Gefakte Malware

Kaspersky wehrt sich gegen Sabotagevorwürfe

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Zwei ehemalige Kaspersky-Mitarbeiter behaupten, dass sie über Jahre hinweg von Eugene Kaspersky persönlich damit beauftragt worden seien, Wettbewerbsprodukte mit gefälschter Malware zu manipulieren. Kaspersky weist die Anschuldigungen vehement zurück und bezeichnet sie als "BS" (="Bullshit").

Die Vorwürfe wiegen schwer: Gegenüber der Nachrichtenagentur Reuters behaupteten zwei nicht genannte Ex-Mitarbeiter des russischen IT-Security-Anbieters Kaspersky Labs, dass sie auf Anordnung von Eugene Kaspersky persönlich die Security-Software von Wettbewerbern wie AVG, Avast und Microsoft über Jahre hinweg dazu gebracht hätten, Fehlalarme - sogenannte False Positives - auszulösen.

Die Nachrichtenagentur Reuters veröffentlichte am Freitag die Vorwürfe gegen Kaspersky.
Die Nachrichtenagentur Reuters veröffentlichte am Freitag die Vorwürfe gegen Kaspersky.

Indem man die Virenscanner der Konkurrenz per Reverse Engineering analysiert habe, habe man deren Funktionsweise genau nachvollziehen können. Daraufhin sollen die beiden Sicherheitsforscher nach eigenen Angaben vollkommen ungefährliche Dateien um harmlosen Code erweitert haben, der aber von der jeweiligen Software als Malware erkannt werden würde. Diese "Fake-Malware" schickte man schließlich anonym an VirusTotal. Der Webdienst sammelt Informationen über potenzielle neue Schädlinge und verteilt diese sofort an alle ihm angeschlossenen Security-Hersteller und diese wiederum per Update an die Nutzer. Ergebnis: Deren Virenscanner schlugen an, obwohl keinerlei Gefahr bestand.

Als Grund für ihren Auftrag gaben die Ex-Mitarbeiter an, dass Eugene Kaspersky sich darüber geärgert haben soll, dass Wettbewerber seine Software kopierten.

Wahrheitsgehalt eher dürftig

Ob die Vorwürfe den Tatsachen entsprechen, ist überaus fraglich. Eugene Kaspersky reagierte umgehend auf den Reuters-Bericht und machte per Tweet recht deutlich, was er davon hält:

Wenig später folgte auch eine offizielle Stellungnahme der russischen IT-Security-Firma. Darin heißt es, man habe "nie eine geheime Kampagne durchgeführt, die Wettbewerber dazu führen sollte, so genannte False Positives zu erzeugen und dadurch deren Marktposition zu beschädigen." Kaspersky bezeichnet die behaupteten Aktivitäten als "unethisch, unehrlich und illegal" und die Anschuldigungen durch die anonymen Ex-Mitarbeiter als "haltlos und schlichtweg falsch."

Eugene Kaspersky wehrt sich gegen die Vorwürfe - sie seien "schlichtweg falsch".
Eugene Kaspersky wehrt sich gegen die Vorwürfe - sie seien "schlichtweg falsch".
Foto: Kaspersky Lab

Attacken hinlänglich bekannt

Nicht fraglich ist indes, dass es tatsächlich Manipulationen von IT-Security-Software durch "False Positives Attacks" gegeben hat. Dennis Batchelder vom Microsoft Malware Protection Center hatte bereits 2013 in einem öffentlichen Vortrag aufgezeigt, dass vorsätzlich als Malware deklarierte "saubere" Dateien allen Security-Anbietern regelmäßig zu schaffen machten. Symantec hatte diese Art der Attacken damals gründlich untersucht, um ihren Ursprung herauszufinden. Man habe "einige Verdächtige gehabt", Kaspersky sei aber nicht darunter gewesen, erklärte Symantec-Sicherheitsingenieur Liam O‘Murchu einst.

Avast kommentiert: "Entmutigend"

Und was sagen die angeblichen "Opfer" auf Seiten der IT-Security-Anbieter? Ondrej Vlcek, COO von Avast, kommentierte den Reuters-Artikel wie folgt: "Wir können weder bestätigen noch ausschließen, dass Kaspersky für die mutmaßlichen Angriffe verantwortlich ist. Sollte dies wirklich der Fall sein, fänden wir dies sehr bedauerlich und enttäuschend. Jeden Tag versuchen Angreifer, unsere Cloud-basierten Systeme zur Entdeckung von Schadprogrammen zu übertrumpfen - das wird beispielsweise auch in den Archiven von Hacking Team deutlich, die Wikileaks kürzlich veröffentlicht hat. Der Gedanke, dass ein legitimes, etabliertes Unternehmen - und zudem noch einer unserer Wettbewerber - hinter einigen dieser Angriffe stecken soll, ist tatsächlich sehr entmutigend."

CW-Kommentar: Anonyme Quellen sind immer schwierig

Hat Kaspersky die Konkurrenz manipuliert? Die Beweislage ist mehr als dürftig, die angeblichen Ex-Mitarbeiter geben sich nicht zu erkennen und nur Reuters allein ist als Quelle der Geschichte vorhanden. Kaspersky dementiert schnell (was erst einmal nichts heißen muss), die angeblich betroffenen Konkurrenten geben außer Avast auch auf Nachfrage keinen Kommentar ab - das lässt sich so und so interpretieren. Betrachtet man die Länge und den herauszulesenden Rechercheaufwand des Reuters-Artikels - samt Video - komme ich jedoch schon ans Grübeln, ob da nicht doch etwas dran ist.

Simon Hülsbömer, Leitender Redakteur COMPUTERWOCHE
Simon Hülsbömer, Leitender Redakteur COMPUTERWOCHE

Es wird jedoch schwierig bis unmöglich, wirklich belastbare Beweise für die Anschuldigungen zu finden. Wer welche hat, lasse mir diese bitte zukommen, dann sehen wir weiter (per E-Mail über unser Kontaktformular oder per Twitter-Nachricht an @shuelsboemer). Und an Spekulationen beteilige ich mich grundsätzlich nicht. Wenn diese Geschichte aber eines zeigt, dann, dass der schnelle Informations- und Datenaustausch untereinander, für den sich die IT-Security-Branche rühmt, nicht nur positive Seiten hat. VirusTotal ist dazu gedacht, so schnell wie möglich Endnutzer-Systeme vor neuen Schädlingen zu schützen - kann aber anscheinend auch dazu missbraucht werden, falsche Malware als richtige zu verkaufen. Ich hingegen möchte hier nicht dazu beitragen, möglicherweise falsche Gerüchte ohne Beweise als richtige zu verkaufen.