Antivirus oder Spyware?

März 2026

Dieses Werk ist unter der Lizenz „Creative-Commons Namensnennung – Weitergabe unter gleichen Bedingungen“ verfügbar.

Als Ende 2022 an meiner damaligen Wirkungsstätte die Windows-Systeme durch Ransomware lahmgelegt wurden, reagierte die IT-Abteilung, beraten durch ein europaweit tätiges IT-Beratungsunternehmen, mit der verpflichtenden Installation einer Cloud-basierten Überwachungssoftware auf allen Mitarbeitergeräten einschließlich der vom Ausfall nicht betroffenen Linux-Systeme. Was damals eher ein Einzelfall war, ist inzwischen aufgrund von Landeslizenzen ein flächendeckendes Problem in Verwaltung und Hochschulen. Der folgende Blog-Post ist im Kern identisch mit einem entsprechenden Post von Anfang 2023, geht am Ende aber zusätzlich auf ein paar aktuellere Entwicklungen und Aspekte ein.

Stellvertretend für das Auslagern der Überwachung von IT-Systemen an externe Anbieter wollen wir hier am Beispiel der Cloud-Lösung Sophos Intercept X Advanced mit XDR schauen, was dadurch alles an sensiblen Daten auf irgendwelchen Cloud-Servern landet und welche weiteren Probleme entstehen.

Wohin geht die Reise?

Dass dieses Thema nicht nur einzelne Hochschulen betrifft, sondern ein flächendeckendes Phänomen ist, sieht man hier: Landesvertrag Sachsen, nochmal Landesvertrag Sachsen, Landesrahmenvertrag NRW.

Bevor wir uns den konkret an Sophos übertragenen Daten widmen, zunächst ein kurzer Blick in die Zukunft:

Ähnlich wie in der Vergangenheit mit Microsoft-Produkten entsteht gerade eine Monokultur aus “Sicherheits”-Software. Entsprechend werden die Resultate in einigen Jahren aussehen: Hohe Preise, technisch veraltete Lösungen, Marktdominanz durch Lock-In-Effekt, Nutzergewöhnung und fragwürdige Geschäftspraktiken (Behindern von Standardisierung, Ausbremsen von technischen Innovationen, usw., siehe Kritik an Microsoft).

Angriffe auf die IT-Sicherheit werden diese Monokultur zu nutzen wissen. Mit seiner Marktdominanz wird Sophos ein lohnendes Ziel sein, und ein einfaches, da mangels Konkurrenz technische Weiterentwicklung nicht nötig ist. So wie in den letzten Jahren Windows auf Servern (zusammen mit Exchange/Outlook und Active Directory) das Haupteinfallstor in IT-Syteme war, wird in absehbarer Zeit die Sophos-Software der Zutrittspunkt sein. Einziger Unterschied: Angreifer müssen sich nur Zugang bei Sophos verschaffen. Der Rest der Welt ist von dort aus in einem kleinen Spaziergang erreichbar. Das massenhafte Auslagern von sicherheitskritischen Daten in die Sophos-Cloud macht es möglich.

Und was tut man dann nach dem bösen Erwachen? Das gleiche wie jetzt: Man investiert in eine weitere Schicht Software, die verspricht, alle Probleme im Schlaf zu lösen…

Daten sammeln und speichern

Sophos Intercept X Advanced mit XDR sammelt detaillierte (siehe unten) Nutzer- und Gerätedaten einerseits lokal auf den Computern, andererseits zentral im so genannten Sophos Data Lake. Dies ist eine Cloud-Speicherplattform innerhalb der Amazon-Cloud (siehe Sophos & GDPR: “Our primary data centres are provided by Amazon Web Services”).

Die lokal gesammelten Daten sind potentiell umfangreicher, aber weniger gut dokumentiert als die in die Cloud geschickten Daten. Klar ist, dass die lokale Speicherung den Zeitraum der letzten 90 Tage umfasst und der Speicherbedarf mit 5 GB in der Standardkonfiguration geplant wird. Quellen:

• Übersicht über Intercept X und EDR, XDR, MTR (Seite 2): “Datenspeicherung auf Festplatte (bis zu 90 Tage) mit schnellem Datenzugriff”,
• Sophos Central Admin-Dokumentation: “Maximum journal size (MB): Enter a value between 300 and 30,000. The default is 5250”.

Ein Teil der in den letzten 90 Tagen lokal gesammelten Daten wird automatisch in den Data-Lake übertragen. Diese Übertragung erfolgt permanent in unterschiedlichen Abständen (einige Sekunden bis einige Stunden Abstand, siehe unten). Der Zugang zu diesen Daten für die Administratoren erfolgt über das Webinterface Sophos Central. Das von Sophos erwartete Ausmaß der Datenübertragung liegt bei 20 bzw. 40 MB pro Tag und Gerät, je nach eingesetzter Komponente. Zum Vergleich: 1 MB Textdaten entspricht etwa einem Buch mit 500 dicht beschriebenen Seiten (2000 Zeichen pro Seite). Das Nutzerverhalten kann also täglich durch bis zu 20 oder 40 dicke Bücher dokumentiert und an Sophos geschickt werden! Quellen:

• Sophos Central Admin-Dokumentation (“The Data Lake stores data for up to 30 days”)
• Data Lake-Speicherlimits (“Der Endpoint-Pool kann 20 MB pro Lizenz pro Tag (1,8 GB pro XDR-Lizenz pro 90 Tage) umfassen. Der Serverpool kann 40 MB pro Lizenz pro Tag (3,6 GB pro XDR-Lizenz pro 90 Tage) umfassen.”)

Wer nutzt die Daten?

In erster Linie sollen die Data-Lake-Daten durch die Administratoren der überwachten IT-Systeme genutzt werden. Sophos nutzt diese Daten aber auch für eigene Zwecke (vgl. Sophos Central Endpoint and Server Privacy Data Sheet, Sophos XDR Privacy Data Sheet):

• “Data stored in Sophos Central and the Sophos Data Lake (for XDR customers) may be analyzed and processed by Sophos for the benefit of the customer”,
• “Sophos Engineering monitors access and telemetry for planning future roadmap strategy and retirements, product development and enhancement, troubleshooting, generating statistics and reports.”
• “may be accessed by Sophos Labs or Sophos AI teams for threat research purposes to improve our ability to detect new threats. It is possible a file submission of suspicious files may incidentally contain personal information”

Diese Formulierungen (“research”, “benefit of customer”, “future roadmap”, “product development”) sind die übliche Beschönigung von “für Marketing-Zwecke”. Hier dürfte es selbst mit Auftragsdatenverarbeitungsvertrag Konflikte mit der Datenschutzgrundverordnung geben.

Ein Blick auf die Sophos Sub-processor List gibt einen Eindruck, wo die auf den Endgeräten abgesaugten Daten überall landen können.

Was wird gesammelt?

Grober Überblick über die gesammelten Daten

Einen ersten groben Überblick über die von Sophos im Data-Lake gesammelten Daten gibt Sophos XDR Privacy Data Sheet:

• Nutzernamen,
• IP-Adressen,
• MAC-Adressen,
• Anwendungsstarts samt kompletter Befehlszeile,
• installierte Anwendungen und Browser-Plugins,
• Pfade und Hashs von Dateien,
• Systemereignisse und Logdateien,
• URLs, E-Mail-Adressen, Betreffzeilen von E-Mails,
• diverse andere Dinge.

Aus der IP-Adresse kann in den meisten Fällen auf den Aufenthaltsort des Nutzers geschlossen werden. Die Auflösung liegt im Bereich von Städten und Stadtteilen (siehe Geotargeting).

MAC-Adressen sind weltweit eindeutige Kennzeichen netzwerkfähiger Geräte. Über die MAC-Adresse ist ein Gerät weltweit identifizierbar.

Die zum Start von Anwendungen genutzten Befehle enthalten oft weitere Daten, die für den Start nötig sind. Dazu können insbesondere Passwörter gehören (wie Sophos auf der oben genannten Seite selbst feststellt).

Ein Datei-Hash ist eine (im Wesentlichen) eindeutige Nummer, die jeder Datei nach einem festen Verfahren automatisch zugeordnet werden kann. Kennt man nicht den Dateiinhalt, sondern nur ihren Hash, so sind trotzdem noch folgende Fragen leicht zu beantworten:

• Für Dateien, die anderweitig verfügbar sind (aus dem Internet geladene Dokumente zum Beispiel): Was steht in der Datei?
• Immer: Wurde die Datei seit der letzten Datenübertragung geändert (dann ist der Hash anders)?

Somit ermöglicht der Hash auch die Überwachung von Dateiinhalten (und damit Nutzerinteressen, Arbeitsthemen usw.) sowie Rückschlüsse auf derzeit vom Nutzer bearbeitete Vorgänge und die Bearbeitungsintensität. Auch ist erkennbar, wer mit wem zusammenarbeitet, wenn bei zwei Nutzern Dateien mit gleichem Hash-Wert gesehen werden.

Die Details zur Datenübertragung

Die technischen Details zur Datenübertragung liefert Sophos nur in den strukturellen und technischen Tiefen der Software-Dokumentation in Form von Datenbankspezifikationen: Sophos schema viewer. Dazu gibt es noch ein Dokument mit Infos zum groben Verständnis der Schema-Definitionen: Database Schemas explained. Alle nun folgenden Informationen sind diesen beiden Dokumenten entnommen.

Die Datenbankspezifikation gibt zu jedem Datensatz insbesondere ein Abfrageintervall an. Dieses benennt die Taktung der Uploads in den Data-Lake in Sekunden:

“To fill the data lake sophos has defined 97 different queries to fill the data lake. Each of these run on their own schedule from as frequently as every 20 seconds (WIndows running processes) to as infrequently as once every 86400 seconds. (once a day). Understanding the frequency of these ‘hydration’ queries and how they work allows the admin to better understand what is in the data lake and why.”

Den Detailgrad der gesammelten Daten beschreibt Sophos anhand eines Beispiels (unklar ist hier, welche der genannten Infomationen aus dem Data-Lake stammen und welche direkt vom Gerät abgerufen werden; so oder so laufen alle Informationen durch das Web-Interface Sophos Central, also durch die Hände von Sophos):

“You can observer the file reads made by a process over 90 days ago, observing it read a document with one thread and copy it to a zip file with another before sending the entire payload to some external C2 server. "

Es folgen beispielhaft einige konkrete Datensätze von den 97 Datensätzen, die regelmäßig in den Data-Lake geladen werden.

Datensatz authentication_activity_linux

Im 10-Minuten-Takt landen sämtliche Login-Ereignisse von Linux-Servern im Sophos Data Lake. Enthalten sind der Benutzername des Nutzers, der sich auf dem Server anmeldet, die IP-Adresse (und damit der grobe Standort) seines Computers, die sekundengenaue Uhrzeit (samt Datum) und weitere technische Informationen.

Im Hochschulbetrieb bedeutet dies, dass Sophos Aktivität und Arbeitsgewohnheiten von Studierenden, die sich auf Hochschul-Servern anmelden, überwachen kann. Solche Anmeldevorgänge finden beispielsweise statt, wenn Studierende Hochleistungscomputer (GPU-Server) für das Erledigen von Hausaufgaben und Projektarbeiten in informatiknahen Studiengängen nutzen.

Sophos bietet keine Client-Komponente für Linux-Systeme an. Deshalb wird üblicherweise die Server-Komponente auch auf Arbeitslaptops installiert. Entsprechend landen alle Anmeldevorgänge (also Arbeitszeiten) der Mitarbeiter bei Sophos im Data-Lake.

Datensatz deb_packages, rpm_packages und äquivalente für macOS und Windows

Im 4-Stunden-Takt wird eine Liste von auf dem Computer installierter Software zum Data-Lake übertragen. Unter anderem werden Produktnamen und -versionen übertragen.

Diese Informationen geben Einblick in die Arbeitsgebiete der überwachten Person. CAD-Software? Also ein Ingenieur. Developer-Tools? Also ein Informatiker. Spezialisierte Verwaltungsprogramme? Also ein Verwaltungsmitarbeiter. Und so weiter.

Randbemerkung: Vollständige Listen installierter Software samt Versionsnummern, und das für alle Geräte im Netzwerk, sind ein begehrtes Gut für Angreifer. Hat man diese Listen, kann man sich in aller Ruhe die Geräte mit verwundbarer (weil nicht rechtzeitig aktualisierter) Software aussuchen und dort gezielt einen Angriff versuchen. Nimmt man IT-Security ernst, gibt man diese Informationen in dieser Vollständigkeit und mit diesem Detailgrad nicht an externe Dienstleister. Ein demotivierter Sophos-Mitarbeiter mit entsprechenden Rechten oder auch ein unterbezahlter Mitarbeiter eines Sophos-Subverarbeiters in USA, Kanada, Südafrika, Kroatien, Israel genügt und schon sind diese sensiblen Daten in den Händen von gut zahlenden Bösewichten.

Datensatz running_processes_linux_events und äquivalente für macOS und Windows

Diese im 5-Minuten-Takt übertragenen Daten enthalten unter anderem Namen, Parameter und sekundengenauen Startzeitpunkt für alle aktuell auf dem überwachten System laufenden Prozesse (Anwendungen und Hintergrundprozesse). Zusätzlich wird übertragen, welcher Nutzer welchen Prozess gestartet hat.

Mit diesen Daten kann detailliert die Aktivität des Nutzers (oder der Nutzer bei Servern) überwacht werden. Auch Aktivitäten innerhalb von Anwendungsprogrammen sind in gewissem Maße nachvollziehbar, da z.B. der Import von Bildern in Office-Dokumente im Hintergrund kurzzeitig gesonderte Prozesse startet (auch wenn der Anwender nur ein Programm vor sich sieht, laufen mehrer hundert Prozesse unbemerkt im Hintergrund). Auch Webbrowser starten je nach betrachtetem Inhalt (Text , Videos,…) unterschiedliche Subprozesse, aus deren Existenz Sophos auf die Art der betrachteten Website-Inhalte schließen kann.

Datensatz sophos_urls_windows

Diese minütlich übertragenen Daten enthalten alle durch den Nutzer oder durch von ihm verwendete Software aufgerufenen URLs einschließlich der Identifikation des aufrufenden Programms und des sekundengenauen Zeitpunkts.

Mit diesen Daten können alle Web-Aktivitäten des Nutzers detailliert nachvollzogen werden. Jeder Klick auf einer Website resultiert in einem URL-Aufruf. Welche Unterseiten von welcher Website werden wann und in welcher Reihenfolge aufgerufen? Insbesondere sind durch den zeitlichen Abstand zwischen zwei Aufrufen Rückschlüsse auf die Aufenthaltsdauer auf einer Website möglich: Hat der Nutzer den Inhalt nur kurz betrachtet oder hat er sich genauer dafür interessiert?

HTTPS-Decryption

Neben den genannten Daten bietet Sophos Intercept X mit XDR auch die Möglichkeit Inhalte von HTTPS-Verbindungen der überwachten Nutzer auszuwerten. Diese als HTTPS-Decryption bezeichnete Funktionalität ist rechtlich sehr umstritten.

HTTPS-Verbindungen sind verschlüsselte Verbindungen zwischen Webbrowser und Server. Diese werden immer dann eingesetzt, wenn besonders vertrauliche Daten (Passwörter, Online-Banking,…) mit einer Website ausgetauscht werden sollen. Seit dem Bekanntwerden der Massenüberwachung durch in- und ausländische Geheimdienste ist HTTPS praktisch Standard auch für Websites, mit denen keine sensiblen Daten ausgetauscht werden.

Die auf dem Gerät eines Nutzers installierte Sophos-Software bricht in diese verschlüsselten Verbindungen mittels eines klassischen Man-in-the-Middle-Angriffs ein. Der Browser glaubt, verschlüsselt mit der Website zu kommunizieren. Tatsächlich ist er aber mit der lokal installierten Sophos-Software verbunden. Diese wertet die Inhalte aus und leitet sie anschließend neu verschlüsselt an die Website weiter.

Durch diese Technik kann Sophos Passwörter, Online-Banking-Transaktionen und alle anderen Arten sensibler Daten mitlesen.

Überwachung von E-Mails

Mit Sophos E-Mail Advanced bietet Sophos umfangreiche Überwachungsmöglichkeiten für den E-Mail-Verkehr. Beispielsweise kann das Klickverhalten von Nutzern bei Links in E-Mails aufgezeichnet werden. Dadurch sollen Nutzer erkannt werden, die besonders empfänglich für Phishing-Mails sind.

Ein Umleiten von E-Mails über Sophos-Server ist ebenfalls möglich.

Das Thema E-Mail-Überwachung soll hier nicht weiter verfolgt werden. Vermutlich könnte man damit viele weitere Seiten füllen.

Fragen an die Verantwortlichen

Wer zu einer Organisation gehört, die die geannten Sophos-Produkte, insbesondere Intercept X Advanced mit XDR, ausrollt, sollte den verantwortlichen Entscheidern und Administratoren folgende Fragen stellen:

• Wird das Daten-Upload in den Data-Lake genutzt?
• Welche Geräte (alle?) schicken Daten in den Data-Lake?
• Wird HTTPS-Decryption verwendet?
• Sieht Sophos E-Mail-Inhalte? Eventuell sogar bei Ende-zu-Ende-Verschlüsselung durch Sophos-Integration in Mail-Clients wie MS Outlook?
• Wurden die Benutzer über den Abfluss von personenbezogenen Daten und Betriebsgeheimnissen (z.B. unveröffentlichte Forschungsergebnisse, Patentangelegenheiten) informiert?
• Gibt es einen Auftragsdatenverarbeitungsvertrag nach DSGVO mit Sophos?
• Ist der Personalrat über die flächendeckende Überwachung der Mitarbeiter informiert?
• Ist das Überwachungskonzept mit dem Datenschutzbeauftragten abgestimmt?

Sinn und Unsinn von Cloud-Antivirus

Zum Abschluss in aller Kürze ein paar Argumente für und gegen Cloud-Antivirus.

Warum Antivirus in der Cloud?

• Hoffnung auf weniger Admininistrationsaufwand.
• Hoffnung auf aktuellere Software (weniger Updates selbst einspielen).
• Auslagern von Verantwortung (wenn etwas passiert, ist der Dienstleister schuld).
• Schnelle und gut sichtbare Lösung (schickes Web-Interface, bekannter Name, hohe Rechnung).
• “Machen doch alle so.”

Warum nicht in die Cloud?

• Undurchschaubarer Datenabfluss (personenbezogene Daten, Betriebsgeheimnisse).
• Verlust eigenen Know-Hows (wer rastet der rostet).
• Hohe Kosten (zukünftig durch Vendor-Lock-In unkontrollierbar hoch).
• Kontrollverlust (machbar ist nur noch was der Dienstleister anbietet).
• IT-Zwischenfälle beim Cloud-Anbieter können zum Einfallstor in die eigene IT-Infrastruktur werden (jeder Computer ist aus der Cloud erreichbar).
• Dienstleister kommt nicht für eventuelle Schäden (“Cyberangriff”) auf, da Sitz im Ausland und praktisch unbegrenzte Ressourcen für Anwälte und Gerichtsverfahren.

Alternativen zur Cloud:

• Eigenes Know-How erhalten und erweitern.
• Ursachen für Ausfälle abstellen (Windows auf Servern, MS Exchange; bewährte Alternativen: Linux, postfix/dovecot).

Entwicklungen und Ereignisse 2023-2026

Bis hier war der Text im wesentlichen schon 2023 online; nur ein paar Links wurden aktualisiert. Seit 2023 haben sich bei mir ein paar weitere thematisch passende Datenpunkte angesammelt, die hier kurz erwähnt werden sollen.

Angriffe über Autoupdater

Die Überwachungssoftware von Sophos und anderen Anbietern läuft mit maximalen Rechten (root-Rechte unter Linux), sodass sie beliebig Lese- und Schreibzugriff auf das System hat. Zusammen mit dem heute (leider) als unvermeidlich angesehenen Autoupdate-Mechanismen kann ein entfernter Angreifer über den Updatekanal unbemerkt beliebig Software einspielen. Diese Situation (root-Rechte plus Autoupdater) ist der Worst-Case in Sachen IT-Security. Dass das keine gute Idee ist, sollte mindestens seit 2017 bekannt sein. Damals wurde die Rederei Maersk über den Autoupdater einer Steuerverwaltungssoftware lahmgelegt (siehe 2017 Ukraine ransomware attacks). Diese Software hatte vermutlich nicht einmal root-Rechte.

Wer Sophos und Co. in seinen Systemen installiert, gibt Únbekannten maximalen Systemzugriff!

Sophos hält sich nicht an die Regeln

Siehe Analyse und Kommentar: Sophos und der gebrochene Schwur.

Kurzfassung: Sophos saugt mehr Daten von Kundengeräten ab als vereinbart und “die Chinesen” (Cyber attribution ist schwierig bis unmöglich) sitzen seit Jahren in Sophos-Produkten und damit in Kundensystemen. Wenigstens gibt Sophos das selbst zu, sieht sich aber leider als Held in dieser Geschichte.

Digitale Souveränität

Aufgrund wachsender politischer Differenzen mit den USA ist das Thema “Digitale Souveränität” wieder stärker in die öffentliche Wahrnehmung gerutscht. Wer ist eigentlich Sophos? Laut Wikipedia ist Sophos ein britisches Unternehmen (und damit nicht einmal aus der EU) im Besitz des US-amerikanischen Unternehmens Thoma Bravo.

Bei aller Liebe zum globalen Miteinander ist Vollzugriff auf alle IT-Systeme für ein britische/amerikanisches Unternehmen das genaue Gegenteil von digitaler Souveränität. Was für Windows-Nutzer scheinbar schon normal ist, ist für Linux-Nutzer so nicht akzeptabel.

Dass solche Abhängigkeiten schneller als Gedacht zu praktischen ganz realen Problemen werden, zeigte der IStGH-Fall 2025 (siehe z.B. Strafgerichtshof: Microsofts E-Mail-Sperre als Weckruf für digitale Souveränität). Immerhin hat man dort die richtigen Konsequenzen gezogen (siehe z.B. Strafgerichtshof ersetzt Microsoft durch deutsche Lösung). Besser spät als nie.

Falsche Wahrnehmung von Sophos-Produkten

Der Einsatz der Überwachungssoftware von Sophos und anderen Herstellern wird nach wie vor gern als “Virenscanner” deklariert. Virenscanner waren früher eher einfache Programme, die Dateien nach gewissen Mustern abgesucht haben. Die heutigen Produkte haben damit nicht mehr viel zu tun. Würde man die heutigen Tools als das bezeichnen, was sie sind, nämlich Spyware, wäre die Begeisterung bei den Endnutzern sicher deutlich geringer.

Wem vertrauen?

Der ganze Themenkomplex “Virenschutz”, “Ransomware”, “Cyber-Attacken” zieht seine Größe aus qualitativen Missständen bei einem (noch) führenden Betriebssystem (Windows) und dazugehörigen Server-Komponenten (Exchange, Active Directory). Man hat kein Vertrauen in Microsoft, sondern kauft lieber bei einem anderen Hersteller Zusatzsoftware, um die größten Missstände zu überdecken. Aber warum sollte man Sophos und Co trauen, wenn man Microsoft nicht traut? Warum sollten Sophos und Co Komplexität und Tücke von Microsoft-Software besser verstehen als der Hersteller selbst?