Das chinesische Unternehmen Lenovo ist als der größte PC-Hersteller der Welt bekannt geworden. Jetzt wird es auch als die Computerfirma berühmt, die möglicherweise die schlimmste Verletzung der Privatsphäre und Sicherheit ihrer eigenen Kunden begangen hat.
Halten Sie das für eine Übertreibung? Der Sicherheitsexperte Marc Rogers nennt das Vorgehen von Lenovo „unglaublich ignorant und rücksichtslos“ und „möglicherweise das Schlimmste, was ich je gesehen habe, was ein Hersteller seinen Kunden angetan hat.“
Robert Graham von Errata Security berichtet, dass die Software, die Lenovo auf seinen PCs vorinstalliert hat, diese „offen für Hacker oder Spione im Stil der NSA macht. Sie kann zum Beispiel Ihre privaten Bankverbindungen ausspionieren.“ Auf Slate.com empfiehlt der Software-Experte David Auerbach den Besitzern betroffener Lenovo-Laptops, „nichts Geringeres zu tun, als den gesamten Rechner zu löschen und ein reines Windows zu installieren – nicht das Windows von Lenovo. Dann ändern Sie alle Ihre Passwörter.“
Betroffen ist ein Programm der Firma Superfish, das Lenovo ab September auf seinen Consumer-Laptops vorinstalliert hat. Die ThinkPad-Linie von Business-Laptops, die Lenovo 2005 von IBM gekauft hat, als das Unternehmen seinen Marktanteil im PC-Bereich zu erhöhen begann, ist nicht betroffen.
Das Superfish-Programm wird korrekt als „Adware“ oder sogar „Malware“ bezeichnet. Es kapert effektiv die Websuchen der Benutzer, um Anzeigen von seinen eigenen Werbepartnern einzuschleusen; ein Benutzer, der zum Beispiel nach einem Produkt sucht, das er kaufen möchte, sieht plötzlich Anzeigen für ein ähnliches Produkt, das von Superfish beworben wird. Lenovo stellt dies als großen Segen für seine PC-Besitzer dar, um „Kunden bei der Suche nach ähnlichen Produkten zu unterstützen.“
Aber wie Sicherheitsexperten schon vor Monaten erkannten, zerstört die Methode von Superfish die Sicherheitsvorkehrungen des Computers durch einen so genannten „Man-in-the-Middle“-Angriff. (Einer der ersten, der Alarm schlug, war ein Google-Ingenieur, der bemerkte, dass die Seite seines Bank of America-Kontos auf seinem neuen Lenovo-Laptop gestört wurde.)
Wie Rogers auflistet, überwacht das Programm „Benutzeraktivitäten. Sammelt persönliche Informationen und lädt sie auf seine Server hoch. Schleust Werbung in legitime Seiten ein. Zeigt Popups mit Werbesoftware an. Verwendet Man-in-the-Middle-Angriffstechniken, um sichere Verbindungen zu knacken.“
Teil des Problems ist, dass die Software ein leicht zu knackendes internes Passwort verwendet, das es Hackern ermöglicht, in den Computer einzudringen – und es ist das gleiche Passwort für alle betroffenen Computer. (Falls Sie sich wundern, es ist „komodia“.) Wie Graham beobachtete, „kann ich die verschlüsselte Kommunikation von SuperFishs Opfern (Leute mit Lenovo-Laptops) abfangen, während ich in der Nähe von ihnen an einem W-Lan-Hotspot in einem Café abhänge.“
Es ist kein großes Geheimnis, warum Lenovo dies getan hat. Wie andere PC-Hersteller es mit anderen Partnern tun, schloss das Unternehmen einen Deal mit Superfish, einer Software-Firma von Drittanbietern, um deren Programm in neue Computer einzubauen. Normalerweise „akzeptieren“ unvorsichtige PC-Käufer die Software, wenn sie ihre neuen Laptops zum ersten Mal öffnen, indem sie auf eine Reihe von Lizenzvereinbarungen klicken, fast immer ohne sie zu lesen. Ohne ihr Wissen gräbt sich die Software in ihr System und ihr Leben ein. Wer profitiert davon? Lenovo bekommt eine Provision, und Superfish bekommt das Geschäft.
Die Angewohnheit von Verbraucherunternehmen, ihren Kunden unerwünschte Produkte, Dienstleistungen oder Software aufzudrängen, hat eine lange und unrühmliche Geschichte. Software-Kenner vergleichen Lenovos Stunt mit einer berühmten Episode, in die Sony verwickelt war. 2005 installierte das Unternehmen ein Anti-Piraterie-Programm auf Computern, wenn Kunden diese mit bestimmten Sony-Musik-CDs bestückten. Dummerweise setzte das Programm diese Benutzer Hackern aus.
Es ist erwähnenswert, dass die Leute hinter Superfish selbst von Computersicherheitsexperten mit großem Misstrauen betrachtet wurden. In einer Erklärung an Forbes sagte Superfish, dass „die Verbraucher zu keinem Zeitpunkt gefährdet waren“ und dass es „kein Fehlverhalten von unserer Seite aus gab.“ Aber es scheint offensichtlich, dass dies die falsche Firma für Lenovo war, um mit ihr zusammenzuarbeiten – in der Tat sollte Lenovo seine Computer nicht mit Programmen von Drittanbietern belasten.
Lenovos Reaktion auf den Aufruhr war schleppend und größtenteils unzureichend. Nachdem der Sturm letzte Woche losbrach, sagte das Unternehmen, es würde die Vorinstallation der schuldigen Software auf seinen Computern stoppen und „die nächsten Wochen damit verbringen, sich mit diesem Problem zu beschäftigen und zu lernen, was wir besser machen können.“ In einem Interview mit dem Wall Street Journal wies der technische Leiter des Unternehmens, Peter Hortensius, die Bedenken der „Sicherheitsleute“ als „theoretisch“ zurück. Er sagte: „Wir haben keine Erkenntnisse, dass irgendetwas Schändliches vorgefallen ist.“
Aber das Unternehmen gab eine detaillierte Anleitung heraus, um Kunden bei der Entfernung der Software zu helfen, weil, wie es sagte, „das Feedback der Nutzer nicht positiv war.“ Die Komplexität des Entfernungsprozesses sollte Ihnen verdeutlichen, wie tief sich die Superfish-Software in die Computer der Anwender eingegraben hat. Ein Tool, mit dem Sie feststellen können, ob Ihr Lenovo-Computer gefährdet ist, finden Sie hier. Microsoft hat außerdem einen Patch herausgegeben, mit dem Windows-Computer von der Superfish-Infektion befreit werden können.
Auch wenn Lenovo im vergangenen Jahr einen Anteil von 18,8 % am weltweiten PC-Markt hatte, hat das Unternehmen seine Zukunft in der Computerbranche sicherlich verspielt. Wenn ein so prominentes Unternehmen so einen Fehler machen kann, warum sollte dann jemand seinen Produkten vertrauen? Die erste Klage wegen dieser Episode wurde jetzt eingereicht. Es wird weitere geben, und das sollte auch so sein.
Bleiben Sie auf dem Laufenden mit dem Economy Hub. Folgen Sie @hiltzikm auf Twitter, besuchen Sie unsere Facebook-Seite, oder schreiben Sie eine E-Mail an [email protected].