Tausche Sicherheit gegen Datenschutz

Virenscan-Dienste: Vertrauliche Dokumente der Nutzer öffentlich abrufbar

Arztberichte, Arbeitsverträge, Bewerbungen, Unfallgutachten und sogar einen Observierungsbericht der Polizei öffentlich zugänglich im Netz – all das fanden wir auf Virenscan-Plattformen, arglos hochgeladen von Nutzern, die diese Analysedienste nutzten.

Von Ronald Eikenberg

Mail-Anhänge sind nicht erst seit Emotet & Co. brandgefährlich. Und Cyberschurken nutzen jeden Trick, um Sie zum Öffnen des verseuchten Anhangs zu bewegen: überfällige Rechnungen, teure Bestellungen, Paket-Trackinginfos und vieles mehr – alles Fake. Und gefälschte Bewerbungsmails sind schon so mancher Personalabteilung zum Verhängnis geworden.

Da ist die Versuchung groß, die angehängten Dateien vor dem Öffnen nicht nur mit dem eigenen Virenscanner auf Schädlingsbefall zu prüfen, sondern auch mit einem der zahlreichen Malware-Analysedienste im Netz eine zweite Meinung einzuholen. Nach dem Hochladen des Prüflings setzen diese meist gleich mehrere Virenjäger auf ihn an und können ihn in vielen Fällen auch in einer Sandbox öffnen, um sein Verhalten zu überwachen [1].

Die Sache hat allerdings einen Haken: Die Dienste behandeln die hochgeladenen Dateien nicht vertraulich, sondern geben sie sogar explizit weiter. Zu den Abnehmern zählen Sicherheitsforscher und Security-Firmen wie Antivirenhersteller, die auf möglichst frische Schädlingsexemplare angewiesen sind, um ihre Signaturdatenbanken nachzuschärfen. Ausnahmen gibt es, wenn überhaupt, nur für zahlende Kunden.

Daraus machen die Analysedienste kein Geheimnis, der von Google betriebene Multiscandienst VirusTotal wirbt auf seiner Startseite sogar prominent damit: „Analysieren Sie verdächtige Dateien, Domains, IPs und URLs, um Malware und andere Sicherheitsrisiken zu erkennen, und teilen Sie diese automatisch mit der Security-Community.“ Die Analyseberichte können zumeist auch andere Nutzer der Plattformen einsehen.

So auch bei dem von CrowdStike betriebenen Dienst Hybrid Analysis, bei dem wir uns exemplarisch für diesen Artikel umgesehen haben. Dort kann man vor dem Dateiupload zwar abwählen, dass die Datei anderen Mitgliedern und weiteren Dritten zugänglich gemacht wird, die Berichte sind aber immer öffentlich. Darauf macht ein Warnsymbol aufmerksam. Fährt man mit der Maus darüber, erscheint folgender Hinweis, der im Original auf Englisch verfasst wurde: „Alle Berichte werden immer mit der Community geteilt und enthalten Screenshots und extrahierte Zeichenfolgen von der Eingabedatei, ihrer Ausführung und Speicheranalyse.“

Nutzer ignorieren Warnung

In der Datenschutzerklärung mahnt der Betreiber zudem eindringlich, keine Dateien hochzuladen, die personenbezogene Daten enthalten, sofern die betroffenen Personen nicht ausdrücklich zugestimmt haben. Wie Stichproben von c’t zeigen, gibt es jedoch offenbar zahlreiche Nutzer, die die Warnungen geflissentlich ignorieren. Wir durchsuchten die öffentlichen Analyseberichte nach deutschsprachigen Begriffen, von denen wir annahmen, dass sie in Dateinamen von Dokumenten häufig auftauchen.

Schon mit dem ersten Suchbegriff trafen wir direkt ins Schwarze: Über 80 Dateien mit „bewerbung“ im Namen wurden allein in den ersten sieben Wochen des laufenden Jahres bei dem Analysedienst hochgeladen. Die meisten davon hatte der Dienst als harmlos eingestuft. Und das sind genau die potenziell problematischen Fälle: Denn die harmlosen Dateien sind mit hoher Wahrscheinlichkeit echte Dokumente mit echten Daten.

Öffentliche Sandbox-Analyse

In den meisten Fällen hatten die Nutzer beim Upload abgewählt, dass die Datei an andere Nutzer weitergegeben werden darf. Doch das bringt wenig, denn die hochgeladenen Dateien bleiben dennoch auf dem Server des Betreibers liegen. Zwar dürfen andere Nutzer diese nicht herunterladen, es ist jedoch auch nachträglich möglich, eine Sandbox-Analyse der Datei zu starten. Dann öffnet der Dienst die Dateien in einer virtuellen Umgebung mit einer passenden Anwendung; Word-Dokumente mit Microsoft Word, PDF-Dateien mit dem Adobe Acrobat Reader und so weiter.

Anschließend generiert der Dienst einen öffentlich einsehbaren Sandbox-Bericht, der unter anderem Screenshots von der Ausführung enthält, also zum Beispiel von dem in Word geöffneten Dokument. Ein solcher Screenshot ist ebenso brisant wie die Datei selbst, da der Inhalt klar erkennbar ist. Bei einigen Dateien liefert der Dienst sogar Fotos aller Seiten des analysierten Dokuments. Daraus lässt sich die vollständige Datei mühelos rekonstruieren.

Persönliche Daten en masse

Die von uns entdeckten Bewerbungsdateien enthielten alles, was eine gute Bewerbung ausmacht: Neben Namen und Anschriften sahen wir Telefonnummern, Mail-Adressen und detaillierte Informationen über den beruflichen Werdegang zahlreicher Personen. Stichproben zufolge handelt es sich um echte Daten. Ein solches Datenleck kann für den Betroffenen unangenehme Folgen haben, etwa wenn der aktuelle Arbeitgeber auf diese Weise herausfindet, dass sich der Mitarbeiter jüngst bei der Konkurrenz beworben hat.

Doch das war nur die Spitze des Eisbergs. Neben etlichen Bewerbungen und Arbeitsverträgen entdeckten wir auch ein Schreiben, das eine Justizvollzugsanstalt an eine Bewerberin adressiert hatte. Die Empfängerin hat die vorläufige Zusage für die Stelle als Psychologin bekommen. Auch hier sind wieder persönliche Daten enthalten, einschließlich der Privatadresse der Empfängerin. In dem Fall ist wohl davon auszugehen, dass die Bewerberin die Datei und damit ihre persönlichen Daten selbst hochgeladen hat. Ihre eigene und die Sicherheit der JVA könnte sie damit aber trotzdem ernsthaft gefährden, auch Jahre nach dem Upload.

Ein Nutzer hatte offenbar einen Observationsbericht einer Polizei hochgeladen, der die Suche nach einer Person beschreibt, die ihrer Meldepflicht nicht nachgekommen ist. Eine andere Datei dient anscheinend einer sogenannten Zuverlässigkeitsüberprüfung bei einem LKA: Sie enthält Namen und Geburtsdaten dreier Personen sowie deren Geburtsorte. Bei diesem behördlichen Vorgang prüft das LKA mehrere polizeiliche Datenbanken, die etwa Daten zur Gefahrenabwehr enthalten.

Arztberichte und vieles mehr

Wir stießen auch auf hochsensible Informationen aus dem medizinischen Bereich: so etwa den Arztbericht einer jungen Frau, die nach einer versuchten Vergewaltigung bei einem Arzt vorstellig geworden ist. Er enthält unter anderem die persönlichen Daten der Betroffenen, Informationen über Gesundheitszustand und Tathergang und sogar Röntgenaufnahmen. Neben weiteren Unfallberichten stießen wir auch noch auf ein neurologisch-psychiatriches Gutachten und vieles mehr. Solche Dokumente haben im Internet nichts verloren.

In einem weiteren Dokument beantragt ein sauerländischer Unternehmer bei einem Gesundheitsamt in NRW, ein Corona-Testzentrum eröffnen zu dürfen. Er verspricht, täglich die Anzahl der durchgeführten Tests sowie der Positivfälle zu melden. In der gleichen Stadt sollte zum 1. Januar eine Patisserie die Besitzerin wechseln, wie aus hochgeladenen Vertragsunterlagen hervorgeht. Da die neue Inhaberin inzwischen auf der Website des Geschäfts bekannt gegeben wurde, besteht kein Zweifel an der Echtheit des Dokuments.

Auch allerlei Skurrilitäten befinden sich unter den Dokumenten: etwa die Einladung eines pfälzischen CDU-Ortsverbands, der seine Mitglieder zum traditionellen Wildessen lädt. Wer auf Daten aus ist, kann hier immerhin die Kontaktdaten des Vorsitzenden mitnehmen, samt Handynummer und privater Mailadresse.

Leichtsinn schlägt Datenschutz

Die Auflistung der Dokumente mit sensiblen Daten ließe sich beliebig lange fortführen. Doch das ist an dieser Stelle gar nicht nötig, das Ausmaß des Problems dürfte mit den obigen Fällen hinreichend dokumentiert sein. Wer die Dokumente leichtsinnigerweise bei dem Dienst hochgeladen hat, lässt sich aus den Analyseberichten nicht ableiten. Eine naheliegende Theorie wäre, dass es sich häufig um die Adressaten der Dokumente handelt, die vor dem Öffnen der Dateien auf Nummer sicher gehen wollten.

Als wir den Betreiber CrowdStrike mit unseren Funden konfrontierten, zeigte sich dieser nicht überrascht. Das Unternehmen erklärte, was wir schon der Website entnommen hatten: „Einsendungen an Hybrid Analysis werden mit der Community geteilt und sind nicht privat.“ Die Analyseergebnisse seien zudem jederzeit für alle Nutzer verfügbar. Auf unsere Rückfrage erklärte das Unternehmen, dass die Hybrid-Analysis-Infrastruktur in Kalifornien verortet ist. Wer sensible Dokumente bei dem Dienst hochlädt, schickt sie also um die halbe Welt. Dieser Export der Daten in die USA ist noch mal ein Problem für sich.

Löschen lassen

Wer versehentlich problematische Daten bei der öffentlichen Plattform hochgeladen hat oder bedenkliche Dokumente anderer Nutzer entdeckt, kann selbst aktiv werden: „Jeder HA-Benutzer kann die Löschung von Samples und den zugehörigen Berichten aus der HA-Datenbank beantragen, wenn zum Beispiel personenbezogene Daten übermittelt worden sind“, rät CrowdStrike. Den Prozess startet man über den Knopf „Request Report Deletion“, der sich oben rechts auf dem Analysebericht befindet.

Der Betreiber beschreibt Hybrid Analysis als „kostenlose Community-Ressource, die CrowdStrike zum Nutzen der Sicherheitsgemeinschaft und der Endnutzer betreibt.“ Wer verhindern möchte, dass Dateien und Analyseergebnisse geteilt werden, könne zu einem kostenpflichtigen Angebot des Unternehmens greifen: „Für die Analyse vertraulicher Daten in einer privaten Umgebung bietet CrowdStrike im Rahmen des Falcon-X-Angebots verschiedene Lösungen an.“ Für Falcon X betreibt CrowdStrike auch eine europäische Cloud.

Wir haben dem Betreiber unsere Liste mit problematischen Dokumenten zur Verfügung gestellt, woraufhin er die Dateien von der Plattform entfernte. Das ist allerdings ein Tropfen auf den heißen Stein, da wir nur einen Bruchteil der hochgeladenen Dateien überprüft haben. Zukünftig will CrowdStrike seinen Dienst umbauen, damit sich solche Fälle nicht weiter Tag für Tag wiederholen: „Wir arbeiten an Vereinfachungen, die die Website vor allem für Gelegenheitsnutzer leichter verständlich machen.“

Fazit

Wer ist nun schuld an dem Datenschutz-Desaster? Der Betreiber gibt auf seiner Seite an, dass die hochgeladenen Dateien mit der Community geteilt werden und die Analyseberichte öffentlich sind – allerdings etwas versteckt und nur in englischer Sprache. Sicherlich wird es den Nutzern zu leicht gemacht, diese Hinweise zu übersehen und zu ignorieren. Auch die komfortable Suchfunktion, die sämtliche Analyseberichte aller Nutzer durchforstet, macht das Auffinden brisanter Daten leichter als nötig.

Einen großen Teil zu der aktuellen Situation tragen jedoch auch jene Nutzer bei, die sich weder die Hinweise auf der Uploadseite noch die Datenschutzbestimmungen aufmerksam durchlesen, bevor sie sensible Inhalte mit dem fremden Server teilen. Es gilt, das Bewusstsein für den Datenschutz zu schärfen. Es ist so gut wie niemals eine gute Idee, Dateien, deren Inhalt nicht für die Öffentlichkeit bestimmt ist, auf einen fremden Server zu laden – ganz gleich, zu welchem Zweck. Ausnahmen gibt es nur wenige. In den von uns entdeckten Fällen diente die Nutzung der Gratis-Analyse zwar der Sicherheit, der Datenschutz wurde jedoch sträflich vernachlässigt. Wer dabei erwischt wird, muss seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) mit einer hohen Geldbuße rechnen.

Wenn man sie mit Bedacht einsetzt, sind Malware-Analyseplattformen wie Hybrid Analysis oder VirusTotal ein guter Weg, einer verdächtigen Datei mit überschaubarem Aufwand auf die Finger zu schauen. Hochladen sollte man dort jedoch nur Dateien, die keine sensiblen Daten enthalten – insbesondere dann nicht, wenn diese Daten anderen gehören. Unkritisch hingegen sind meist ausführbare Programme, da diese oft ohnehin öffentlich abrufbar sind. Davon ausgenommen sind allerdings Anwendungen, die nur einem ausgewählten Personenkreis zugänglich sein sollen, etwa Programme, die sich noch in der Entwicklung befinden und nur innerhalb des Unternehmens weitergegeben werden dürfen.

Wer auf Nummer sicher gehen möchte, kann mit Cuckoo Sandbox ein ähnliches Analysesystem auf der eigenen Hardware betreiben [2]. Möglicherweise sind auch kostenpflichtige Sandbox-Dienste wie Falcon X für den ein oder anderen interessant, weil hier die Weitergabe beziehungsweise Nichtweitergabe der Daten meist klar geregelt ist. Ein Virenscan mit mehreren Virenjägern ist ebenso mit Desinfec’t möglich, das als Live-Linux auch in einer virtuellen Maschine laufen kann. Viele Virenattacken kann man zudem per Telefon abwehren: indem man zum Hörer greift und den Mailabsender fragt, ob die Mail samt Anhang tatsächlich von ihm stammt. Wer angehängte Word-Dokumente ablehnt, weil da gefährlicher Makrocode drinstecken kann, fragt den Absender einfach nach einer weniger gefährlichen PDF-Datei. (rei@ct.de)