Sophos lädt ungefragt Datensammler nach
Der Antivirenhersteller will seinen Firmenkunden in Kürze ein "kleines Zusatztool" auf den Rechner laden, das Daten über das Nutzungsverhalten einsammelt und Sophos schickt.
- Ronald Eikenberg
Die auf Firmenkunden ausgerichtete Antivirenfirma Sophos will in Kürze ungefragt ein Tool auf den Rechnern seiner Kunden installieren, das Informationen über Infrastruktur und Nutzungsverhalten einsammelt – und an den Hersteller schickt.
In der heise Security vorliegenden, englischsprachigen E-Mail, die das Unternehmen kürzlich an seine Kunden geschickt hat, kündigt es an, ein "kleines Zusatztool" veröffentlichen zu wollen, "um Daten darüber zu sammeln, welche Produkte die Kunden aktiv mit der Enterprise Console nutzen". Bei der Enterprise Console handelt es sich um die zentrale Management-Konsole der Unternehmenssoftware. Die eingesammelten Daten sollen dabei helfen, die Produktentwicklung zu konzentrieren.
Das "kleine Zusatztool" soll laut der Mail am 2. April automatisch auf den Systemen der Kunden ausgeführt werden. "Das Tool ist komplett lautlos und es wird keine Anzeichen darauf geben, ob es ausgeführt wurde oder nicht", heißt es. "Es wird mehrere HTTP-Requests an Sophos senden, die zu 'Seite nicht gefunden'-Fehlern (404) führen. Sophos kann die übertragenen Daten anhand der Logdateien des Webservers auswerten." Das will das Unternehmen durch speziell formatierte Anfragen erreichen, die nach dem folgenden Schema aufgebaut sind: http://d1.sophosupd.com/[...]/x.xml – wobei für [...] eine Folge von Ordnernamen eingesetzt wird, in die die zu übertragenen Informationen kodiert sind.
Als wir Sophos auf das Tool ansprachen, herrschte zunächst Ratlosigkeit: "Es ist nicht unsere Geschäftspraxis, ungefragt Tools zu installieren, die Daten einsammeln", erklärte der Pressesprecher gegenüber heise Security. Einige Stunden später stellte sich schließlich heraus, dass die Mail echt ist und die Installation des Tools tatsächlich geplant sei – hierzulande allerdings erst am 10. April.
Laut Sophos sammelt es keine sensiblen Daten ein. "Wir wollen besser verstehen, wie der Kunde die Programme nutzt", sagte der Sprecher. Zu den Daten gehören die Anzahl der geschützten Rechner, die Betriebssystemversionen und die Versionen der installierten Sophos-Programme. Laut dem Sprecher sollen zwar keine IP-Adressen geloggt werden, über die Lizenzdaten lassen sich die Informationen jedoch eindeutig einem Kunden zuordnen.
Die Installation erfolge "im Rahmen der Lizenzbedingungen" und – was in der Mail nicht erwähnt wurde – es bestehe die Möglichkeit, der Installation des Tools zu widersprechen. Hierzu muss sich der Nutzer an seinen Sophos-Ansprechpartner wenden. (rei)