Kaspersky soll die Nutzer im Internet eigentlich vor Gefahren absichern. Dazu bietet das Unternehmen Virenscanner und verschiedene Programme, um die Internet Sicherheit zu erhöhen. Das Problem: es wurde eine Sicherheitslücke gefunden, mit denen es Angreifern möglich ist, falsche Zertifikate für eine Domain zu simulieren. Kaspersky schaltet sich faktisch in die Zertifikatsabfrage ein – allerdings nicht so sicher, das keine Manipulation möglich wäre. Statt für mehr Sicherheit sorgt das Unternehmen auf diese Weise für weniger Sicherheit im Internet.
Bei Heise schreibt man zur Funktionsweise:
Die Kaspersky-Software macht es also möglich, dass sich Angreifer ebenfalls als Man-in-the-Middle in die Verbindung einschalten können und so an die verschlüsselten Daten der Nutzer kommen. Der Fehler liegt in der Art, wie Kaspersky Internet Security Teile der Zertifikatskette zwischenspeichert.
Mittlerweile gibt es aber erfreulicherweise Sicherheitsupdates für die meisten Kaspersky-Versionen. Betroffen sind dabei folgende Programme:
- Kaspersky Anti-Virus bis einschließlich 17.0.0.611
- Kaspersky Internet Security bis einschließlich 17.0.0.611
- Microsoft Windows
Das Bundesamt für Sicherheit in der Informationstechnik stuft diese Lücke zwar nur als weniger kritisch (medium) ein, empfiehlt aber trotzdem, so schnell wie möglich ein Update vorzunehmen und den Patch einzuspielen, der die Lücke schließt. Das wird in der Regel über die automatische Aktualisierung der Programme gemacht, nur wer diese deaktiviert hat, muss selbst aktiv werden. Die Behörde schreibt in ihren Empfehlungen:
Aktivieren Sie automatische Updates in Kaspersky Internet Security 2017 und anderen aktuellen Sicherheitsprodukten des Herstellers. Beim Update der Datenbanken werden neben Aktualisierungen für die Viren-Erkennung auch aktuelle Programm-Module und neue Programmversionen heruntergeladen.
Wie fast immer bei Produkten des Unternehmens muss der Rechner neu gestartet werden, damit die Einstellungen übernommen und alle Lücken geschlossen werden.