Ein Sicherheitsmagazin hat auffälligen Datenverkehr von Microsofts Servern festgestellt. Microsoft beteuert, dass es sich um Spam-Vermeidung handelt.
"Wer Skype nutzt, hat damit auch sein Einverständnis erklärt, dass die Firma alles mitlesen darf." Mit diesem dramatischen Satz beginnt ein Artikel von Heise Security, der dem von Microsoft übernommenen Internet-Kommunikationsdienst vorwirft, die privaten Nachrichten seiner Nutzer auszuspionieren. Grund für den Vorwurf: Per Skype-Chat verschickte URLs werden offenbar von Microsofts Servern gescannt. Mehrere Testläufe von Heise belegen, dass die geschickten URLs "Besuch aus Redmond" erhalten haben.
Skype scannt URLs für Spam-Vermeidung
Aber ist das ein Beweis dafür, dass alle Skype-Nachrichten mitgelesen werden? Skype verweist auf die Datenschutzrichtlinien. Darin heißt es unter Punkt 8:
"Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden."
Demnach sollen Links gescannt werden, um Verweise auf Spam- oder Phishing-Seiten rauszufilten. Heise lässt die Erklärung nicht gelten, da die Datenabfrage nur bei https-Adressen geschieht. Die "eher betroffenen http-URLs" würden nicht gescannt werden. Heise schließt daraus, dass Microsoft "alle übertragenen Daten quasi nach Belieben nutzt".
"Dürftige" Beweise für Spionage
Etwas differenzierter sieht man die Sache bei ZDNet. Die Beweise von Heise seien "dürftig", schreibt Autor Ed Bott. Die von dem deutschen Dienst aufgezeichnete Adresse, von der die Test-URLs Besuch erhalten hatten, sei aller Wahrscheinlichkeit nach Teil von Microsofts SmartScreen-Sicherheitssystem. Dieses soll verdächtige URLs erkennen und so Nutzer des Internet Explorer gegebenenfalls warnen.
Bott schreibt auch, dass die Methode, mit der der Microsoft-Server auf die per Skype verschickten URLs zugreift (HEAD statt des üblicheren GET), nicht das Lesen von Inhalten der aufgerufenen Seiten gestattet, anders als es der Heise-Artikel suggeriert. Die SmartScreen-Infrastruktur versuche nur herauszufinden, ob ein verschickter Link zu einer legitimen Quelle führe. "Ihr könnt die Alufolien-Hüte wegtun", schließt Bott seinen Artikel ab.
Abfrage für genau den Zweck erfunden
Auch Virusbulletin sieht in Skypes Verhalten kein Problem. Viele bösartige Links würden sich als brave Varianten ausgeben und erst nach Aufruf auf die schädliche Website weiterleiten. Genau dafür sei die von Microsoft genutzte HEAD-Abfrage gemacht worden.
Der Artikel gibt aber zu, dass selbst das Abfragen einer URL die Privatsphäre verletzen könnte. Das ist etwa der Fall, wenn Login-Daten in die URL integriert sind. Allerdings sollte man dann generell vermeiden, diese Adresse in die weiten Welten des Web hinauszuposaunen.
(db)