Süddeutsche Zeitung

IT-Sicherheit:Kaspersky-Virenscanner hilft beim Tracken seiner Nutzer

  • Die Antivirensoftware von Kaspersky hat seine Nutzer offenbar über Jahre anfällig für Tracking durch von ihnen besuchte Webseiten gemacht.
  • Die Kaspersky-Software platzierte im Quelltext der Seiten eine einzigartige ID, mit der Nutzer identifiziert werden konnten.
  • Kaspersky Labs hat die Lücke bestätigt und nach eigenen Angaben mit einem Update im Juni beseitigt.

Von Max Muth

Nutzer der Antivirensoftware Kaspersky waren offenbar jahrelang besonders anfällig für Tracking durch von ihnen besuchte Webseiten. Grund dafür war eine einzigartige ID, die Kaspersky im Quelltext jeder besuchten Seite speicherte. Aufgefallen ist die Sache einem Reporter der Computerzeitschrift c't. Als er bei einem Antiviren-Programm-Test den Quellcode einer Webseite überprüfte, bemerkte einen Verweis auf das Virenschutz-Unternehmen Kaspersky Labs.

Verdächtiger Code

type="text/javascript" src="https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js" charset="UTF-8"

Die Entdeckung erschien vor allem deshalb seltsam, weil die besuchte Webseite überhaupt nichts mit Kaspersky zu tun hatte. Ein Test auf weiteren Internetseiten habe ähnliches offenbart. Die Vermutung des Autors: Der Javascript-Code werde nicht von den besuchten Webseiten erzeugt, sondern von der von ihm zu Testzwecken verwendeten Antivirensoftware. Weitere Recherchen hätten diese Vermutung bestätigt. Der Code gehörte zu einer speziellen Funktion des Virenschutzes. Die Aufgabe des Kaspersky-Codes war es demnach unter anderem, bei Google-Suchen der Nutzer hinter Ergebnissen ein grünes Schutzschild-Symbol anzuzeigen, wenn Kaspersky den Inhalt der Webseiten für unbedenklich hielt.

Virenschutz macht Nutzer anfällig für Tracking

Problematisch ist das, weil die Funktion Webseiten offenbar erlaubt, Nutzer über alle verwendeten Browser hinweg zu verfolgen - und zwar egal, ob sie Cookies zugelassen haben. Die zufällig anmutende Folge aus Buchstaben und Ziffern aus dem Code "9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615" blieb im c't -Test nämlich immer gleich, egal ob Firefox, Chrome oder Safari benutzt wurden. Sogar im Inkognito-Modus der Browser wurde diese Zeichenkombination hinzugefügt. Wurde ein anderer Computer verwendet, wurde eine andere ID eingefügt, aber wiederum die gleiche über alle Browser hinweg.

Die Gefahr einer solchen gleichbleibenden Geräte-ID: Die besuchten Seiten hätten die Informationen speichern und damit ein Profil der Nutzer anlegen können, ob diese das wollen oder nicht. Auch die Nutzung von VPN-Software, die Privatsphäre garantieren soll, indem die IP-Adresse der Nutzer verschleiert wird, hätte das Tracking durch die Kaspersky-ID nicht verhindert. Der Virenschutz, den die Nutzer installieren, um sicherer unterwegs zu sein, hätte damit das Gegenteil erreicht.

Eingeführt wurde das Feature, das sich jetzt als Sicherheitslücke entpuppte, im Herbst 2015. Betroffen waren laut dem c't-Artikel alle Windows-Versionen der Software für Privatkunden. Kaspersky hat die Sicherheitslücke bestätigt, die "Verwendung eindeutiger Identifikatoren" bei der Überprüfung von bösartigen Webseiten sei nach dem Hinweis eingestellt worden, teilte das Unternehmen mit. Das entsprechende Update wurde im Juni verteilt.

Experten uneins über den Nutzen von Antivirus-Software

Kaspersky bezweifelt jedoch, dass die Sicherheitslücke von Cyberkriminellen ausgenutzt wurde. "Im Zuge unserer internen Untersuchung sind wir zu dem Schluss gekommen, dass solche Szenarien den Datenschutz der Nutzer betreffend theoretisch möglich, jedoch aufgrund ihrer Komplexität und geringen Rentabilität für Cyberkriminelle in der Praxis unwahrscheinlich sind", schreibt das Unternehmen auf Anfrage.

Tatsächlich liegen derzeit keine Anhaltspunkte dafür vor. Die Episode liefert allerdings denjenigen Argumente, die Antivirensoftware ohnehin für überflüssigen Schnickschnack halten, der User eher Gefahren aussetzt, als sie davor zu beschützen. Um richtig zu funktionieren, benötigen die Programme weitreichende Privilegien auf den Computern, auf denen sie installiert sind. Das erhöht die mögliche Angriffsfläche. Antivirenprogramme könnten so dazu führen, dass die Nutzer gefährdeter sind, als sie es ohne die Software gewesen wären.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.4566452
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.