Sicherheitslücke bei Skype – ein Risiko für Selbständige?

Skype ist nicht mehr sicher: im September 2017 entdeckt Sicherheitsforscher Stefan Kanthak einen Fehler im Updater des Messaging-Programms. Der Bug erlaubt es Hackern, über den Rechner des Skype-Nutzers Systemrechte zu erschleichen. Microsoft weigert sich allerdings noch immer, den Fehler zu fixen. Warum sich das Unternehmen dagegen entschlossen hat, die Sicherheitslücke zu schließen und was das für Nutzer bedeutet.

Sicherheitslücke bei Skype: Wie sieht sie aus?

Die Sicherheitslücke, vor der Kanthak warnt, hat sich im Updater des Programms versteckt. Typischerweise bekommt ein Skype-Nutzer eingeschränkte Rechte. Durch den Bug werden diese Rechte allerdings bis hin zum Systemrecht ausgeweitet.

Rechteausweitung

Der Begriff „Rechteausweitung“ bezieht sich auf eine Praxis, bei der ein Computerbug, beziehungsweise der Konstruktions- und Konfigurationsfehler einer Software, ausgenutzt wird, um sich Zugriff zu Informationen und Daten zu verschaffen, auf die einfache Nutzer keinen Zugriff haben.

Hacker nutzen diese Sicherheitslücke aus, indem sie lokal auf den Rechner zugreifen und versuchen, eine eigene DLL-Datei in den temporären Ordner zu schieben und mit der Skype-eigenen DLL-Datei zu vertauschen. Skype sucht den Ordner beim Start ab und zieht sich schließlich die Hacker-DLL. Früher war Skype ein eher unattraktives Ziel für Cyberkriminalität, da die begrenzten Nutzerrechte potenzielle Schäden in Grenzen hielten. Aufgrund der Rechteausweitung durch den Bug können Hacker nun aber auf alle Dateien zugreifen, die der Nutzer auf seinem Rechner hat.

Was ist eine DLL-Datei?

  • „DLL“ steht für „Dynamic Link Library“ (= dynamische Programmbibliotheken)
  • DLL-Dateien sind „Träger“ für Code, Daten und/oder Maschinencode
  • Sie können von mehreren Programmen gleichzeitig benutzt werden
  • Sie sollen den Speicherplatzgebrauch von Programmen auf der Festplatte und im Hauptspeicher reduzieren

Sicherheitslücke bei Skype: Die Risiken für Nutzer

Dieser Bug stellt ein weitreichendes Sicherheitsproblem für Skype-Nutzer dar. Einige Risiken für Nutzer sind:

Was die Sicherheitsexperten und Nutzer besonders ärgert, ist Microsofts Weigerung, das Sicherheitsloch zu stopfen. Die lapidare Begründung: Microsoft stecke gerade alle Ressourcen in die Entwicklung eines neuen Skype Clients und habe daher keine Kapazitäten für die Behebung der Sicherheitslücke übrig. Auf den Protest der Nutzer reagierte Microsoft damit, die betroffenen, älteren Versionen der Skype Desktop-Applikation von seiner Website zu löschen. Das führte wiederum zu Ärger unter den Usern, die mit der Funktionalität der neueren Skype-Versionen unzufrieden sind. Eine Lösung des Problems ist also nicht in Sicht. Stattdessen regt Microsoft Nutzer dazu an, das seit Oktober 2017 erhältliche Skype 8 herunterzuladen.

Wer ist von der Skype Sicherheitslücke betroffen?

Tatsächlich ist jeder Nutzer betroffen, der die Skype-Version 7.4 oder älter auf seinem Rechner installiert hat. Besonders gefährlich kann diese Sicherheitslücke für jene werden, die Skype nicht „just for fun“ benutzen, sondern geschäftlich, beispielsweise um remote mit Kollegen, Geschäftspartnern und Kunden zu kommunizieren. Die sichere Übermittlung von Dokumenten und Informationen kann nicht (mehr) gewährleistet werden. Das ist aus mehreren Blickwinkeln beunruhigend, insbesondere wenn es um Kundendaten geht. Nicht nur kann ein Hacker Gespräche mitverfolgen und Geschäftsspionage betreiben, sondern sowohl Sie als auch Ihre Kunden mit den gesammelten Daten erpressen.  

Schutz fürs Business: Updates und die richtige Absicherung

Eine Entwarnung vorneweg: ab Skype Version 8 besteht diese Sicherheitslücke nicht mehr. Wie Program Manager Ellen Kilbourne im Microsoft Forum erklärt, sei nicht das Programm selbst das Problem, sondern der alte Desktop Installer. Deswegen sei Version 8 auch sicher. Wer also den Messanger weiter benutzen will, ist mit der neusten Version auf der sicheren Seite. Eine andere Option ist die Nutzung der Web-Version von Skype anstelle der Desktop-Version – diese kommt nämlich ohne Installation oder Updater aus. Inzwischen wurden die betroffenen Versionen von skype.de entfernt.

Wer beim Thema Hacking auf Nummer sicher gehen möchte, ist mit den Berufshaftpflichtversicherungen über exali.de bestens ausgerüstet. Mit dem Zusatzbaustein „Datenschutz- & Cyber-Eigenschaden-Deckung“ (kurz auch DCD genannt) schützen Sie sich nicht nur vor Schadenersatzforderungen von Dritten, sondern auch Ihr eigenes Business vor den Gefahren der Cyber- und Internetkriminalität. Damit sind Schäden an Ihren eigenen IT-Systemen abgedeckt, wenn Sie beispielsweise Opfer eines Hackerangriffs werden. Die Versicherung begleicht in einem solchen Fall nicht nur den unmittelbaren finanziellen Schaden, sondern übernimmt auch Kosten, um den Geschäftsbetrieb aufrechtzuerhalten, oder für spezialisierte Anwälte und das Krisenmanagement.

 

Weitere interessante Artikel:

© Nataly Mitrovic – exali AG