Skype liest mit: Sicherheits-Skandal oder Effekthascherei?

Skype steht mal wieder unter Spionageverdacht: Heise hat festgestellt, dass Links, die sich zwei Personen im Chat gegenseitig zugeschickt haben, kurz darauf von Microsoft-Servern aufgerufen wurden. Daraus wurde flugs die Schlagzeile ‚Vorsicht beim Skypen – Microsoft liest mit‚ gebaut. Muss man nun also genau aufpassen, wem man was schreibt, weil in einem Redmonder Großraumbüro viele Leute sitzen, die den ganzen Tag nichts anderes tun als Skype-Nachrichten mitzulesen, wie heise das in der Überschrift unterstellt?

Grundsätzlich erlauben dass die Nutzungsbedingungen sogar, die jeder Skype-Nutzer (selbstverständlich ohne sie zu lesen) anerkannt hat. Solche und ähnliche Passagen finden sich quasi bei jedem Messenger-Dienst. Aber lassen wir das mal beiseite und werfen einen Blick auf das, was heise herausgefunden hat (bzw. nicht herausgefunden hat, sie haben eigentlich nur den Hinweis eines Lesers überprüft, dem der verdächtige Zugriff aufgefallen war):

Eine über den Skype-Chat verschickte URL wurde ein paar Stunden später von einem Server aufgerufen, der offensichtlich von Microsoft kontrolliert wird. Auf Nachfrage teilte Microsoft mit, dass man gelegentlich diese verschickten URLs scannt, um so Phishing- und anderen bösen Seiten auf die Spur zu kommen.

Heise hält diese Erklärung für unglaubwürdig – um das zu prüfen, müsste Microsoft nach deren Meinung diese Seiten mit dem HTTP-Befehl „Get“ komplett scannen. Stattdessen fragt der Microsoft-Server mit dem Befehl „Head“ nur die Kopfdaten der entsprechenden URL ab. Das ist genau die Arbeitsweise des SmartScreen-Filters, der zum Beispiel auch im Internet Explorer zum Einsatz kommt. Mit dieser Überprüfungsmethode wird nicht die Seite selbst auf illegale Inhalte und Links durchsucht, sondern es werden lediglich die Kopfdaten abgefragt und es wird geprüft, ob die entsprechende URL oder die zugehörige IP-Adresse bereits durch bösartige Aktivitäten auffällig geworden ist.
Ed Bott hat sich mit der Thematik ebenfalls befasst und geht in einem Beitrag ausführlicher darauf ein.

Heise wundert sich weiter, warum in dem Test nur https-Links geprüft wurden, die üblicherweise sicher sind, die potenziell gefährlicheren http-Links aber unangetastet blieben. Diese Frage kann ich nicht beantworten – eine mögliche Erklärung könnte sein, dass es sich um derart populäre URLs handelte, dass es seitens der SmartScreen-Server keine Veranlassung gab, diese zu untersuchen. Ist aber nur eine Vermutung.

Unter dem Strich steht für mich dennoch fest, dass die Spionagevorwürfe auf ziemlich dünnem Eis stehen. Dass dem Artikel in Überschrift und Formulierung mit einem ordentlichen Schuss Sensationspfeffer noch die nötige Schärfe verliehen wurde, lässt es nicht unbedingt seriös wirken.

Mein Mitleid mit Microsoft aufgrund dieser sensationsheischenden Darstellung hält sich dennoch in Grenzen. Dem selben Stilmittel bedienen sie sich nämlich bei ihrer ‚Scroogled-Kampagne‘, in der sie Google unterschwellig vorwerfen, die Mails seiner Kunden zu lesen, um angepasste Werbung einzublenden – was auch nichts weiter als ein technischer Vorgang ist. Wer unsachlich austeilt, muss auch unsachlich einstecken können.

Es geht hier aber auch nicht darum, irgendwas rosa einzufärben oder Skype als über jeden Verdacht erhaben zu erklären – man sollte halt einfach nur ein bisschen sachlicher mit solchen Themen umgehen.

Wer mehr auf die einfache Nummer steht, dem kann ich auch helfen:

Ist es technisch grundsätzlich möglich, dass jemand bei Skype meine Chatnachrichten liest?
Die Antwortet lautet Ja.

Ist es technisch grundsätzlich möglich, dass jemand bei WhatsApp meine Nachrichten liest?
Die Antwortet lautet Ja.

Ist es technisch grundsätzlich möglich, dass jemand bei meinem Mobilfunkprovider meine SMS liest?
Die Antwortet lautet Ja.

Ist es technisch grundsätzlich möglich, dass jemand bei meine Nachrichten liest, die ich über diesen Dienst verschicke?
Die Antwortet lautet Ja.

Sucht Euch die sicherste Alternative aus…