Statement zum Datenleck in Kaspersky Internet Security 2019

Statement zum Datenleck in Kaspersky Internet Security 2019

Wir sind seit Jahren zufriedener und stolzer Gold Partner von Kaspersky und können dank unterschiedlichster Lösungen die idealen Sicherheitskonzepte für unsere Partner und Kunden zur Verfügung stellen. Ein Artikel in der Zeitschrift c’t berichtete kürzlich von einem Sicherheitsleck, bei welchem Kaspersky-Consumer-Produkte beim Besuch von Webseiten eindeutige Identifikatoren in Skripten verwendeten, die potentiell zur Identifizierung der Anwender hätten verwandt werden können. Diese Schwachstelle (registriert als CVE-2019-8286) betraf Kaspersky Internet Security 2019, Kaspersky Total Security 2019, Kaspersky Anti-Virus 2019, Kaspersky Small Office Security 6 und Kaspersky Free Antivirus 2019 sowie frühere Versionen dieser Software. Kaspersky hat dazu eine Stellungnahme veröffentlicht.

 

 

Problem erkannt – Problem gebannt

Kaspersky teilte mit, nach dem Hinweis des Journalisten Ronald Eikenberg auf die Veröffentlichung des Berichtes, das Problem umgehend behoben zu haben, indem am 7. Juni 2019 ein entsprechender Patch für alle betroffenen Produkte veröffentlicht und automatisch ausgeliefert wurde.

 

Um potenziell schädliche Skripte auf Webseiten zu erkennen bevor sie ausgeführt werden, injizieren Kaspersky-Produkte einen Javascript-Code in die Seite. Diese Funktion ist nicht nur Kaspersky-Produkten eigen: so funktionieren Web-Antivirenprogramme allgemein. In diesem Javascript-Code gab es bisher einen eindeutigen Identifikator für jeden Nutzer. Das wurde nach Angaben von Kaspersky geändert: Alle oben genannten, aktualisierten Kaspersky-Produkte bieten nun allen Anwendern den gleichen Satz an Identifikatoren, die nur den Typ des verwendeten Produkts preisgeben; damit sind sie keiner bestimmten Person mehr zuordenbar.

 

 

Völlig Kontrolle durch Abschaltung des JavaScript-Code

Anwender, die den Javascript-Code in der Kaspersky-Software deaktivieren möchten (und dadurch ein verringertes Schutzniveau in Kauf nehmen wollen), können im Hauptfenster der Produkte auf das Zahnradsymbol für Einstellungen klicken, dann auf „Erweitert/Netzwerk“. Hier kann unter „Verarbeitung des Datenverkehrs“ die Option „Skript für die Interaktion mit Webseiten in den Datenverkehr einbinden“ deaktiviert werden.

 

 

Kaspersky überzeugt mit Transparenz

Wer noch mehr über die aufgetretene Problematik und die Behebung des Fehlers erfahren möchte, dem sei der Blogeintrag im Kaspersky Blog ans Herz gelegt. Hier gibt unser Partner einen tiefen Einblick in die Thematik und legt Probleme und Lösungsansätze vor. Einmal mehr beweist uns eine solche Offenheit, dass wir mit Stolz und bestem Gewissen unseren Kunden das Produktportfolio des Anti-Virus-Giganten empfehlen und einrichten können.