Da muss ich gar nichts beschönigen. Schon klar, was ein Point-To-Point SSL grundsätzlich bedeutet.
Dann wüsstest du auch, dass jeder Eingriff, der Ende-zu-Ende-Verschlüsselung untergräbt, eine Sicherheitslücke bedeutet.
Erstens. Bei Kaspersky ist dies ein gewollter Eingriff in die Verbindung.
Das macht es nicht besser. Eine gewollte Lücke ist immer noch eine Lücke.
Und dies wird auch erst dann zu einer kritischen Sicherheitslücke, falls, und nur falls sich eine solche finden sollte. Andernfalls können wir ja gleich bei einem etwaigen Programmcode sagen, dieser beinhalte eine kritische Sicherheitslücke.
Nochmals: Wir brauchen hier nicht nach einer Sicherheitslücke suchen, die Sicherheitslücke ist schon da. Eine nicht mehr Ende-zu-Ende-verschlüsselte Verbindung ist eben nicht mehr Ende-zu-Ende-verschlüsselt. Mit allen dazugehörigen Nachteilen wie kein Certificate-Pinning mehr, kein Certificate-Transparency, keine Möglichkeit im Browser selbst Zertifiakte und deren Sicherheit zu checken, keine Möglichkeit mehr, im Browser gewarnt zu werden, wenn eine Verbindung kompromittiert ist, keine Möglichkeit mehr, sichere Zertifikate im Browser als vertrauenswürdig einzustufen oder unsichere Zertifikate zu revoken. Dem Nutzer wird immer vorgegaukelt, die Verbindung sei auf ganzer Strecke sicher - und in Wirklichkeit ist sie das nur noch auf dem Weg vom Browser bis zum Virenscanner auf dem gleichen Rechner. Der Rest der Verbindung ist dann nicht mehr direkt nachvollziehbar.
Zweitens. Hinsichtlich Kaspersky ist mir kein einziger Fall bekannt, welcher eine SSL-Inspection als Ursache für irgend einen Missbrauch hätte.
Nicht alles, was hinkt, ist ein Vergleich. Und das hier hinkt ganz gewaltig
Nur weil dir kein Fall einer Man-in-the-middle Attacke bekannt ist, die durch die Kaspersky-Lösung geschehen ist, heißt es noch lange nicht, dass es keinen gegeben hat. Mal abgesehen davon, dass ich auf dem Stand von Heise auf der Cebit vor ein paar Jahren schon live zugeschaut habe, wie man solche Attacken ausführt, sind Man-in-the-middle Angriffe in der Regel keine Massenangriffe, sondern welche auf einzelne Personen. Und in der Regel fällt sowas auch nicht auf, bis der große Knall kommt. Von Daten, die auf diese Art und Weise über Jahre hinweg an die NSA gingen bis hin zur groß angelegten Industriespionage kann das alles sein. Man bekommt nichts davon mit, bis es knallt. Und spätestens seit Snowden sollte klar sein, dass sowas u.a. von den Geheimdiensten getan wird. Als Nutzer merkt man davon natürlich nichts...
Drittens. Selbstverständlich lässt sich die Untersuchung von verschlüsselten Verbindungen deaktivieren, aber in Kaspersky definitiv nicht zu empfehlen. Wie es mit anderen Produkten aussieht, das weiss ich hingegen nicht.
Doch, das kann man nicht nur deaktivieren, das sollte man sogar. Die Funktion ist gut für Leute, die
glauben, dass sie damit eine höhere Sicherheit haben als ohne diese Funktion. Die
fühlen sich dann sicherer. Und daher lässt sich diese Funktion gut verkaufen, weil beim Sicherheitsempfinden so viel Glauben mitspielt - kontrollieren kann man es schließlich nicht, bis der erste "reale" Angriff erfolgt und dann ist es quasi schon zu spät.
Diese Funktion ist nicht nur in Kaspersky, sondern in allen Security-Lösungen, die so eine Funktion anbieten, absoluter Quatsch und schadet der Sicherheit deutlich mehr, als es ihr hilft. Aber sie lässt sich halt gut an gutgläubige Nutzer verkaufen.
Ich will dein geliebtes Kaspersky hier nicht schlecht reden. Ich will dir nur zeigen, dass man
keiner (auch nicht Kaspersky) Sicherheitslösung einfach blind in allen Punkten vertrauen darf. Da stecken immer noch Firmen dahinter, die damit Geld verdienen und daher gewinnorientiert arbeiten.
