Ingolstadt (dk) Mit einem Häkchen bei den allgemeinen Geschäftsbedingungen bzw. Datenschutzregeln akzeptieren die Nutzer des Telefonie- und Chat-Dienstes Skype, dass Betreiber Microsoft mitliest. Kaum jemand ging allerdings davon aus, dass das Unternehmen von diesem Recht auch Gebrauch macht. Bisher.
Ein Leser hatte das Portal heise.de darauf aufmerksam gemacht, dass sein Server nach einem Skype-Chat ungewöhnliche Aktivitäten aufgezeichnet hatte. Eine IP-Adresse aus Redmond - wo sich der Hauptsitz von Microsoft befindet - hatte die per Chat verschickten https-Adressen angesteuert. Das ist vor allem insofern bemerkenswert, da das https-Protokoll vor allem für Verschlüsslungen und Authentifizierungs-Vorgänge genutzt wird, also für die Übertragung sensibler Daten. Das Team von heise.de machte den Test und verschickte ebenfalls Adressen per Skype. Einige Stunden kam auch hier der virtuelle Besuch aus Redmond.
Auf Nachfrage von donaukurier.de schickte die Mitarbeiterin einer für Microsoft Deutschland zuständigen PR-Agentur einen Auszug aus den Datenschutzrichtlinien von Skype: "Skype may use automated scanning within Instant Messages and SMS to (a) identify suspected spam and/or (b) identify URLs that have been previously flagged as spam, fraud, or phishing links. In limited instances, Skype may capture and manually review instant messages or SMS in connection with Spam prevention efforts."
Auf Deutsch: Microsoft scannt die Nachrichten, um Spam-, Phishing oder Betrugslinks zu identifizieren. In einem Artikel auf zdnet.com kommt der Autor Ed Bott zu dem Schluss, dass diese Erklärung plausibel sei. Wenn man einen Link per Skype verschicke, bestehe die Möglichkeit, dass das "SmartScreen"-Sicherheitssystem von Microsoft Informationen über den Server abfrage, auf den die Adresse verweise. Und man würde ja auch selbst wissen wollen, wenn man einen Link zu einer Phishing-Seite geschickt bekäme. Zudem gebe es keinen Beweis, dass Menschen oder Computer vertrauliche Nachrichten tatsächlich mitlesen würden. Ein Scannen von verschickten Adressen sei auch etwas ganz anderes, als das Mitlesen von Nachrichten.
Es ist kaum verwunderlich, dass Microsofts PR-Abteilung auf diesen Artikel verweist. Er liest sich wie ein PR-Text. Zumindest mit dem letzten Punkt hat Bott aber Recht. Allerdings wird es in der Regel niemanden etwas bringen, dass Microsoft Stunden nach dem Versenden einer Adresse überprüft, ob es sich dabei um einen Phishing-Link handelt. Denn in der Regel wird ein Skypenutzer sofort auf einen Link klicken oder gar nicht. Zudem bleibt die Frage unbeantwortet, warum - zumindest im Fall des heise.de-Tests - https-Adressen überprüft wurden, normale http-Adressen aber nicht.
Ed Bott macht sich lustig über Kritiker, die besorgt sind:"You can put that tinfoil hat away, at least for now." - "Sie können den Alufolien-Hut weglegen, zumindest momentan." Allerdings ist es Mitarbeitern in einigen IT- oder Telekommunikations-Firmen schon seit Jahren verboten, sich über sensible Dinge per Skype auszutauschen. Aus Sicherheitsgründen. Daher deckt der heise.de-Test auch eigentlich nichts Neues auf, sondern bestätigt nur Altbekanntes: Wenn man einem Service-Anbieter zugesteht, dass er mitlesen kann, ist eine vertrauliche Kommunikation nicht gesichert. Für wichtige Dinge oder sensible Informationen sollte man andere Wege wählen.
Der Vergleich zum realen Leben: Wüsste man, dass die Deutsche Post jeden Brief aufmacht, und sei es nur, um zu überprüfen, ob er für Werbung oder Betrugsversuche genutzt wird - man würde kaum vertrauliche Informationen per Brief verschicken.
Von Tom Webel
