Skype: Microsoft überwacht die Chat-Kommunikation

Es ist nicht das erste Mal, dass das Redmonder Unternehmen aufgrund angeblicher Schnüffelei in der Kommunikation beim VoIP-Dienst Skype im Rampenlicht steht. Nun scheinen Kritiker ein weiteres Mal Recht zu bekommen. mehr... Microsoft, Skype, Chat, Voip, Instant Messaging, Internettelefonie Bildquelle: Skype Microsoft, Skype, Chat, Voip, Instant Messaging, Internettelefonie Microsoft, Skype, Chat, Voip, Instant Messaging, Internettelefonie Skype

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Ach nee! Hätte ja jetzt keiner mit gerechnet.
 
@Crider1990: die google hater sicher nicht...
 
@Mezo: Ach ich glaube schon. Frage ist nur, ob man es wahrnehmen will;) Kein Produkt ist perfekt.
 
@Crider1990: Kein Produkt ist perfekt.???? Was ist denn das für eine Aussage?
 
@tetam: Ich habs jetzt mal aus Verbrauchersicht gesagt. Der Verbraucher will am liebsten natürlich nicht, dass die Chatverläufe o.ä. gespeichert und/oder gescannt werden. Aber das tun die Firmen nunmal. Genau so ist es doch bei Smartphones auch. Kunden wollen längere Akkulaufzeiten und technisch ist es mit Sicherheit möglich, wollen die Konzerne aber nicht aufgrund der Mehrkosten. Da kann man Stunden weitermachen mit Beispielen.
 
@Crider1990: Und was hat fehlende Privatsphäre mit Produktperfektion zu tun?
 
@tetam: Da es sich bei Skype um eine Dienstleistung handelt, das für mich im IT-Bereich aber einhergeht mit einem Produkt, kann man hier finde ich schon sagen, dass dieses "Produkt" nicht perfekt ist;)
 
@Crider1990: Du redest an meiner Frage vorbei. Auch wenn man annimmt, dass im IT-Bereich eine Dienstleistung einem Produkt gleicht, hat die Qualität eines Produktes respektive Dienstleistung nichts mit dem Vorhandensein von Privatsphäre zu tun.
Qualität definiert sich in meinen Augen nicht über Methoden die der Erzeuger des Produktes verwendet.

@shriker: Was hat jetzt der Artikel mit Apple zu tun? Oder habe ich da den Zusammenhang schlichtweg übersehen?
 
@tetam: Wenn meine Privatsphäre durch ein Produkt verletzt wird, so ist dieses Produkt nicht perfekt. In meinen Augen wohlgemerkt!
 
@tetam: Privatsphäre im Internet?! Ich kanns nicht glauben, das es wirklich noch Leute gibt die glaubt im Internet eine Privatsphäre zuhaben.
 
@Jack21: Du hast wohl meine Aussage nicht verstanden. Du hast nur Privatsphäre gelesen, und Dein Hirn ausgeschalten, habe ich Recht?
 
@Crider1990: Doch es ist doch immer die Rede davon das Apple Produkte perfekt sind? *ironisch* ;)
 
@Crider1990: Zwischen "perfekt" und "ausgeschnüffelt werden" liegen jedoch Welten.

Die Tatsache, wie auch von heise betont, dass auffälligerweise nur https Links geprüft werden, deutet schon darauf hin das hier mehr Intention dahinter steckt als nur die Prüfung ob Spam/Phishing oder nicht.

Jeder der die Möglichkeit hat Daten zu erheben und zu schnüffeln, nutzt dies auch. Deswegen macht es Sinn, sich auf OpenSource zu stützen, da der Code offen liegt und die Community diesen kennt und geprüft hat.

Bei uns in der Firma, wo Skype als Kommunikationsmittel genutzt wird, wird schon nach einer Alternative gesucht, ich denke das es auf einen eigenen IRC-Server hinauslaufen wird.

Wer seine Daten schützen will, darf sie nicht aus der Hand geben!
 
@AuthanRam: Ist bestimmt nur ein Versehen :D mach lieber nen XMPP-Server mit Openfire als Server und Jitsi als Client.
 
@AuthanRam: Sage ich nix gegen, kann man quasi als Feature ansehen, was Skype für mich nicht perfekt macht:P Ist ja auch Jacke wie Hose, was jeder als Perfekt ansieht!
 
@Crider1990: Da hast du natürlich vollkommen Recht. Muss jeder selbst beurteilen. Ich für meinen Geschmack, finde es sehr kritisch und bedenklich, da wir auf der Arbeit täglich Zugangsdaten und zugehörige URL's via Skype hin und her reichen bzw. reichten, in dem Glauben das die verschlüsselte Verbindung über Skype unserem Zweck dient. Nach dem nun klar ist, dass die Daten dann eben vom Hersteller selbst unter die Lupe genommen werden, wird es Zeit für eine Alternative.

So können wir unseren Kunden keine Datensicherheit bieten, wenn wir uns selbst einer in Anführungszeichen nicht bedenkenlosen Software bedienen. Sicher wird nichts passieren, aber das ungute Gefühl bleibt... und damit wollen wir nicht leben. ;-)
 
@Crider1990: Mich würde ja interessieren ob jemand diese Tests auchmal mit Google Hangout gemacht hat.
 
@cathal: Stimmt...das wäre wirklich interessant.
 
Das wird kaum etwas anderes sein als z.B. der in Windows und im IE eingebaute SmartScreen-Filter. Bevor man sich da jetzt aufregt, sollte man sich im Klaren sein, dass in fast jedem Browser und Sicherheitssoftware heutzutage jede URL, die man ansurft, mit Listen bekannter Phishingseiten abgeglichen wird.
Das aktiviert zu haben ohne sich daran zu stören und sich dann beschweren, dass ein automatisches System die über den Messenger rumgeschickten Links überprüft und auswertet, ist daher unsinnig. Das nur dazu, weil die Meldung und die Reaktionen darauf schon wieder in die Richtung gehen, einen Skandal heraufzubeschwören.
Zudem profitieren sehr viele Nutzer sehr gerne von Systemen wie SmartScreen, WoT etc., die vor Betrügern warnen. Dabei sollte man sich aber klar sein, dass eine umfassende Erfassung der von den Nutzern angesurften URLs für die Funktion solcher Systeme absolut essenziell ist. Und nein, der Gedanke vom Microsoft-Mitarbeiter, der nach Feierabend von zuhause aus in den Unterhaltungen fremder Leute wühlt, um Spaß damit zu haben, ist nichts weiter als ein albernes Hirngespinst. Hier wird ein automatisches System, dass mit hoher Wahrscheinlichkeit einfach nur die Weiterverbreitung bekannter Phishing-Websites über die Messengernetze erfassen soll, verteufelt.
 
@mh0001: hier ist aber von schnüffeln und mitelesen die rede oder ist die news hier auf wf wieder total übezogen. ich weiss es nicht (glaube schon lange nicht mehr was winfuture berichtet, deswegen kommen solche fragen auf).
 
@Mezo: Da fragt man sich dann doch, was du hier noch machst?;)
 
@Mezo: klar, da sitzt einer, liest manuell lustig Chats mit und surft dann mit seinem Webbrowser lustig auf URLs, die er in den Chats sieht. mh0001 hats doch ganz deutlich erklärt. Wenn du im Browser eine Seite aufrufst, wird deine URL je nach Browser bei Google oder Microsoft gegen eine Liste geprüft. Also landet jeder Browser-Aufruf bei den Herstellern. Hier werden halt auch URLs aus Chatnachrichten geprüft. Genügend Malware schickt schliesslich auch Messages mit Malware-URLs weiter. Um das abzustellen, muss man die URLs erst einmal kennen, also gibts einen Robot, der die Seiten besucht. Ob es nun ideal ist, https zu besuchen und http nicht, oder ob das ein Konfigurationsfehler ist, lässt sich so ja schlecht beurteilen. Nebenbei dürften ICQ Nachrichten auf den Servern in Russland genauso analysiert werden und jeder Jabber Server Betreiber hat ebenfalls die Möglichkeit. IRC ist auch komplett unverschlüsselt und jede Mail geht durch Spamfilter und deren Links werden von Robots auch abgeklopft. Da produziert also mal wieder jemand einen Skandal.
 
@Mezo: Also Zugriffe auf eine URL sind prinzipiell erst mal keine Spionage oder ähnliches, zumal man davon ausgehen darf, dass hinter einer per SSL geschützten Seite mind. noch eine Authentifizierung mit Username/Passwort steht, wenn nicht gleich sogar ein Client-Zertifikat geprüft wird. MS kann also mit den Inhalten gar nichts tun. Wenn sie tatsächlich nur HEAD-Requests schicken, ist es sogar noch harmloser, da damit nicht mal Content der Seite abgerufen wird.
 
@mh0001:"Spam- und Phishing-Seiten lauern normalerweise nicht auf https-Seiten. Die eher betroffenen http-URLs ohne Eigentümerinformationen fasste Skype hingegen nicht an. Außerdem verschickt Skype Head-Requests, die lediglich Verwaltungsinformationen des Servers abrufen. Um Webseiten auf Spam oder Phishing zu untersuchen, müsste Skype jedoch die Inhalte der Seiten überprüfen" Quelle: heise.de // soviel zu deiner Annahme
 
@mh0001: "Und nein, der Gedanke vom Microsoft-Mitarbeiter, der nach Feierabend von zuhause aus in den Unterhaltungen fremder Leute wühlt, um Spaß damit zu haben, ist nichts weiter als ein albernes Hirngespinst." -------- Von wegen Hirngespinst. Ich habe in der IT schon die tollsten Sachen erlebt. Da sind Techniker die Kundengeräte vor der Reparatur erst mal durchschnüffeln noch das kleinste Problem. Du kannst dir gar nicht vorstellen zu was sich so mancher Leitender Angestellte zwecks Überwachung und ausschnüffeln alles einfallen lässt.
 
@mh0001: zwischen URL's abgleichen mit irgendwelchen Spam/Phishing Datenbanken und diese wirklich abzurufen sind zwei verschiedene Geschichten. Natürlich werden div. Inhalte auf potenzielle Sicherheitsrisiken geprüft bzw. abgeglichen, jedoch eine URL wirklich anzusteuern, dass ist was ganz anderes, dass kann unter anderem Schäden verursachen und sind zudem private Inhalte.

Ich würde mich freuen wenn bei uns ein Import oder Update auf einmal ausgelößt wird, weil MS irgendwelche URL's besucht die ich via Skype an Arbeitskollegen sende, die bestimmte Schalter auslösen oder gar Systemänderungen bewirken.

Hier werden ganz klar Grenzen überschritten... und ich widerspreche voll und ganz, der Nachweis das die URL's tatsächlich aufgerufen werden, DAS IST EIN SKANDAL!!! Sowas darf man nicht einfach unter den Tisch kehren oder mit sowas wie SmartScreen vergleichen. Vorher sollte man sich wirklich auf den aktuellen Stand bringen und ggf. mal ernsthaft in Erfahrung bringen was SmartScreen macht, u.a. nähmlich keine URL's aufrufen, die es in irgeneiner Form als Daten erhebt!
 
@AuthanRam: wenn ihr solcherart zugriffe ohne sonstige Schutzmaßnahmen auf Systeme zulasst dass, das verursachen kann, das ist ein Skandal und man kann nur dazu raten dass alle eure kunden gewarnt werden! Je nach Version werden bei smartscreen übrigens sehr wohl die aufgerufenen url`s übertragen.... http://blogs.msdn.com/b/ie/archive/2011/05/17/smartscreen-174-application-reputation-in-ie9.aspx
 
@0711: erst lesen, dann schreiben! Übertragen und abrufen, wiederrum zwei verschiedene paar Schuhe.

Smartscreen übertragt die URL zur Erhebung ruft sie jedoch nicht ab.
 
@AuthanRam: was glaubst du wie bei smartscreen schädliche url`s ermittelt werden? Durch raten?
 
@0711: Na du bist ja ein Scherzkeks. Ob ich in meinem Browser eine URL händisch aufrufe oder ob diese durch das Weittereichen an eine zweite Person, durch dritte Hand aufgerufen wird, ist ein gewaltiger Unterschied. Im einen Fall rufe ich die URL selbst auf, im anderen Fall wird diese nur übermittelt.

Zumal auch ein deutlicher Unterschied darin besteht ob dies eine Sicherheitssoftware im Browser zum Schutz des Users vor Betreten der Seite übernimmt oder ob wild meine übermittelten Daten abgesurft werden zum ggf. vor Schaden zu bewahren... in diesem Fall kann tatsächlich Schaden entstehen.
 
@AuthanRam: ich sehe deine prognostizierte Gefahr von schaden nicht...wenn ein System derart ungesichert aufgerufen werden kann dass es schaden verursacht dass ein crawler o.ä. schon schaden anrichten kann dann darf das System so nicht aufrufbar sein...wenn es das ist hat man beim systemdesign versagt und würde früher oder später so oder so zu schaden kommen.
 
@AuthanRam: Ist Dir schon mal in den Sinn gekommen, dass ein normaler Search Crawler, wie ihn jede Suchmaschine einsetzt, exakt dasselbe macht? Eine URL "aufrufen" kann technisch gesehen viele verschiedene Ausprägungen haben. Und wenn ein simples HEAD oder GET auf eine öffentlich und ungeschützt zugängige URL bei Euch eine Systemänderung bewirkt, dann solltet Ihr Euch dringendst Gedanken über Security-Konzepte machen. Jeder normale Service, der Aktionen ausführt, benötigt mind. mal einen POST-Aufruf und selbst dann sollte er durch Security Tokens, Credentials, Zertifikate oder anderes geschützt sein. Unter den Tisch kehrt es ja niemand, im Gegenteil, es ist in den AGB deutlich vermerkt und MS bestätigt automatisierte Zugriffe (offenbar mit HEAD) ja sogar. Realistisch muss man sagen, dass durch einen solchen Zugriff - gerade auf SSL-geschützte Seiten - quasi kein Schaden entstehen kann.
 
@HeadCrash: du sagst es selbst, wenn die URL einen Token benötigt/enthält um entsprechendes auszulösen, ist das mehr als genug an Sicherheit. Und wenn diese URL abgerufen wird, ist dass schlicht und ergreifend Kacke.
 
@AuthanRam: Wieso ist es kacke? Sie gibt doch keine Informationen preis? Eure URL wird ja das Security-Token wohl nicht in die Welt blasen. Sich nur darauf verlassen, dass eine URL unentdeckt bleibt ist ziemlich leichtsinnig, ich würde sogar fahrlässig sagen. Und nur noch mal der Vollständigkeit halber: MS macht laut Heise HEAD-Requests, die nicht mal den Content der URL abrufen.
 
@AuthanRam: Aber wie glaubst du denn, dass diese Blacklists bei SmartScreen etc. angelegt werden? Die Sammeln die URLs von Leuten, die das aktiviert haben, und dann arbeitet ein automatisierter Scanner nach und nach alle URLs ab, surft alles ab, was auf der jeweiligen URL verlinkt ist, lädt alle Downloads runter, die frei über die jeweilige URL verfügbar sind, scannt sie nach Viren usw..
Kannst dir ja mal einen Seitenbericht von z.B. dem McAfee SiteAdvisor oder von WoT oder ähnlichem angucken, die detailliert Einblick geben. Da steht zu jeder einzelnen Datei, die als Download auf der Seite angeboten wird, Hash und ein eventueller Virenbefund. Die Seiten werden restlos abgegrast und auch etwaige Exploits, Popups, die die Seite verursacht, und ähnliche Dinge aufgezeichnet.
Ist ein bestimmter Score unschöner Dinge überschritten, landet die Seite auf der Blacklist. Ist doch alles gar kein Geheimnis. Du kannst dir sicher sein, dass jede Seite, die du in das entsprechende System fütterst, irgendwann einem vollständigen Scan unterzogen wird.
 
"You have been scroogled" sag ich dazu nur...
 
Kann mir jemand erklären warum die denn bitte auf das System der User zurückgreifen sollten? Sie hosten die Server und haben lt. AGB das recht automatisch zu scannen. Warum sollten die dann auf die Usersysteme zurückgreifen?
Und das IP's vom Hersteller im heimischem Netzwerk auftauchen finde ich jetzt auch nicht so verwunderlich...
 
@Junkfood: nicht auf das System des users sondern auf url`s die intern bei heise gehostet werden...warscheinlich hat heise für die Systeme öffentliche ip`s aber diese lassen sich nur von intern aufrufen bzw von bestimmten aussenstellen mit fixen ip`s (Beispiel)...der zugriff sollte also auf das System der URL stattfinden, nicht auf das clientsystem
 
Ja ja nur der böse Gmail Man liest alles mit, nicht wahr, MS? ;)
 
@algo: Na Moment, hier gehts nicht um den Mailservice, sondern um Instant Messaging, bzw. Videotelefonie. Das ist nochmal n anderer Schnack, da es sich dabei um quasi in Echtzeit geführte Gespräche handelt.
 
@algo: Alle lesen mit! Wenn man sich die AGB der Chat-Anbieter anschaut wird immer gelesen, angefangen von MS, Google, Facebook und Co.
 
@algo: Es geht ja nicht um das Mitlesen als solches. Ohne das wären Dienste wie Spam- und Phishing-Filter gar nicht möglich. Es geht um die Auswertung der Daten. Und da macht es schon einen Unterschied, ob ich in einer Mail schreibe, dass meine Waschmaschine defekt ist und ich plötzlich von Google Waschmaschinenwerbung eingeblendet bekomme oder ob da ein Spamfilter drüber läuft. Ersteres analysiert meine Daten vollständig und zieht Rückschlüsse über mich, letzteres nicht.
 
@algo: hier - was durchaus sein kann - wird eine URL automatisch gescannt um Spammer zu erkennen, bei Google wird bei gmail der mailinhalt ausgewertet um Werbung zu schalten. Das eine sehe ich durchaus noch im Interesse des users...wenn auch manchmal zweifelhaft.
 
@algo: +1. Dachte ich mir auch sofert. Wenngleich man den Marketingmist von MS ohnehin nicht glauben darf. Alle großen Loggen und Werten aus. Wer etwas anderes behauptet lügt ;-)
 
Ich denke, dass Microsoft mit dieser Maßnahme die anständigen User vor den bösartigen Usern schützen möchte.
 
@manja: Du hast die Ironie-Tags vergessen!!!
 
Microsoft sind ja wirklich ein Haufen von Stockis! Anstatt zu sagen wie es wirklich ist (was natürlich bei vielen nicht geglaubt wird, und Verschwörungstheorien bringt), hätten sie doch nur "das ist ein Bug, den ein Mitarbeiter eingebaut hat" sagen müssen. Bei Google und dem WLAN mitschnüffeln hat das doch bei vielen extrem gut funktioniert!
 
@Tintifax: Ich finde es sehr gut, dass MS da mit offenen Karten spielt.
 
@HeadCrash: Shit! Vergessen das Sarkasmus Schild hochzuhalten ;)
 
@Tintifax: Ups... ich bin einfach schon zu müde... :(
 
@HeadCrash: Offene Karten??? Ja ne, ist klar...
 
@Puncher4444: Wieso nicht? Weil sie zugeben, die URLs zu prüfen?
 
@HeadCrash: Sie prüfen sie ja nicht nur, sie surfen sie sogar an. Ich empfehle dir mal den heise Artikel zu lesen, der ist etwas ausführlicher mit mehr Hintergrundinfos. https-Links enthalten oft auch Sitzungsinformationen, können auch Username und Passwort mit beinhalten (wie im heise-Beispiel). Microsoft ruft schließlich den Link samt aller Informationen und die komplette Seite ab, mit allen möglicherweise auch geheimen Daten die sich dahinter verbergen. Das hat nichts mit Spam- und Phishingschutz zu tun. Ehrlich gesagt habe ich auch noch keine https-Seite gesehen, die betrügerisch ist. Warum werden keine http-Links übertragen und "verglichen"???
 
@Puncher4444: Offenbar hast Du den Heise-Artikel nicht gelesen, denn dort wird beschrieben, dass MS einen HEAD-Request gesendet hat. HEAD-Requests weisen einen Server an, den HTTP-Header als Antwort zu senden, nicht aber den Inhalt der sich hinter der URL verbirgt. Sie rufen also lediglich Statusinformationen des Servers ab. Nichts für ungut, aber die von Heise verwendete URL ist der totale Blödsinn. Niemand, und ich wiederhole NIEMAND, würde auf die Idee kommen, Benutzernamen und Passwort als URL Query Strings zu versenden, zumindest nicht, wenn er auch nur Ansatzweise Ahnung von Security hat. Denn diese Daten sind auf JEDEM Hop, also jedem Router, auf dem Weg zum Ziel sichtbar. Und selbst wenn man absoluten Security-Noobs zutrauen könnte, eine solche Authentifizierung durchzuführen, so kann man wohl getrost davon ausgehen, dass so was bei einer mit SSL geschützten Seite, bei der man schon Geld und Aufwand investieren muss, um überhaupt SSL zum Laufen zu bringen, nicht vorkommt. Der Aufruf der HTTPS-Links könnte z.B. dazu dienen, die Korrektheit des verwendeten Zertifikats zu testen. So was geht bei HTTP-Links natürlich nicht, also werden sie nicht aufgerufen. Das ist jetzt nur eine Vermutung, würde aber durchaus Sinn machen.
 
@HeadCrash: Ja, würde vielleicht Sinn machen - sagen sie aber nicht. Verglichen mit der Google-WLAN-Scan-Aktion ist es aber genau das Gleiche. Man KANN davon ausgehen, das wirklich jeder Noob sein WLAN absichert, trotzdem war es illegal und Google wurde dafür, zurecht, bestraft (wenn auch verhältnismäßig witzig...). Gleiches sollte auch hier gelten.
 
@Puncher4444: Nur mit dem Unterschied, dass Google tatsächlich inhaltliche Daten mitgeschnitten hat, was MS laut Heise-Loge nun mal nicht tut. Und mittlerweile würde ich Dir recht geben, was die WLAN-Sicherheit angeht, da standardmäßig jeder Router/Access Point mit vorkonfiguriertem Schlüssel kommt. Aber damals war der Standard größtenteils noch, dass die Geräte ohne aktivierte Security ausgeliefert wurden. Und leider machen sich die Wenigsten über Security wirklich Gedanken.
 
Mir egal, ich habe nichts zu verbergen
 
@dd2ren:

Jeder hat eine dunkle Seite.

Ho Ho Ho
 
Ist bei msn messenger,icq, yahoo messenger, facebook, google usw.. auch so. Also.. wo ist die News?
 
Das ganze Inet ist voll von Spannern. Abschalten.
 
hmmm schreibt einfach von attentat und bomben auf amerika. dann schaut wann das fbi an der tür klingelt;)
 
Das ist nicht Microsoft selbst, sondern NSA.
 
Würde mich nicht wundern, wenn Microsoft in Europa damit große Schwierigkeiten bekommen wird.
 
@Tarantel: wenn microsoft nachweisen kann das es wirklich nur dem spam- und sicherheitsschutz dient und kein mensch die sachen zu gesicht bekommt dann glaub ich ehr nicht. Ich weiss ja nich wie icq den spam bei sich z.b. scannen tut, aber bestimmt auf ähnliche weise
 
Spätestens jetzt würde ich kein Skype mehr benutzen.
Vielleicht kann man diese Zugriffe ja aber auch sperren...
Spam und Sicherheitsschutz bei https Kommunikation?
Und was geht die an, wen ich zuspamme / vom wem ich mit was zugespamt werde?
Für sowas gibt es Melde Buttons..naja
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles