Nur weil man weiß, wie mit Sicherheitsproblemen anderer zu verfahren ist, heißt das noch nicht, dass man die Sicherheit der eigenen Software im Griff hat. Diese Erkenntnis musste in den vergangenen Jahren schon so mancher Sicherheitsdienstleister akzeptieren, etwa wenn sich einmal jemand näher ihre diversen Antivirenprodukte angesehen hat. So grob daneben wie jetzt eine der Größen der Branche greift dabei aber nur selten jemand.

Haar, gesträubt

Der Passwort-Manager von Kaspersky wies jahrelang geradezu haarsträubende Sicherheitsdefizite auf. Das Ergebnis: Damit bis Ende 2019 generierte Passwörter lassen sich innerhalb weniger Minuten erraten. Der Grund dafür: Die Entwickler von Kaspersky dürften beim Einführungskurs "Zufallszahlen" geschlafen haben.

Generell funktionieren solche Apps so, dass sie einen sogenannten Pseudozufallszahlengenerator (PRNG) verwenden, auf dessen Basis dann die eigentliche Passphrase errechnet wird. Die Sicherheit dieses Systems steht und fällt insofern damit, wie gut – oder eben: zufällig – die vom PRNG gelieferten Ausgangswerte sind. Bei Kaspersky ist man an dieses Thema aber ziemlich unbekümmert herangegangen: Statt eines echten PRNG wurde einfach die aktuelle Uhrzeit in Sekunden als Ausgangsbasis verwendet.

Das Ergebnis: Zu einem gewissen Zeitpunkt wird nicht nur immer das gleiche Passwort erstellt, es kann auch leicht nachvollzogen werden. Zudem ist das Ergebnis dermaßen wenig zufällig, dass sich einfach alle möglichen Passwörter berechnen und durchprobieren lassen. Das geht automatisiert eben innerhalb weniger Minuten – selbst wenn man den Zeitraum nur sehr grob auf das Lebensalter der Software beschränkt.

Verzögerungstaktik

Kritik muss sich Kaspersky aber auch für den Umgang mit dem Problem gefallen lassen. Denn laut jenen Sicherheitsforschern, die den Fehler gefunden haben, wurde das Unternehmen schon Mitte 2019 informiert. Ein Update mit einer verbesserten Passwortfunktion folgte dann wenige Monate später. Erst im Oktober 2020 – also mit eineinhalb Jahren Zeitabstand – gab es dann aber eine neue Version, die die Erneuerung der schwachen Passwörter erzwang. Es dauerte schlussendlich bis April 2021, bis die Lücke – allerdings sehr vage gehalten – in einem Security Advisory auftauchte. Die volle Tragweite des Problems kommt nun erst mit mehr als zwei Jahren Verzögerung ans Licht.

Der Vorfall wirft insofern gleich in mehrerlei Hinsicht ein negatives Bild auf Kaspersky. Einerseits ist die ursprünglich gewählte Form der Zufallszahlenerstellung geradezu ein Lehrbuchbeispiel dafür, wie man es nicht macht. Andererseits ist der Fehler dermaßen trivial, dass er leicht auch anderen hätte auffallen können. Insofern darf der gesamte Zeitablauf getrost als geradezu fahrlässig angesehen werden. (apo, 8.7.2021)