Die Software Superfish hat im Web einen miesen Ruf. Sie wird teils als Virus bezeichnet und für langsame Internetverbindungen verantwortlich gemacht. Wer sie sich eingefangen hat, will sie offenbar lieber wieder loswerden. Dutzende Anleitungen im Netz erklären, wie man die Software beseitigen kann. Und ausgerechnet dieses Programm hat Computerhersteller Lenovo zeitweilig auf einigen Notebook-Modellen vorinstalliert.
Wie sich das für den Anwender darstellt, beschreibt ein Kunde in Lenovos Anwenderforum. Demnach manipuliert Superfish Googles Suchresultate im Browser, indem es Werbung einbaut, die den Anschein erweckt, sie wäre Teil der Suchergebnisse. Das Programm platziert also bezahlte Anzeigen, wo eigentlich keine sein sollen. Genau das ist das Geschäftsmodell solcher Software, die auch als Adware bezeichnet wird.
Das an sich wäre nicht weiter problematisch, sondern nur lästig. Üblicherweise bezeichnet man derartige Software als «potenziell unerwünschtes Programm» (PUP).
Schwerer als die störenden Werbeeinblendungen wiegt, dass Superfish auch eine potenzielle Gefahrenquelle in das System einbaut. Die Software installiert ein sogenanntes Root-Zertifikat auf dem Rechner, mit der sie sich per HTTPS verschlüsselten Verbindungen gegenüber als vertrauenswürdig ausgeben kann. So ist das Programm in der Lage, seine Werbung auch in verschlüsselten Netzwerkverkehr einzubinden.
IT-Sicherheitsexperte Marc Rogers bezeichnet diese Vorgehensweise als klassische «Man-in-the-Middle»-Attacke. Weil das Programm sein eigenes Sicherheitszertifikat installiert, sei verschlüsselten Verbindungen auf Computern mit installiertem Superfish grundsätzlich nicht zu trauen. Und das nicht nur, weil Superfish selbst die Verbindungen abhören kann.
Vielmehr sei das Sicherheitszertifikat nur schwach geschützt. Es könne potenziell von Kriminellen missbraucht werden, um Anwendern scheinbar sichere Verbindungen, etwa zu einer Bank, vorzutäuschen. Rogers resümiert: «Würde die Software oder ein Teil ihrer Infrastruktur kompromittiert, hätte ein Angreifer vollen Zugriff auf das Onlinebanking, persönliche Daten und private Nachrichten.»
Lenovo erklärte auf Anfrage, die Software werde seit Januar 2015 nicht mehr auf den Rechnern des Unternehmens vorinstalliert. Zudem habe der Hersteller von Superfish seit diesem Zeitpunkt verhindert, dass die Software auf bereits verkauften Computern aktiviert werden könne. Überdies würde Lenovo alle Bedenken bezüglich Superfish untersuchen.
Dreimal so viel Raum wie diese Ausführungen nimmt in Lenovos Stellungnahme allerdings eine ausführliche Erklärung und Lobpreisung der Funktionen von Superfish ein. Demnach soll das Programm Anwendern helfen, «Produkte visuell zu finden und zu entdecken». Die Technologie analysiere Bilder im Internet und zeige «identische oder ähnliche Angebote an, die niedrigere Preise haben können». Eine fein gewählte Formulierung, die keinen echten Preisvorteil verspricht.
Betroffen sind generell nur Webbrowser, die den Zertifikatsspeicher von Windows benutzen. Die wichtigsten sind Microsofts Internet Explorer und Googles Chrome. Wer nur Mozillas Firefox-Browser benutzt, kann beruhigt sein, da Firefox eine eigene Zertifikatsverwaltung einsetzt, in die Superfish nicht eingreift.
Wer wissen will, ob die Software auf seinem Computer installiert ist, kann sich über die Webseite «Can I Be Super-Phished?» Gewissheit verschaffen. Erscheint statt der Webseite eine Fehlermeldung, kann man davon ausgehen, dass man nichts zu befürchten hat.
Andernfalls sollte man sowohl die Superfish-Software als auch deren Zertifikat vom Rechner entfernen. Ein YouTube-Video zeigt, wie man dabei vorgehen soll. Ausserdem lässt sich das Superfish-Zertifikat mithilfe des Zertifikatsmanagers in Windows auch gezielt entfernen.
Update: Nach Veröffentlichung dieses Artikels bei Spiegel Online erreichte uns eine weitere Stellungnahme von Lenovo. Demnach wurden alle serverseitigen Interaktionen auf allen Lenovo-Produkten im Januar seitens Superfish abgeschaltet. Die Software sei auf Lenovo-Rechnern also nicht mehr aktiv. Ausserdem erklärte der Konzern: «Wir werden diese Software in Zukunft nicht mehr vorinstallieren.»
