Zwei Ex-Mitarbeiter des Antiviren-Herstellers Kaspersky beschuldigen ihren ehemaligen Chef, er habe sie damit beauftragt, Konkurrenzprodukte zu sabotieren.
Zwei ehemalige Mitarbeiter des Antiviren-Herstellers Kaspersky beschuldigen den Firmenchef persönlich. In einem Bericht der amerikanischen Nachrichtenagentur Reuters werden die beiden namentlich nicht genannten Personen zitiert. Demnach habe Kaspersky einige Mitarbeiter damit beauftragt, Konkurrenzprodukte zu sabotieren. Konkret hätten sie den Auftrag bekommen, indirekt Produkte anderer AV-Hersteller so zu manipulieren, dass sie bei harmlosen Dateien Probleme melden, also Fehlalarme hervorrufen – die sogenannten False-Positive-Fälle. Aktionen dieser Art soll es über 10 Jahre gegeben haben.
Die beiden Ex-Kaspersky-Mitarbeiter sagten gegenüber der Nachrichtenagentur, dass sie einem kleinen Kreis von Kollegen angehört hätten, der immer wieder solche Sabotage-Aufträge erhielt; die restlichen Mitarbeiter seien nicht eingeweiht gewesen. Ihr Chef habe die Manipulationen verlangt, da er verärgert über die Arbeitsweise der Konkurrenz gewesen sei. Statt eigene Verfahren zu entwickeln, würden die Mitbewerber nur Kaspersky-Produkte kopieren - so soll sich der Firmengründer geäußert haben. Mit den Manipulationen sollten laut Reuters-Bericht vor allem Microsoft, AVG and Avast geschädigt werden, aber auch weitere Antiviren-Hersteller. Anerkannter Experte
Jewgeni – oder englisch: Eugene – Kasperski ist weltweit als Experte für Computersicherheit anerkannt. Er leitet die 1997 gegründete IT-Sicherheitsfirma Kaspersky Lab und gilt als ebenso versiert wie exzentrisch. Die nun erhobenen Vorwürfe dementierte er laut Reuters mit den Worten "Unser Unternehmen hat nie irgendwelche geheimen Kampagnen durchgeführt, die bei Mitbewerbern zu falsch-positiven Ergebnissen geführt hätten, um ihre Position am Markt zu schwächen. Aktionen dieser Art sind unethisch, unehrlich und ob sie legal sind, muss zumindest in Frage gestellt werden." Bisher gibt es lediglich den Reuters-Bericht als Quelle für den Vorwurf. Alle anderen Medienberichte zum Thema beziehen sich auf diesen Online-Artikel. Die beiden zitierten Ex-Kaspersky-Mitarbeiter wollten darin nicht mit vollem Namen genannt werden, sondern anonym bleiben. Außerdem heißt es in dem Bericht, Reuters habe Microsoft, AVG and Avast kontaktiert, aber keines der drei Unternehmen wollte zu den Vorwürfen Stellung nehmen. Technisch machbar
Neue Schädlinge tauchen im Sekundentakt auf. Um schnell reagieren zu können, müssen die AV-Hersteller ihre Signaturen daher automatisiert erstellen. Das lässt sich ausnutzen: Ein Saboteur kann eine bestehende, harmlose Datei – beispielsweise einen Treiber – verwenden, diese mit einer Schadfunktion infizieren und dann bei einem Dienst wie Virustotal hochladen. Dienste dieser Art geben die Dateien an die AV-Hersteller weiter. Dort wird in speziellen Monitoring-Systemen automatisiert festgestellt, dass die Datei tatsächlich etwas Böses tut.
Daraufhin schicken die Systeme der AV-Hersteller die Datei durch ihre Signatur-Erstellungs-Maschinerie. Wenn es dabei so läuft, wie vom Saboteur geplant, erstellt das System eine Signatur, die nicht nur auf den nachträglich hinzugefügten, tatsächlich bösen Abschnitt anspricht, sondern auch auf die harmlose Original-Datei. Nach dem nächsten Signatur-Update werden alle Nutzer der sabotierten AV-Software einen Fehlalarm bekommen, sobald sie die harmlose Datei ausführen. Bekanntes Problem
In der Vergangenheit haben AV-Hersteller tatsächlich wiederholt Manipulationen der beschriebenen Art festgestellt. Bereits 2013 hatte etwa Dennis Batchelder vom Microsoft Malware Protection Center einen Vortrag dazu gehalten, dass und wie solche Angriffe stattfinden. Sie treffen alle AV-Firmen, die Quellen sind unbekannt – werden aber allgemein im Bereich der Viren-Autoren vermutet, die versuchen, besser zu verstehen, wie AV-Software-Erkennung funktioniert. Eugene Kaspersky teilte nach den Vorwürfen auch einen Tweet von Liam O'Murchu, einem Sicherheitsingenieur des AV-Herstellers Symantec. Darin steht: "Wir hatten uns mit diesen Attacken beschäftigt, konnten aber nicht herausfinden, wer dahinter stand. Wir hatten einige Verdächtige, Kaspersky gehörte nicht dazu."