Update: Antiviren-Programme gefährden sichere HTTPS-Verbindungen

Antiviren-Programme überwachen verschlüsselte HTTPS-Verbindungen und verursachen dabei Sicherheitsprobleme. Betroffen sind unter anderem Produkte von Bitdefender, Kaspersky oder Avast.

von Luca Perler 10.02.2017 10:48. Letztes Update, 13.02.2017 14:34

Erst kürzlich warnte der ehemalige Firefox-Entwickler Robert O’Callahan in einem Blog-Beitrag vor Antiviren-Software, die sich tief in die Systeme einnistet und eher Schaden anrichtet als Schutz bietet. Ein Forscherteam fand nun heraus, dass Antiviren-Programme und Firmen-Proxies oft TLS-Verschlüsselungen unterbrechen und dabei deren Sicherheit reduzieren, wenn diese Inhalte von Webseiten auf Schadsoftware untersuchen.

Wie «heise.de» in einem Bericht schreibt, zeigten die Untersuchungen der Forscher, dass sich 13 von 29 untersuchten Antiviren-Programme in die verschlüsselten TLS-Verbindungen einklinken. Beinahe alle verschlechterten dabei die Sicherheit der Verbindung, oft konnten sogar massive Sicherheitsprobleme nachgewiesen werden. Software von Avast, Bitdefender, Bullguard, Dr. Web, Eset, und Kaspersky liessen sogar direkte Angriffe auf die sicheren Verbindungen zu.

Security-Anwendungen zur Inspektion von TLS-Verbindungen schnitten in der Studie ähnlich ab – 11 von 12 Produkten schwächten die Verbindungs-Sicherheit ab, unter anderem, weil einige von ihnen noch den veralteten Kryptostandard RC4 nutzen. Auch die Anzahl der überwachten Verbindungen fiel insgesamt massiv höher aus, als die Forscher vorgängig erwarteten.

Rund acht Milliarden TLS-Verbindungen beim Firefox-Update-Dienst, bei mehreren beliebten E-Commerce-Seiten und bei Cloudflare untersuchten die Forscher.

Ermahnung an Hersteller

In ihrer Publikation schreiben die Forscher, dass die Problematik in der Security-Branche durchaus bekannt ist, aber grösstenteils ignoriert und unterschätzt wird. Sie fordern gleichzeitig die Hersteller von Antiviren-Software auf, ihre Sicherheitsvorkehrungen anzupassen.

Update 13.02.2017:

Mittlerweile hat sich G Data zu den Ergebnissen der Studie geäussert. Die G Data-Sicherheitsexperten Ralf Benzmüller und Tim Berghoff schreiben in einem Blog-Beitrag, dass sich die Produkte von G Data fälschlicherweise auf der Liste wiederfinden. Der deutsche Software-Hersteller habe die Forschungsdaten geprüft und festgestellt, dass «den Forschern ein Fehler unterlaufen ist und G Data nicht in den HTTPS-Verkehr eingreift». In Bezug auf die Prüfung verschlüsselter Inhalte, befänden sich Sicherheitshersteller in einem Dilemma. Daten mit einer Ende-zu-Ende-Verschlüsselung könnten nur auf Schadsoftware überprüft werden, wenn die Verschlüsselung aufgebrochen werde. «Wir haben uns deshalb bewusst dafür entschieden, HTTPS-Verkehr unangetastet zu lassen», schreiben Benzmüller und Berghoff weiter. 

Nick Sullivan, einer der Verfasser der Studie, räumte unterdessen via Twitter ein, dass dem Forschungsteam ein Fehler unterlaufen sei und eine angepasste Studie publiziert werde.

12 professionelle Virenscanner für Windows 10