Sicherheitslücke bei den Sicherheitsexperten: Datenleck bei Kaspersky

C‘t-Reporter entdeckt „nebenbei“ ein fatales Datenleck

Eigentlich wollte c‘t-Reporter Ronald Eikenberg nur herausfinden, wie gut die Anti-Viren-Programme der großen Anbieter sind. Also installierte er im Rahmen seiner Recherche die Software von Kaspersky und nutzte diese mehrere ereignislose Wochen. Erst als er sich beim Surfen den HTML-Code einer Webseite anzeigen ließ, stieß er auf eine Zeile Code, die er nicht erwartet hatte. Eigentlich sollte der Code nur ein externes JavaScript von einer Kaspersky Domain nachladen. Aber eine unzusammenhängende Kombination von Zahlen und Buchstaben in diesem Code machte den Redakteur stutzig.

Heimliches Tracking ohne Grenzen  

Natürlich ging Eikenberg der Sache nach und fand den Code auf jeder einzelnen Webseite, die er besucht hatte. Selbst beim Wechsel auf andere Browser, egal ob Opera, Firefox oder Edge, und auch bei eingeschaltetem Inkognito-Modus folgte ihm der immer gleiche Code. Lediglich beim Wechsel auf ein anderes Gerät, wie ein Mobiltelefon oder einen anderen Rechner, änderte sich die Zeichenfolge. Unerwünschter Nebeneffekt: Über den Code ließ sich jeder User identifizieren und nachverfolgen.

Effektiv erschuf Kaspersky so einen Supertracker und da das Programm den Code direkt in den HTML Code der Webseiten einschleuste, war dieser auch für Dritte zugänglich und ein potenzielles Schlaraffenland für Hacker. Innerhalb einer halben Stunde hatte der c’t-Redakteur eine Seite gebastelt, welche die Codes auslesen und speichern konnte. Er versah die IDs mit den Namen seiner Kollegen und begrüßte diese namentlich sobald sie den Browser öffneten, und zwar egal welchen. Selbst die eifrigsten Cookie-Löscher konnten dieser Art von Tracking nicht entgehen.

Weg mit dem Datenleck!

Niemand möchte sich solch ein mächtiges Tracking-Tool in den falschen Händen vorstellen, also meldete Roland Eikenberg die Sicherheitslücke umgehend an Kaspersky und setzte sich persönlich dafür ein, das Problem zu beseitigen. Seit Juni 2019 verwendet Kaspersky nun den sogenannten „Patch F“, der den individuellen Code bei jedem Nutzer und auf jedem Gerät durch eine allgemeine ID ersetzt.

Optimal ist diese Lösung jedoch nicht. Zwar können Dritte so nicht mehr tracken, wo ein User surft, aber sie können weiterhin auslesen, welche Version der Kaspersky Software er verwendet. Diese Information könnten Cyberkriminelle beispielsweise für Phishing-Versuche verwenden. Wer sich davor schützen möchte, kann die Übermittlung des Skripts in den Einstellungen der Software ausschalten.

Die Anti-Viren-Software als Sicherheitsrisiko

Dass die Anti-Viren-Software zum Sicherheitsrisiko wird, ist schockierend, immerhin soll sie ja gerade die Sicherheit der User erhöhen. Was viele aber nicht wissen: Virenschutzprogramme sind bei Hackern besonders beliebt. Denn kein anderes Programm bietet so einfachen Zugriff auf alle Dateien des Systems und hat gleichzeitig so umfangreiche Rechte wie eine Anti-Viren-Software.

Schneller und einfacher als über den Virenschutz lässt sich Malware kaum verteilen. Deswegen aber auf Virenschutz zu verzichten, ist jedoch auch keine Lösung. Experten empfehlen: Verwenden Sie immer die aktuellste Version Ihrer Software und installieren Sie die Updates, sobald sie verfügbar sind: So werden bekannte Sicherheitslücken beseitigt. Verwenden Sie außerdem starke Passwörter, geben Sie diese nicht weiter und verwenden Sie sie nicht mehrfach.

Auch Mastercard ist nicht ganz dicht

Der Fall zeigt wieder einmal, dass sogar die Security-Experten nicht vor Hackerangriffen und Sicherheitslücken gefeit sind. Auch andere Global Player wie das Kreditkartenunternehmen Mastercard haben damit zu kämpfen. Diesem sind 80.000 hochsensible Kundendaten abhandengekommen. Unbekannte veröffentlichten im Netz eine Liste mit  vollständigen  Kreditkartennummern von Kunden, die am „Priceless Specials“-Programm teilgenommen hatten.

Betroffenen bleibt jetzt nichts anderes übrig als die Aktivitäten ihrer Konten zu überwachen oder ihre Karten direkt sperren zu lassen. Falls auch Sie Inhaber einer Mastercard sind, können Sie mit dem Identity Leak Checker des Hasso-Plattner-Instituts überprüfen, ob Ihre Daten betroffen sind.

Eine Sicherheitslücke kann das Business gefährden

Derzeit vergeht kaum eine Woche, in der nicht eine neue Sicherheitslücke bekannt wird. Ob Apple, Microsoft oder Kaspersky: Kein Unternehmen scheint sich davor schützen zu können. Lediglich mit den finanziellen Folgen kommen Großkonzerne besser klar.

Für kleinere und mittlere Unternehmen kann eine Sicherheitslücke existenzgefährdend sein. Gehen Kundendaten verloren, drohen hohe Schadenersatzforderungen der Betroffenen. Hinzu kommt der Imageschaden, mit dem sicher auch Kaspersky zu kämpfen haben wird. Denn das Vertrauen vieler Kunden in die Internet Security Experten dürfte erst einmal erschüttert sein. Und auch Datenschützer kennen bei Verlust von Kundendaten keine Gnade. Es drohen hohe DSGVO-Bußgelder!

Deshalb sollten Unternehmen neben den Maßnahmen zur IT-Security auch auf eine gute Absicherung setzen. Diese Grafik zeigt, was eine Berufshaftpflicht beispielsweise im Fall eines Datenverlusts unternimmt:

Bei Sicherheitslücken und Datenpannen: Eine Berufshaftpflichtversicherung hilft

Bei exali.de gibt es drei Möglichkeiten, sich bei Cyberattacken und deren Folgen (zum Beispiel Sicherheitslücken und Datenverlust) abzusichern:

• Jede Berufshaftpflichtversicherungen über exali.de bietet Versicherungsschutz für Daten- und Cyberschäden, die durch Ihren Fehler bei anderen entstehen (zum Beispiel wenn ein Hacker Kundendaten entwendet).
• Der Zusatzbaustein „Datenschutz- & Cyber-Eigenschaden-Deckung“ erweitert die Berufshaftpflichtversicherungen über exali.de. So wird auch Ihr eigenes Unternehmen bei Cybercrime-Attacken geschützt (Kosten für Wiederherstellung von Daten und IT-Forensiker werden von der Versicherung übernommen).
• Wünschen Sie sich eine individuelle Lösung für Cyber-Risiken? Die Cyber-Versicherung gibt es auch als „Stand-alone-Lösung“ mit verschiedenen Modulen, die Sie ganz nach Ihren Bedürfnissen gestalten können.

Ihre Berufshaftpflicht können Sie ganz einfach online abschließen. Fragen? Dann wenden Sie sich an unsere Versicherungsexperten, die Sie gerne zu Ihrem besten Versicherungsschutz beraten.

© Kathrin Bayer – exali AG