- 2. April 2013 | Volker Scheidemann | Security Blog
„Nach Hause telefonieren“ – wer kennt den Satz nicht aus dem Mund von E.T., dem Außerirdischen, dieser knuddeligen Kreuzung aus der Schildkröte Cassiopeia und Yoda, dem Jedimeister? Was hammer geheult damals, im Kino! Und bei jeder Fernsehwiederholung, auch heute Abend wieder mal. Herrlich!
Im Alter der Kino-Heulsusen von 1981 sind heute wahrscheinlich auch viele Verantwortliche des IT-Sicherheitsherstellers Sophos. Jedenfalls kann man auf den Gedanken kommen, wenn man die folgende Meldung liest.
Zugegeben, die Meldung stand schon Gründonnerstag bei heise, aber – mein Gott! – für mich war auch Ostern! (Diesen Satz bitte lesen mit der entrüsteten Betonung eines Lehrers im Satz „Bitte Ruhe, das ist auch für mich die sechste Stunde!“). Also, was stand nun drin? Laut Informationen von heise security hat Sophos – in Deutschland wohl am bekanntesten dadurch, dass sich Sophos den einstigen deutschen IT-Security-Platzhirsch Utimaco einverleibt hat – in einer E-Mail an Kunden angekündigt, dass sich am heutigen 2.April (Sendetermin von E.T. bei Super-RTL! Ein Zufall? Verschwörungstheoretiker vor!) eine Software auf den Rechnern ihrer Kunden automatisch installiert, welche unbemerkt Daten über Nutzerverhalten und installierte Software der Kunden sammelt und an Sophos übermittelt, eben „nach Hause telefoniert“.
Zugegeben, der Aufbau von Internetverbindungen zu Seiten des Herstellers kann für manche Software sinnvoll sein, beispielsweise zum automatischen Update von Antivirus-Patterns oder Betriebssystempatches. Zweifelhaft oder zumindest ungewöhnlich ist es jedoch dann, wenn dieser Verbindungsaufbau ohne Wissen des Nutzers geschieht. Und ganz seltsam wird es, wenn nicht nur Daten heruntergeladen, sondern auch vom Rechner des Anwenders nach außen verschickt werden. Vor allem, wenn diese Daten dazu taugen, den Nutzer des Rechners zu identifizieren.
Darauf angesprochen zeigte sich der Pressesprecher von Sophos übrigens österlich sprachlos. Sein Name sei Hase, er wisse von nichts.
Natürlich kann man sich gegen unbefugten Verbindungsaufbau von und zum eigenen Rechner oder Netztwerk auch schützen. Gibt ja schließlich Firewalls. Hab ich schon erwähnt, dass Sophos noch ein deutsches Unternehmen gekauft hat? Den Firewallhersteller Astaro.
Honi soit qui mal y pense.
