ERKLÄRUNG ZU KASPERSKY SECURITY NETWORK (KSN) – Kaspersky Endpoint Security 11 für Windows Die Erklärung zu Kaspersky Security Network (nachfolgend „KSN-Erklärung“ genannt) bezieht sich auf das Computerprogramm Kaspersky Endpoint Security (nachfolgend „Software“ genannt). Die KSN-Erklärung legt, zusammen mit dem Endbenutzer-Lizenzvertrag für Software, insbesondere mit dem darin integrierten Abschnitt „Bedingungen für die Datenverarbeitung“, die Bedingungen, Verantwortlichkeiten und Verfahren für die Übertragung und Verarbeitung der Daten fest, die in der KSN-Erklärung angegeben sind. Bitte lesen Sie die Bestimmungen dieser KSN-Erklärung und die dort erwähnten Dokumente sorgfältig durch, bevor Sie ihr zustimmen. Mit der Aktivierung der Verwendung des KSN trägt der Endbenutzer die volle Verantwortung dafür, dass die Verarbeitung personenbezogener Daten von betroffenen Personen rechtmäßig ist, insbesondere im Sinne von Artikel 6 Abs. 1 (a) bis Abs. 1 (f) der EU-Verordnung 2016/679 (Datenschutz-Grundverordnung, „DSGVO“) (sofern sich die betroffene Person in der Europäischen Union befindet) oder anwendbaren Gesetzen zu vertraulichen Informationen, persönlichen Daten, Datenschutz oder ähnlichem. Datenschutz und Datenverarbeitung Daten, die der Rechtsinhaber während der Nutzung des KSN vom Endnutzer erhält, werden in Übereinstimmung mit der Datenschutzrichtlinie des Rechtsinhabers behandelt, die unter folgender Adresse veröffentlicht ist: https://www.kaspersky.com/Products-and-Services-Privacy-Policy. Zweck der Datenverarbeitung Beschleunigung der Reaktionsgeschwindigkeit der Software auf Informationen sowie auf Gefährdungen der Netzwerksicherheit Der erklärte Zweck wird erreicht durch: - Ermittlung der Reputation untersuchter Objekte; - die Identifizierung neuer und schwer zu erkennender Bedrohungen für die Informationssicherheit und deren Quellen; - die Ergreifung von Sofortmaßnahmen zur Verbesserung des Schutzes der durch den Benutzer mithilfe eines Computers gespeicherten und verarbeiteten Daten; - die Verringerung der Wahrscheinlichkeit von Fehlalarmen; - Erhöhung der Leistungsfähigkeit von Softwarekomponenten; - Verhinderung von Ereignissen, welche die Informationssicherheit bedrohen, und Untersuchung eingetretener Ereignisse; - Verbesserung der Leistungsfähigkeit der Produkte des Rechtsinhabers; - Erhalt von Referenzinformationen über die Anzahl der Objekte mit bekannter Reputation. Verarbeitete Daten: Während der Aktivierung des KSN erhält und verarbeitet der Rechtsinhaber automatisch die folgenden Daten: Die vom Benutzer übermittelten Daten sind von der Art der installierten Lizenz und der festgelegten KSN-Nutzungseinstellungen abhängig. Wenn Sie eine Lizenz für 1–4 Knoten verwenden, erhält und verarbeitet der Rechtsinhaber automatisch die folgenden Daten während der Nutzung der KSN: - Informationen über KSN-Konfigurationsupdates: ID für die aktive Konfiguration, ID für die empfangene Konfiguration, Fehlercode für das Konfigurationsupdate; - Informationen über zu untersuchende Dateien und URL-Adressen: Prüfsummen der untersuchten Datei (MD5, SHA2-256, SHA1) und Dateimuster (MD5), Größe des Musters, Typ der erkannten Bedrohung und deren Name gemäß der Klassifizierung durch den Rechtsinhaber, ID für die Antiviren-Datenbanken, URL-Adresse, für die die Reputation angefragt wird, sowie Referrer der URL-Adresse, ID des Verbindungsprotokolls und Nummer des verwendeten Ports; - die ID der Untersuchungsaufgabe, die die Bedrohung erkannt hat; - Informationen über digitale Zertifikate, die zur Überprüfung ihrer Authentizität erforderlich sind: die Prüfsummen (SHA2-256) des Zertifikats, die vom untersuchten Objekt und vom öffentlichen Zertifikatsschlüssel verwendet werden; - die Kennung der Softwarekomponente, die das Scanning durchführt; - IDs der Antiviren-Datenbanken und der Einträge in den Antiviren-Datenbanken; - Informationen über die Aktivierung der Software auf dem Computer: Kopfzeile des Tickets des Aktivierungsdienstes (ID des regionalen Aktivierungszentrums, Prüfsumme des Aktivierungscodes, Prüfsumme des Tickets, Datum der Ticketerstellung, eindeutige ID des Tickets, Ticketversion, Lizenzstatus, Datum und Uhrzeit von Beginn/Ende der Ticketgültigkeit, eindeutige ID der Lizenz, Lizenzversion), ID des Zertifikats, das für die Signatur der Ticketkopfzeile verwendet wurde, Prüfsumme (MD5) der Schlüsseldatei; - Informationen zur Software des Rechtsinhabers: vollständige Version, Typ, Version des Protokolls, welches für die Verbindung mit den Diensten des Rechtsinhabers verwendet wird. Wenn Sie eine Lizenz 5 oder mehr Knoten verwenden, erhält und verarbeitet der Rechtsinhaber automatisch die folgenden Daten während der Nutzung der KSN: - Informationen über KSN-Konfigurationsupdates: ID für die aktive Konfiguration, ID für die empfangene Konfiguration, Fehlercode für das Konfigurationsupdate; - Informationen über zu untersuchende Dateien und URL-Adressen: Prüfsummen der untersuchten Datei (MD5, SHA2-256, SHA1) und Dateimuster (MD5), Größe des Musters, Typ der erkannten Bedrohung und deren Name gemäß der Klassifizierung durch den Rechtsinhaber, ID für die Antiviren-Datenbanken, URL-Adresse, für die die Reputation angefragt wird, sowie Referrer der URL-Adresse, ID des Verbindungsprotokolls und Nummer des verwendeten Ports; - Informationen über die Ergebnisse der Kategorisierung der angefragten Web-Ressourcen, die die verarbeitete URL und die IP-Adresse des Hosts, die Version der Softwarekomponente, die die Kategorisierung ausgeführt hat, die Methode der Kategorisierung und die für die Web-Ressource definierten Kategorien, beinhalten; - die ID der Untersuchungsaufgabe, die die Bedrohung erkannt hat; - Informationen über digitale Zertifikate, die zur Überprüfung ihrer Authentizität erforderlich sind: die Prüfsummen (SHA2-256) des Zertifikats, die vom untersuchten Objekt und vom öffentlichen Zertifikatsschlüssel verwendet werden; - Informationen über die auf dem Computer installierte Software: Name der Softwareanwendungen und Softwareanbieter, Registrierungsschlüssel und ihre Werte, Informationen über Dateien der installierten Softwarekomponenten (Prüfnummern (MD5, SHA2-256, SHA1), Name, Dateipfad auf dem Computer, Größe, Version und die digitale Signatur); - Informationen zum Status des Virenschutzes auf dem Computer: die Versionen und Releasedaten und Zeitstempel der verwendeten Antiviren-Datenbank, Job-Kennung und die Kennung der Softwarekomponente, die das Scanning durchführt; - Informationen über die vom Endbenutzer heruntergeladenen Dateien: die URL- und IP-Adressen der Downloads und die URL-Adresse der Seite, die vor der heruntergeladenen Seite besucht wurde, ID des Download-Protokolls und Nummer des Verbindungsports, der Status der als bedrohlich oder als nicht bedrohlich eingestuften URLs, Dateiattribute, -größe und Prüfsummen (MD5, SHA2-256, SHA1); Informationen über den Prozess, der die Datei heruntergeladen hat (Prüfsummen (MD5, SHA2-256, SHA1), Erstellung/Builddatum und -Uhrzeit, Status der automatischen Wiedergabe, Attribute, Namen der Packprogramme, Informationen zu Signaturen, Kennzeichen der ausführbaren Datei, Formatkennzeichen, Kontotyp, der zum Auslösen des Prozesses verwendet wird), Informationen über die Prozessdatei (Name, Dateipfad und -größe), Dateiname und Dateipfad auf dem Computer, digitale Signatur der Datei und Zeitstempel deren Erstellung, die URL-Adresse, unter der die Erkennung stattgefunden hat, die Skript-Nummer auf der Seite, die verdächtig oder schädlich erscheint; - Informationen über laufende Anwendungen und deren Module: Daten über auf dem System laufende Prozesse (Prozess-ID (PID), Prozessname, Informationen über das Benutzerkonto, von dem aus der Prozess gestartet wurde, Anwendung und Befehl, mit dem der Prozess gestartet wurde, Kennzeichen eines vertrauenswürdigen Programms oder Prozesses, vollständiger Pfad der Prozessdateien und ihre Prüfsummen (MD5, SHA2-256, SHA1), Befehlszeile für den Start, Integritätsebene des Prozesses, Beschreibung des Produktes, zu dem der Prozess gehört (Name des Produktes und Informationen über den Herausgeber), sowie verwendete digitale Zertifikate und Informationen, die zur Überprüfung ihrer Authentizität erforderlich sind, oder Informationen über das Fehlen einer digitalen Signatur der Datei) und Informationen über die in die Prozesse geladenen Module (deren Namen, Größen, Typen, Erstellungsdaten, Attribute, Prüfsummen (MD5, SHA2-256, SHA1), Dateipfade auf dem Computer), Informationen über den PE-Datei-Header und Namen von Packprogrammen (sofern die Datei gepackt ist); - Informationen über alle potentiell schädlichen Objekte und Aktivitäten: der Name des gefundenen Objektes und vollständiger Pfad des Objektes auf dem Computer, Prüfsummen der verarbeiteten Dateien (MD5, SHA2-256, SHA1), Datum und Uhrzeit des Fundes, Namen und Größe der verarbeiteten Dateien und die entsprechenden Pfade, Code der Pfadvorlage, Merker der ausführbaren Datei, Kennzeichen dafür, dass es sich bei dem Objekt um einen Container handelt, Namen der Packer (sofern die Datei gepackt ist), Code des Dateityps, ID des Dateiformats, IDs der Antiviren-Datenbanken und der Einträge in den Antiviren-Datenbanken, die für eine Entscheidung verwendet wurden, Anzeichen für ein potentiell bedrohliches Objekt, Name der gefundenen Bedrohung gemäß der Klassifizierung des Rechtsinhabers, Gefahrenstufe, das Gefährdungsniveau, Status und Methode der Erkennung, Grund, aus welchem eine Datei in den analysierten Kontext aufgenommen wurde, und Sequenznummer der Datei im Kontext, Prüfsummen (MD5, SHA2-256, SHA1), Name und Attribute der ausführbaren Datei für die Anwendung, welche die infizierte Nachricht oder den Link weitergeleitet hat, IP-Adressen (IPv4 und IPv6) des Hosts des blockierten Objektes, Entropie der Datei, Indikator der automatischen Wiedergabe der Datei, Zeitpunkt, zu dem die Datei erstmals im System gefunden wurde, Anzahl der Dateiausführungen, seitdem zum letzten Mal eine Statistik gesendet wurde, Compilertyp, Informationen über den Namen, Prüfsummen (MD5, SHA2-256, SHA1) und Größe des Mail-Clients, mit dem das schädliche Objekt empfangen wurde, ID der Softwareaufgabe, welche die Untersuchung ausgeführt hat, Indikator dafür, ob die Reputation oder Signatur der Datei überprüft wurde, Ergebnisse der Statistikanalyse der enthaltenen Objekte, Objektmuster, die Größe des Musters in Bytes und technische Daten der angewendeten Erkennungstechnologien; - Informationen über untersuchte Objekte: die zugewiesene Sicherheitsgruppe, zu der eine und/oder aus der eine Datei dieser Kategorie zugeordnet wurde, ID der Kategorie, Informationen über die Quelle der Kategorien und die Version der Datenbank für die Kategorie, Kennzeichen für das vertrauenswürdige Zertifikat der Datei, Name des Dateilieferanten, Dateiversion, Name und Version der Software-Anwendungen, zu dem die Datei gehört; - Informationen über erkannte Schwachstellen: die Schwachstellen-ID in der Schwachstellen-Datenbank, die Gefahrenklasse der Schwachstelle; - Informationen über die Emulation der ausführbaren Datei: Dateigröße und Prüfsummen (MD5, SHA2-256, SHA1), die Version der Emulationskomponente, Emulationsumfang, eine Reihe von Eigenschaften logischer Blöcke und Funktionen innerhalb logischer Blöcke, die im Zuge der Emulation erhalten wurden, Daten aus den PE-Headern ausführbarer Dateien; - Informationen über Netzwerkangriffe: die IP-Adressen des angreifenden Computers (IPv4 und IPv6), Nummer des Ports auf dem Computer, gegen den sich der Netzwerkangriff richtet, Kennzeichen des Protokolls des IP-Pakets, das den Angriff enthält, Ziel des Angriffs (Name der Organisation, Website), Kennzeichen für die Reaktion auf den Angriff, Schweregrad des Angriffs, Vertrauensstufe; - Informationen über Angriffe mit gefälschten Netzwerkressourcen, DNS- und IP-Adressen (IPv4 und IPv6) der besuchten Websites; - DNS- und IP-Adressen (IPv4 oder IPv6) der angefragten Web-Ressource, Informationen über die Datei und den Web-Client, der auf die Web-Ressource zugreift, Name, Größe, Prüfsummen (MD5, SHA2-256, SHA1) der Datei, vollständiger Pfad der Datei und der Vorlagencode des Dateipfads, das Ergebnis der Überprüfung der digitalen Signatur und deren Status im KSN; - Informationen über das Rollback von Malware-Aktionen: Dateien, für die das Rollback durchgeführt wurde (Dateiname, vollständiger Pfad zur Datei, deren Größe und Prüfsummen (MD5, SHA2-256, SHA1)), Daten über erfolgreiche und erfolglose Aktionen zum Löschen, Umbenennen, und Kopieren von Dateien und Wiederherstellen von Werten in der Registrierung (Namen der Registrierungsschlüssel und ihre Werte), Informationen über Systemdateien, die durch Malware modifiziert wurden, vor und nach dem Rollback; - Informationen über die Ausnahmen, die für die adaptive Abweichkontrollkomponente festgelegt sind: die ID und der Status der Regel, die ausgelöst wurde, die von der Software ausgeführte Aktion, wenn die Regel ausgelöst wurde, der Typ des Benutzerkontos, unter welchem der Prozess oder Thread verdächtige Aktivitäten durchführt, sowie über den Prozess, der Gegenstand von verdächtigen Aktivitäten war (Skript-ID oder Name der Prozessdatei, vollständiger Pfad zur Prozessdatei, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) der Prozessdatei); Informationen über das Objekt, das die verdächtigen Aktionen ausgeführt hat sowie über das Objekt, das Gegenstand von verdächtigen Aktionen war (Name des Registrierungsschlüssels oder Dateiname, vollständiger Pfad zur Datei, Vorlagencode des Dateipfads und die Prüfsummen (MD5, SHA2-256, SHA1) der Datei); - Informationen über die geladenen Software-Module, Name, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Moduldatei, ihr vollständiger Dateipfad und Vorlagencode des Dateipfads, Einstellungen der digitalen Signatur der Moduldatei, Datum und Uhrzeit der Signaturerstellung, Name der Person und der Organisation, die die Moduldatei signiert haben, ID des Prozesses, in dessen Verlauf das Modul geladen wurde, Name des Zulieferers des Moduls und die Sequenznummer des Moduls in der Lade-Warteschlange; - Informationen über die Qualität der Softwareinteraktion mit den KSN-Diensten: Datum und Uhrzeit von Beginn und Ende des Zeitraums, in dem die Statistiken erzeugt wurden, Informationen über die Qualität der Anfragen und der Verbindung zu den einzelnen verwendeten KSN-Diensten (KSN-Dienstkennung, Anzahl der erfolgreichen Anfragen, Anzahl der Anfragen mit Antworten vom Cache, Anzahl nicht erfolgreicher Anfragen (Netzwerkprobleme, KSN wurde in den Softwareeinstellungen deaktiviert, fehlerhaftes Routing), verbrauchte Zeit der erfolgreichen Anfragen, verbrauchte Zeit der abgebrochenen Anfragen, verbrauchte Zeit der Anfragen mit überschrittener Zeit, Anzahl der Verbindungen zum KSN aus dem Cache, Anzahl der erfolgreichen Verbindungen zum KSN, Anzahl der nicht erfolgreichen Verbindungen zum KSN, Anzahl der erfolgreichen Transkationen, Anzahl der nicht erfolgreichen Transaktionen, verbrauchte Zeit der erfolgreichen Verbindungen zum KSN, verbrauchte Zeit der nicht erfolgreichen Verbindungen zum KSN, verbrauchte Zeit der erfolgreichen Transaktionen, verbrauchte Zeit der nicht erfolgreichen Transaktionen); - Wird ein potentiell schädliches Objekt erkannt, werden Informationen über die Daten im Prozessspeicher zur Verfügung gestellt: Elemente der Objekthierarchie des Systems (ObjectManager), Daten im UEFI-BIOS-Speicher sowie Namen von Registrierungsschlüsseln und deren Werte; - Informationen über Ereignisse in den Systemprotokollen: der Zeitstempel des Ereignisses, Name des Protokolls, in dem das Ereignis gefunden wurde, Typ und Kategorie des Ereignisses, Name der Ereignisquelle und Ereignisbeschreibung; - Informationen über Netzwerkverbindungen: Version und Prüfsummen (MD5, SHA2-256, SHA1) der Datei, von welcher der Prozess gestartet wurde, der den Port geöffnet hat; Pfad der Prozessdatei und entsprechende digitale Signatur, lokale und Remote-IP-Adressen, Nummern der lokalen und Remote-Ports, Verbindungsstatus, Zeitstempel für das Öffnen des Ports; - Informationen über das Datum der Installation und die Aktivierung der Software auf dem Computer: ID des Partners, bei dem die Lizenz erworben wurde, Seriennummer der Lizenz, Kopfzeile des Tickets des Aktivierungsdienstes (ID des regionalen Aktivierungszentrums, Prüfsumme des Aktivierungscodes, Prüfsumme des Tickets, Datum der Ticketerstellung, eindeutige ID des Tickets, Ticketversion, Lizenzstatus, Datum und Uhrzeit von Beginn/Ende der Ticketgültigkeit, eindeutige ID der Lizenz, Lizenzversion), ID des Zertifikats, das zur Unterzeichnung der Ticketkopfzeile verwendet wurde, Prüfsumme (MD5) der Schlüsseldatei, eindeutige ID der Software-Installation auf dem Computer, Typ und ID der aktualisierten Anwendung, ID der Update-Aufgabe; - Informationen über die Auswahl aller installierten Updates und die Auswahl der zuletzt installierten/entfernten Updates, der Typ des Ereignisses, das die Absendung der Update-Informationen verursacht hat, Zeitraum seit der Installation der letzten Aktualisierung, Informationen über alle derzeit installierten Antiviren-Datenbanken; - Informationen über die Software-Ausführung auf dem Computer: Daten zur Prozessorauslastung, Daten zur Speichernutzung (Private Bytes, Non-Paged Pool, Paged Pool), die Anzahl der aktiven Threads der Software sowie der Threads im Wartezustand, die Dauer der Software-Ausführung bis zum Auftreten des Fehlers, Kennzeichen, das angibt, ob die Software im interaktiven Modus ausgeführt wird; - Anzahl der Software-Dumps und System-Dumps (BSOD) seit der Installation und dem letzten Update der Software, die ID und Version des abgestürzten Software-Moduls, Speicherblock im Softwareprozess und Informationen über die Antiviren-Datenbanken zum Zeitpunkt des Absturzes; - Daten über den System-Dump (BSOD): ein Kennzeichen für das Auftreten eines BSOD auf dem Computer, Name des Treibers, der den BSOD verursacht hat, Adresse und Speicherstapel im Treiber, Kennzeichen für die Dauer des Betriebssystems der Sitzung bis zum Auftreten des BSOD, Speicherstapel des abgestürzten Treibers, Typ des gespeicherten Arbeitsspeicher-Dumps, Kennzeichen für eine mehr als 10-minütige Sitzung des Betriebssystems vor dem BSOD, individuelle Dump-ID, Zeitstempel des BSOD; - Informationen über Fehler oder Leistungsprobleme, die bei der Ausführung von Softwarekomponenten aufgetreten sind: Status-ID der Software, Typ, Code und Zeitpunkt des auftretenden Fehlers, IDs der Komponente, des Moduls und des Produktprozesses, in welchem der Fehler aufgetreten ist, ID der Aufgabe oder der Update-Kategorie, in welcher der Fehler aufgetreten ist, Protokolle der von der Software verwendeten Treiber (Fehlercode, Modulname, Name der Quelldatei und Zeile, in welcher der Fehler aufgetreten ist); - Informationen über die Updates der Antiviren-Datenbanken und der Software-Komponenten: Name, Datum und Uhrzeit der Indexdateien, die beim letzten Update heruntergeladen wurden und beim laufenden Update heruntergeladen werden; - Informationen über die vorzeitige Beendigung der Software-Ausführung: Zeitstempel für das Erstellen des Dumps, Typ des Dumps, Typ des Ereignisses, das die vorzeitige Beendigung der Software-Ausführung verursacht hat (unerwarteter Stromausfall, Absturz der Anwendung eines Drittherstellers), Datum und Uhrzeit des Stromausfalls; - Informationen über die Kompatibilität der Softwaretreiber mit Hardware und Software: Informationen über Betriebssystemeigenschaften, die die Funktionen der Softwarekomponenten einschränken (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), Typ der heruntergeladenen, installierten Software (UEFI, BIOS), ID des Trusted Platform Modul (TPM), Version der TMP-Spezifikation, Informationen über die installierte CPU auf dem Computer, Betriebsmodus und Parameter von Code Integrity und Device Guard, Betriebsmodus der Treiber und Grund für die Nutzung des aktuellen Modus, Version der Softwaretreiber, Supportstaus der Software- und Hardware-Virtualisierung auf dem Computer; - Informationen über Anwendungen von Drittherstellern, die den Fehler verursacht haben: deren Name, Version und Sprachversion, Fehlercode und Fehlerinformationen aus dem Systemprotokoll der Anwendungen, Adresse, an welcher der Fehler aufgetreten ist, und Speicherstapel der Dritthersteller-Anwendung, Kennzeichen für das Auftreten des Fehlers in der Software-Komponente, Ausführungsdauer der Dritthersteller-Anwendung bis zum Auftreten des Fehlers, Prüfsummen (MD5, SHA2-256, SHA1) des Abbilds des Anwendungsprozesses, in welchem der Fehler aufgetreten ist, Pfad des Programmprozess-Abbildes und Vorlagencode des Pfades, Informationen aus dem Systemprotokoll mit einer Beschreibung des mit der Anwendung verbundenen Fehlers, Informationen über das Anwendungsmodul, in dem der Fehler aufgetreten ist (ID der Ausnahme, Arbeitsspeicheradresse des Absturzes als Offset im Anwendungsmodul, Name und Version des Moduls, ID des Anwendungsabsturzes im Plug-in des Rechtsinhabers und Speicherstapel des Absturzes, Dauer der Anwendungssitzung vor dem Absturz); - Version der Updater-Komponente der Software, Anzahl der Abstürze der Updater-Komponente bei der Ausführung von Update-Aufgaben, während die Komponente aktiv war, ID für den Typ der Updater-Aufgabe, Anzahl der fehlgeschlagenen Vorgänge, bei denen die Updater-Komponente versucht hat, Update-Aufgaben abzuschließen; - Informationen über die Ausführung von Überwachungskomponenten des Softwaresystems: vollständige Versionen der Komponenten, Datum und Uhrzeit, wann die Komponenten gestartet wurden, Code des Ereignisses, das zum Überlaufen der Warteschlange für Ereignisse geführt hat, und Anzahl solcher Ereignisse, Gesamtzahl der Warteschlangenüberlaufe, Informationen über die Datei des Prozesses, der das Ereignis ausgelöst hat (Name und Pfad der Datei auf dem Computer, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) des mit der Datei verbundenen Prozesses, Dateiversion), ID des Abfangvorgangs, vollständige Version des Abfangfilters, ID für den Typ des abgefangenen Ereignisses, Größe der Ereigniswarteschlange, und Anzahl der Ereignisse zwischen dem ersten Ereignis in der Warteschlange und dem aktuellen Ereignis, Anzahl überfälliger Ereignisse in der Warteschlange, Informationen über die Datei des Prozesses, der das aktuelle Ereignis ausgelöst hat (Name und Pfad der Datei auf dem Computer, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) des mit der Datei verbundenen Prozesses), Dauer der Ereignisverarbeitung, Höchstdauer der Ereignisverarbeitung, Wahrscheinlichkeit für das Senden von Statistiken, Informationen über Ereignisse des Betriebssystems, für die die Verarbeitungszeit überschritten wurde (Datum und Uhrzeit des Ereignisses, Anzahl der wiederholten Initialisierungen der Antiviren-Datenbanken, Datum und Uhrzeit der letzten wiederholten Initialisierung der Antiviren-Datenbanken nach ihrem Update, Verzögerungszeit der Verarbeitung eines Ereignisses für jede Systemüberwachungskomponente, Anzahl der Ereignisse in der Warteschlange, Anzahl der verarbeiteten Ereignisse, Anzahl der verzögerten Ereignisse des aktuellen Typs, Gesamtverzögerungszeit der Ereignisse des aktuellen Typs, Gesamtverzögerungszeit aller Ereignisse); - Informationen vom Ereignis-Tracing-Tool von Windows (Event Tracing for Windows, ETW) im Falle von Problemen bei der Softwareleistung, Bereitstellung von SysCinfig/SysConfigEx/WinSATAssessment Ereignissen von Microsoft: Informationen zum Computer (Modell, Hersteller, Formfaktor des Gehäuses, Version), Informationen über die Leistungskennzahlen von Windows (WinSAT-Bewertungen, Windows Leistungsindex), Domainname, Informationen über physische und logische Prozessoren (Anzahl der physischen und logischen Prozessoren, Hersteller, Modell, Stepping-Level, Anzahl der Kerne, Taktfrequenz, CPUID, Cache-Eigenschaften, logische Prozessoreigenschaften, Indikatoren der unterstützten Modi und Anweisungen), Informationen über RAM-Module (Typ, Formfaktor, Hersteller, Modell, Kapazität, Granularität der Speicherzuordnung), Informationen über die Netzwerkschnittstellen, Aufgliederung der Anzahl und Größe der Netzwerkpakete nach Typ, Geschwindigkeit des Netzwerkaustauschs, Aufgliederung der Anzahl von Netzwerkfehlern nach Typ), Konfiguration der IDE Controller, IP-Adressen der DNS-Server, Informationen über die Grafikkarte (Modell, Beschreibung, Hersteller, Kompatibilität, Speicherkapazität der Grafikkarte, Bildschirmauflösung, Anzahl der Bits pro Pixel, BIOS-Version), Informationen über Laufwerke und Speichergeräte (Anzahl der Laufwerke oder Flash-Laufwerke, Hersteller, Modell, Laufwerkkapazität, Anzahl der Zylinder, Anzahl der Spuren pro Zylinder, Anzahl der Sektoren pro Spur, Sektorkapazität, Cache-Eigenschaften, Sequenznummer, Anzahl der Partitionen, Konfiguration von SCSI-Controller), Informationen über logische Laufwerke (Sequenznummer, Partitionskapazität, Volumenkapazität, Laufwerkbuchstabe, Partitionstyp, Systemtyp der Datei, Anzahl der Cluster, Clustergröße, Anzahl der Sektoren pro Cluster, Anzahl der freien und belegten Cluster, Laufwerkbuchstabe des bootfähigen Volumens, Offset-Adresse der Partition in Bezug auf den Start des Laufwerks), Informationen über das BIOS-Motherboard (Hersteller, Veröffentlichungsdatum, Version), Informationen über das Motherboard (Hersteller, Modell, Typ), Informationen über den physischen Speicher (freigegebene und freie Kapazität), Informationen über die Dienste des Betriebssystems (Name, Beschreibung, Status, tag, Informationen über Prozesse [Name und PID], Parameter des Energieverbrauchs für den Computer, Konfigurationen der Interrupt-Steuerung, Pfad zu Systemordnern von Windows (Windows und System32), Informationen über das Betriebssystem (Version, Build, Veröffentlichungsdatum, Name, Typ, Installationsdatum), Größe der Auslagerungsdatei, Informationen über Monitore (Anzahl, Hersteller, Bildschirmauflösung, Auflösungsvermögen, Typ), Informationen über den Grafikkartentreiber (Hersteller, Veröffentlichungsdatum, Version); - Informationen von ETW, Bereitstellung von EventTrace/EventMetadata Ereignissen von Microsoft: Informationen über die Sequenz von Systemereignissen (Typ, Uhrzeit, Datum, Zeitzone), Metadaten über die Datei mit Trace-Ergebnissen (Name, Struktur, Trace-Parameter, Aufgliederung der Anzahl von Trace-Operationen nach Typ), Informationen über das Betriebssystem (Name, Typ, Version, Build, Veröffentlichungsdatum, Startzeit); - Informationen von ETW, Bereitstellung von Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power Ereignisse von Microsoft: Informationen über gestartete und abgeschlossene Prozesse (Name, PID, Startparameter, Befehlszeile, Rückgabecode, Energieverwaltungsparameter, Start- und Fertigstellungszeit, Typ des Zugriffstoken, SID, SessionID, Anzahl der installierten Deskriptoren), Informationen über Änderungen der Thread-Prioritäten (TID, Priorität, Uhrzeit), Informationen über Laufwerkoperationen des Prozesses (Typ, Uhrzeit, Kapazität, Anzahl), Verlauf der Änderungen der Struktur und Kapazität der nutzbaren Speicherprozesse; - Informationen von ETW, Bereitstellung von StackWalk/Perfinfo Ereignissen von Microsoft: Informationen über Leistungsindikatoren (Leistung von einzelnen Codeabschnitten, Sequenz von Funktionsaufrufen, PID, TID, Adressen und Attribute von ISRs und DPCs); - Informationen von ETW, Bereitstellung von KernelTraceControl-ImageID Ereignissen von Microsoft: Informationen über ausführbare Dateien und dynamische Bibliotheken (Name, Bildgröße, vollständiger Pfad), Informationen zu PDB-Dateien (Name, ID), VERSIONINFO Ressourcendaten für ausführbare Dateien (Name, Beschreibung, Ersteller, Ort, Anwendungsversion und -ID, Dateiversion und -ID); - Informationen von ETW, Bereitstellung von FileIo/DiskIo/Image/Windows Kernel Disk Ereignissen von Windows: Informationen zu Datei- und Laufwerkoperationen (Typ, Kapazität, Startzeit, Fertigstellungszeit, Dauer, Status der Fertigstellung, PID, TID, Funktionsaufrufadressen des Treibers, E/A-Anfragepaket (IRP), Windows-Dateiobjektattribute), Informationen über Dateien, die in Datei- und Laufwerkoperationen involviert sind (Name, Version, Größe, vollständiger Pfad, Attribute, Offset, Prüfsumme des Bildes, Optionen für das Öffnen und Zugreifen); - Informationen von ETW, Bereitstellung von PageFault Ereignissen von Microsoft: Informationen über Zugriffsfehler der Speicherseiten (Adresse, Uhrzeit, Kapazität, PID, TID, Attribute von Windows-Dateiobjekten, Parameter der Speicherzuordnung); - Informationen von ETW, Bereitstellung von Thread Ereignissen von Microsoft: Informationen über Thread-Erstellung/-Fertigstellung, Informationen gestartete Threads (PID, TID, Größe des Stacks, Prioritäten und Zuordnungen von CPU-Ressourcen, E/A-Ressourcen, Speicherseiten zwischen Threads, Stack-Adresse, Adresse der Initialisierungsfunktion, Adresse des Thread Environment Block (TEB), Windows Service-Tag); - Informationen von ETW, Bereitstellung von Microsoft Windows Kernel Memory Ereignissen von Microsoft: Informationen über Speicherverwaltungsoperationen (Status der Fertigstellung, Uhrzeit, Anzahl, PID), Struktur der Speicherzuordnung (Typ, Kapazität, SessionID, PID); - Informationen zu Softwareoperationen im Falle von Leistungsproblemen: ID der Softwareinstallation, Typ und Wert des Leistungsabfalls, Informationen über die Sequenz von Ereignissen innerhalb der Software (Uhrzeit, Zeitzone, Typ, Status der Fertigstellung, ID der Softwarekomponenten, ID des Softwareoperationsszenarios, TID, PID, Funktionsaufrufadressen), Informationen zu den zu überprüfenden Netzwerkverbindungen (URL, Richtung der Verbindung, Größe des Netzwerkpakets), Informationen zu PDB-Dateien (Name, ID, Bildgröße der ausführbaren Datei), Informationen über zu prüfende Dateien (Name, vollständiger Pfad, Prüfsumme), Überwachungsparameter der Softwareleistung; - Information über den letzten fehlgeschlagenen Neustart des Betriebssystems: die Anzahl der fehlgeschlagenen Neustarts seit Installation des Betriebssystems, Code und Parameter des Fehlers, Name, Version und Prüfsumme (CRC32) des Moduls, das den Fehler in der Ausführung des Betriebssystems verursacht hat, Fehleradresse als Offset im Modul, Prüfsummen (MD5, SHA2-256, SHA1) des System-Dumps); - Informationen zur Überprüfung der Authentizität digitaler Zertifikate, die von Signaturdateien verwendet werden: Fingerabdruck des Zertifikats, Algorithmus der Prüfsumme, öffentlicher Zertifikatsschlüssel und Seriennummer, Name des Zertifikatsherausgebers, Ergebnis der Zertifikatsverifikation und ID der Zertifikatsdatenbank; - Informationen über den Prozess, der einen Angriff auf den Selbstschutz der Software ausgeführt hat: Name und Größe der Prozessdatei, Prüfsummen (MD5, SHA2-256, SHA1), vollständiger Pfad der Prozessdatei und Vorlagencode des Dateipfads, Zeitstempel für das Erstellen/Build, Code des Prozessdateityps, Kennzeichen der ausführbaren Datei, Attribute der Prozessdatei, Informationen über das Zertifikat, mit dem die Prozessdatei signiert ist; Typ des Benutzerkontos, mit dem verdächtige Aktivitäten innerhalb des Prozesses oder Threads ausgeführt wurden, ID der Vorgänge, bei denen auf den Prozess zugegriffen wurde; Typ der Ressource, mit welcher der Vorgang ausgeführt wurde (Prozess, Datei, Registrierungsobjekt, FindWindow-Suchfunktion); Name der Ressource, mit welcher der Vorgang ausgeführt wurde; Kennzeichen, das den Erfolg des Vorgangs anzeigt, der Status der Prozessdatei und ihre Signatur gemäß KSN; - Informationen über die Software des Rechtsinhabers: vollständige Version, Typ, Sprachversion und Ausführungszustand der Software, Version der installierten Software-Komponenten und deren Ausführungszustand, Informationen über die installierten Updates, Wert des TARGET-Filters, die Version des Protokolls, welches für die Verbindung mit den Diensten des Rechtsinhabers verwendet wird; - Informationen über die auf dem Computer installierte Hardware: Typ, Name und Modellname, Firmware-Version, Einstellungen von integrierten und angeschlossenen Geräten, die individuelle ID des Computers mit der installierten Software; - Informationen über die Versionen des Betriebssystems und der installierten Updates, Bit-Version, Edition und Einstellungen für den Ausführungsmodus des Betriebssystems, Version und Prüfsummen (MD5, SHA2-256, SHA1) der Kernel-Datei des Betriebssystems und Datum und Uhrzeit, an dem das Betriebssystem gestartet wurde; - Informationen zur Benutzerinteraktion mit den Funktionen der Anwendung (Klicks, Touch-Ereignisse). Um den erklärten Zweck eines besseren Schutzes durch die Software zu erreichen, kann der Rechtsinhaber darüber hinaus Objekte empfangen, die von Angreifern dazu missbraucht werden könnten, dem Computer zu schaden und Bedrohungen für die Informationssicherheit zu erzeugen. Zu solchen Objekten gehören unter anderem: - ausführbare und nicht ausführbare Dateien oder deren Bestandteile; - Fragmente des Arbeitsspeichers des Computers; - Bootsektoren, für den Prozess des Bootens des Betriebssystems; - Datenpakete des Netzwerkverkehrs; - Websites und E-Mails, die verdächtige und schädliche Objekte enthalten; - Beschreibung der Klassen und Instanzen von Klassen des WMI-Verzeichnisses - Berichte über die Anwendungs-Aktivität. Solche Anwendungsaktivitätsberichte enthalten die folgenden Daten zu Dateien und Prozessen: Name, Größe und Version der zum Senden vorgesehenen Datei, Beschreibung und Prüfsummen der Datei (MD5, SHA2-256, SHA1), ID des Dateiformats, Name des Dateilieferanten, Name des Produktes, zu dem die Datei gehört, vollständiger Pfad auf dem Computer, Vorlagencode des Dateipfads, die Erstellung und Änderung von Zeitstempeln der Datei; - Datum und Uhrzeit für den Beginn und das Ende der Gültigkeit des Zertifikats (falls die Datei eine digitale Signatur besitzt), Datum und Uhrzeit der Signatur, Name des Zertifikatsherausgebers, Informationen über den Zertifikatsinhaber, Fingerabdruck, öffentlicher Zertifikatsschlüssel und entsprechender Algorithmus sowie die Seriennummer des Zertifikats; - Name des Benutzerkontos, unter dem der Prozess läuft; - Prüfsummen (MD5, SHA2-256, SHA1) des Namens des Computers, auf dem der Prozess läuft; - Namen der Prozessfenster; - ID der Antiviren-Datenbanken, Name der erkannten Bedrohung gemäß der Klassifizierung des Rechtsinhabers; - Informationen über die installierte Lizenz, ihre ID, ihr Typ und ihr Ablaufdatum; - Lokale Zeit auf dem Computer zum Zeitpunkt der Informationsbereitstellung; - Namen und Pfade der Dateien, auf welche der Prozess zugegriffen hat; - Namen und Werte der Registrierungsschlüssel, auf welche der Prozess zugegriffen hat; - URL- und IP-Adressen, auf welche der Prozess zugegriffen hat; - URL- und IP-Adressen, von denen die laufende Datei heruntergeladen wurde; Der Rechtsinhaber kann zur Erreichung des erklärten Ziels hinsichtlich der Vermeidung von Falschmeldungen außerdem vertrauenswürdige ausführbare und nicht ausführbare Dateien oder Teile davon entgegennehmen. Die Beschreibung der übermittelten Daten in Abhängigkeit von den festgelegten KSN-Nutzungseinstellungen ist im Benutzerhandbuch angegeben. Ihre Entscheidung zur Teilnahme Sie entscheiden allein, ob Sie gemäß dieser Erklärung automatisch regelmäßig Daten an den Rechtsinhaber senden. Sie können jederzeit Ihr Einverständnis widerrufen, indem Sie die Einstellungen der Software wie im Benutzerhandbuch beschrieben ändern. © 2020 AO Kaspersky Lab