist es technisch völlig ausreichend, dem anrufenden Client als Endpunkt statt des Clients des Adressaten das Skype-Out-Gateway anzugeben und zwischen diesen beiden Punkten eine verschlüsselte Verbindung aufzubauen. Dem angerufenen Skype-Client wiederum wird eine Skype-In-Verbindung (also vom Gateway zu ihm) vorgespiegelt. Schaltet man nun am Skype-Gateway wiederum „in aller Stille“ beide Verbindungen zusammen, so ergibt sich dem Anschein nach eine hochsichere Skype-Direktverbindung. Tatsächlich aber lässt sich auf diese Weise seitens des Skype-Betreibers eine Man-in-the-middle-Attacke gegen netzinterne Skype-Verbindungen realisieren. Denn an der Schnittstelle beider „Beine“ der Verbindung liegt unter voller Kontrolle des Gateway-Betreibers Skype ein unverschlüsseltes Audio-Signal an, das sich technisch problemlos abgreifen und etwa im Rahmen einer TKÜ-Maßnahme ausleiten ließe.

Mir liegen keine Erkenntnisse darüber vor, ob Skype diese Möglichkeit bereits implementiert hat und auch Sicherheitsbehörden oder Geheimdiensten tatsächlich anbietet. Mir erscheint es jedoch logisch zwingend, dass – wenn Skype-In und Skype-Out als gegeben betrachtet werden – eine solche Abhörmöglichkeit ganz ohne oder allenfalls mit minimalen Änderungen an den Clients realisiert werden könnte. Die Änderungen dürften im wesentlichen darin bestehen, auf die Kennzeichnung der Verbindung als Skype-In- bzw. Skype-Out-Gespräch auf der Benutzeroberfläche zu verzichten.

Technisch betrachtet macht sich diese Lösung zunutze, dass die Skype-Clients gerade keine offene Software sind, sondern aus der Nutzerperspektive eine „black box“ darstellen. Insbesondere kann der Nutzer die Gegenstelle, mit der er kommuniziert, nicht autonom vom Netzbetreiber Skype authentifizieren. Somit dürfte Skype beliebige Gegenstellen anstatt des gewünschten Adressaten als Endpunkt einer ausgehenden Verbindung angeben können – u.a. auch das Skype-Out-Gateway anstelle des tatsächlich gewünschten Adressaten.

Insgesamt kann daher mit großer Wahrscheinlichkeit angenommen werden, dass die Implementierung einer Abhörschnittstelle auch für Gespräche innerhalb des Skype-Netzes aus Sicht des Netzanbieters Skype allenfalls minimale Änderungen erfordern würde, sofern eine solche Funktion nicht längst implementiert ist.

Darauf, dass Skype eine solche Lösung bereits anbietet oder doch problemlos in der Lage sein dürfte, eine solche einzurichten, weist auch ein Patent der Firma Microsoft aus dem Dezember 2009. Der Software-Konzern, der Skype im Sommer 2011 übernommen hat, hat sich darin ein Konzept für das Abhören von Voice-Over-IP-Gespräche mittels gezielter Umleitung des Datenstroms über einen „recording agent“ schützen lassen. So heißt es in der Kurzbeschreibung des Patents:

"Aspects of the subject matter described herein relate to silently recording communications. In aspects, data associated with a request to establish a communication is modified to cause the communication to be established via a path that includes a recording agent."

Nur Zufall?

Ich freue mich über Feedback zu diesem Gedankenspiel!

Sollten meine Überlegungen zutreffen, dürfte sich der Einsatz von Trojanern zwecks Überwachung des Skype-Verkehrs als unverhältnismäßig erweisen. Vielmehr wären die Sicherheitsbehörden gehalten, mit Skype die technischen und administrativen Details eines solchen Zugriffs abzustimmen, anstatt Quellen-TKÜ gegen Skype in Betracht zu ziehen. Die Bereitschaft hierzu dürfte bei der Microsoft-Tochter Skype durchaus zu wecken sein, hält man sich vor Augen, dass die deutsche öffentliche Verwaltung Jahr für Jahr viele Millionen Euro für Microsoft-Software ausgibt.

Update: Die Sendung ist jetzt auch als MP3 online. Danke an Philip & Andreas, es war mir eine Freude!

Einer der vom CCC dokumentierten „Staatstrojaner“ wurde auf der Festplatte eines meiner Mandanten gefunden, die ich im Einvernehmen mit dem Mandanten an einen öffentlich bekannten Vertreter des CCC habe übergeben lassen. Es handelt sich dabei um den Fall des „Screenshot-Trojaners“, der bereits im Frühjahr diesen Jahres Gegenstand der öffentlichen Diskussion war, siehe

http://ijure.org/0zapftis

Die Beweiskette von mir zum CCC ist dabei lückenlos dokumentiert.

Wie bereits Ende Januar veröffentlicht wurde, umfasste die – ihrerseits nach Meinung von Verfassungsrechtlern bereits rechtswidrige – richterliche Genehmigung nur das Abhören der Telekommunikation. Trotzdem haben die Ermittlungsbehörden auch von der nunmehr eindeutig verfassungswidrigen Screenshot-Funktion Gebrauch gemacht. Die auf diese illegale Weise erlangten Beweismittel wurden zum Gegenstand der Ermittlungsakte gemacht.

Aufgespielt wurde der Trojaner bei Gelegenheit einer Kontrolle meines Mandanten durch den Zoll auf dem Münchener Flughafen. Auch wenn die Maßnahme selbst von bayerischen Behörden kontrolliert wurde, so steht für mich außer Frage, dass Stellen des Bundes – etwa der Zoll bzw. das Zollkriminalamt – im Wege der Amtshilfe beteiligt waren. Hierfür spricht aus meiner Sicht nicht zuletzt, dass dieselbe Software aus verschiedenen Bundesländern zum CCC gelangte.

Nachdem ich aufgrund der Aktenlage erkannt hatte, dass Screenshots angefertigt worden waren, war mir bewusst, dass hier durch einen Trojaner der Laptop manipuliert war.

Ich bedanke mich bei dem CCC, dass dieser bereit war – quasi als Gutachter – die Fähigkeit des Trojaners zu analysieren. Durch diese Analyse konnte möglicherweise eine starke Kompetenzüberschreitung bayrischer Behörden aufgedeckt werden.

Landshut, den 10. Oktober 2011

Rechtsanwalt Patrick Schladt

Die Ex-SED-PDS feiert einen Despoten? Hässlich, zumal in der heißen Phase des Berliner Wahlkampfs – und zumal in einer Stadt, die eine soziale Politik zwar gut vertragen kann, aber auch wahrlich genug schmerzliche Erfahrungen mit dem Stalinismus machen musste.

Es fragt sich nur, ob der angesichts seiner vorgestrigen Formulierungen fast wie Realsatire anmutende Text überhaupt authentisch ist: Eigentlich kann ja kaum bei Trost sein, wer soetwas schreibt.

Wie der Text auf die Seite www.cubadiplomatica.cu gelangt ist, ob er überhaupt autorisiert ist, das lässt sich so einfach nicht klären. Wohl aber hat es den Anschein, dass die Seite selbst eine offizielle Seite der kubanischen Regierung ist: Die Domain cubadiplomatica.cu jedenfalls ist laut der kubanischen Registrierungsstelle registriert auf das Außenministerium in Havanna:

Ministerio de Relaciones Exteriores, MINREX
Calzada No. 360 e/ G y H, Vedado, Plaza, La Habana, Cuba


Der Server selbst steht laut Traceroute zwar in Kanada, soweit er sich tracen lässt:

:~$ traceroute www.cubadiplomatica.cu
traceroute to embacu.cubadiplomatica.cu (173.195.56.121), 64 hops max, 52 byte packets
1 * * *
2 * * *
3 * * *
4 88-134-192-2-dynip.superkabel.de (88.134.192.2) 17.607 ms 7.223 ms 7.583 ms
5 88-134-196-230-dynip.superkabel.de (88.134.196.230) 7.527 ms 7.243 ms 6.446 ms
6 83-169-128-22.static.superkabel.de (83.169.128.22) 7.940 ms 7.934 ms 7.737 ms
7 83-169-128-25.static.superkabel.de (83.169.128.25) 7.843 ms 7.962 ms 10.314 ms
8 xe-1-2-0.ber10.ip4.tinet.net (77.67.66.193) 7.909 ms 16.873 ms 7.292 ms
9 xe-2-0-0.nyc22.ip4.tinet.net (89.149.185.77) 107.303 ms
xe-7-0-0.nyc22.ip4.tinet.net (89.149.185.81) 110.364 ms
xe-2-0-0.nyc22.ip4.tinet.net (89.149.185.77) 106.859 ms
10 telus-gw.ip4.tinet.net (77.67.79.250) 99.562 ms 98.961 ms
telus-gw.ip4.tinet.net (77.67.68.42) 105.833 ms
11 otwaonpldr02.bb.telus.com (154.11.6.196) 118.664 ms 117.387 ms 114.668 ms
12 209.29.17.185 (209.29.17.185) 182.091 ms 187.712 ms 185.113 ms
13 72.1.192.46 (72.1.192.46) 185.129 ms 185.703 ms 183.469 ms
14 * * *


Das muss aber nichts heißen – laut Wikipedia verfügt Kuba kaum über eine vernünftige Anbindung an das Internet, sodass eine auch physisch in Kuba betriebene Seite vermutlich deutlich schlechter erreichbar wäre als eine Seite, deren Server in Kanada steht.

Insofern spricht aus technischer Sicht nichts dagegen, dass die Seite der kubanischen Botschaft in Deutschland offiziell ist. Bliebe nur zu klären, aus wessen Feder der Text stammt, der den beiden Linkspartei-Chefs noch einige Kopfschmerzen bereiten dürfte.