Telefonieren übers Internet: Wie sicher ist Skype wirklich?

ZDNet: Was ist Ihre Aufgabe als Chief Security Officer von Skype?

Sauer: Ich bin vor drei Jahren zu Skype gekommen. Vorher war ich bei Sun Microsystems, wo ich mich mit Peer-to-Peer-Authentifizierung befasst habe. Meine erste Aufgabe war es, die Kryptografiefunktionen der damaligen Version des Skype-Clients zu überprüfen. Inzwischen bin ich für die gesamte Sicherheitsarchitektur der Skype-Produktfamilie verantwortlich. In diesem Rahmen befasse ich mich inzwischen auch mit Incident Response bei Sicherheitslücken. Und seit der Übernahme durch Ebay kümmere ich mich auch um die mit Sarbanes-Oxley verbundenen Sicherheitsaspekte.

ZDNet: In welchem Umfang beschäftigen Sie sich mit Sicherheitslücken im Skype-Client?

Sauer: Es gibt mehrere Teams, die sich mit dem Großteil der technischen Aspekte befassen. Fragen zur Sicherheit der Architektur und zu künftigen Funktionen des Produkts nehmen ungefähr die Hälfte meiner Zeit in Anspruch. In der anderen Hälfte beschäftige ich mich mit Fragen, die mit der Einhaltung gesetzlicher Vorschriften in Bezug stehen.

ZDNet: Konnten Sie bereits die Ausnutzung von Sicherheitslücken des Skype-Client beobachten? Sind Skype-Benutzer schon einmal Opfer von Attacken geworden?

Sauer: Bislang kennen wir noch keine Exploits von Skype-Sicherheitslücken. Sicherheitslücken teilen sich in unterschiedliche Kategorien auf. Wir konnten wir noch keine Angriffsflächen in Skype-Produkten ausfindig machen, die Würmern oder Viren die Möglichkeit zur Vervielfältigung bieten würden. Stattdessen waren es immer nur vereinzelte Probleme, welche die Funktionsfähigkeit von Skype beeinträchtigten.