Microsoft überwacht Textnachrichten in Skype

Update Michael Günsch
123 Kommentare

Für die Nutzung von Skype muss der Anwender die Nutzungsbedingungen akzeptieren, die dem Betreiber ein „Mitlesen“ der über den Dienst versendeten Nachrichten erlauben. Inwieweit der Skype-Eigentümer Microsoft von diesem Recht gebrauch macht, hat Heise Security in einem Selbsttest überprüft – mit bedenklichem Ergebnis.

In dem durch einen Leserhinweis initiierten Versuch schickten sich die Redakteure über Skype URLs, die unter anderem vertrauliche Daten wie Anmeldeinformationen oder Dateifreigaben eines Cloud-Dienstes beinhalteten. Nach späterer Analyse der Server-Logfiles fiel auf, dass eine auf Microsoft zugelassene IP-Adresse sämtliche der verschickten HTTPS-URLs, die entsprechend auf verschlüsselte Webseiten weiterleiteten, „besucht“ hatte – einfache HTTP-URLs seien hingegen nicht verfolgt worden.

Eine Anfrage von Heise Security bezüglich einer Erklärung für dieses bemerkenswerte Verhalten wurde von Skype lediglich mit einem Auszug der Datenschutzrichtlinien für den Dienst beantwortet:

„Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden.“

Ein Unternehmenssprecher habe diesen Scanvorgang ebenfalls mit Absichten zur Filterung von Links zu Spam- und Phishing-Seiten begründet, allerdings lauern solche laut Heise in der Regel nicht auf HTTPS-Seiten, weshalb es merkwürdig erscheint, dass gerade diese von Skype erfasst wurden und normale URLs hingegen außen vor blieben. Zudem würde das Unternehmen lediglich Head-Requests an die Adressen versenden und nicht die Inhalte der verlinkten Seiten überprüfen, was aber für eine Filterung von Spam und Phishing notwendig sei.

Diesen Erkenntnissen folgend, sollte sich jeder Skype-Nutzer bewusst darüber sein, dass Microsoft von der Möglichkeit zur Nutzung der Daten, für welche jeder Nutzer sein Einverständnis erklären muss, auch Gebrauch macht. Laut dem Bericht sei zudem unklar, was das Unternehmen mit diesen Daten anfange.

Ende Januar hatten diverse Bürgerrechtler, unter anderem Mitglieder der Electronic Frontier Foundation sowie Reporter ohne Grenzen, in einem offenen Brief Klarheit über die Sicherheit der über Skype ausgetauschten Informationen von Microsoft gefordert.

Update

In einem erneuten Versuch registrierte Heise keine der auffälligen „Link-Checks“ mehr und vermutet eine Stilllegung des Vorgehens. Nach wie vor gibt es von offizieller Seite keine Erklärung oder Stellungnahme dazu.