Update: BSI-Warnung vor Kaspersky ist schon vor der Begründung festgestanden

Update vom 08.08.2022: Die deutsche Behörde für IT-Sicherheit (BSI) hat Mitte März vor den Produkten des russischen Cybersecurity-Anbieters Kaspersky gewarnt. Die Warnung wurde im Kontext des Krieges in der Ukraine geäussert.

Investigative Recherchen von "Spiegel" und dem "Bayerischen Rundfunk (BR)" zeigen nun, wie das BSI zur Entscheidung kam, vor Kaspersky zu warnen. Die beiden Medien durchkämmten dafür 370 Seiten an Akten. Die Dokumente erhielt "BR" über eine Anfrage nach dem Informationsfreiheitsgesetz und wertete diese anschliessend gemeinsam mit dem "Spiegel" aus.

Wie aus dem Bericht von "BR" hervorgeht, stand die Entscheidung schon vor der Begründung fest. So entschied das BSI etwas mehr als eine Woche nach dem Beginn des Krieges an einer Sitzung, "etwaige Erkenntnisse/technische Gründe" zusammenzustellen, die eine Warnung begründen würden. Dass gewarnt werden soll, schien bereits beschlossene Sache, wie es im Bericht heisst.

In einer ersten Fassung - die nicht freigegeben wurde - begründete das BSI die Warnung damit, dass Russland kein demokratischer Staat sei und Deutschland als Feind ansehe. Es sei daher "nicht sicher, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat beziehungsweise diese nicht in Kürze verlieren wird". Ferner habe Kaspersky "keine Möglichkeit, durch technische oder sonstige Massnahmen die Risikoeinschätzung positiv zu beeinflussen".

Es ist unerheblich, wo die Server stehen

Im November 2018 mietete sich Kaspersky ins Interxion-Rechenzentrum in Glattbrugg ein. Mit diesem Schritt wollte das Unternehmen eigentlich das schon damals angeschlagene Vertrauen der Welt zurückgewinnen, wie Anton Shingarev, Vice President for Public Affairs, Anfang 2019 in einem Interview erklärte. Das BSI überzeugte dieser Umzug offenbar nicht. Es sei unerheblich, wo sich die Server befinden. Wichtig sei, wer Zugriff darauf habe und Änderungen am Code vornehmen könne.

Ferner argumentiert das BSI damit, dass Kaspersky russischen Staatsbürgern gehöre und viele Mitarbeitende Familien in Russland hätten. Man sei "daher dem direkten Einfluss und Druck der Behörden ausgesetzt". Eine Warnung zum damaligen Zeitpunkt empfand das BSI als rechtzeitig, um präventiv zu warnen.

Aufgrund der politischen Aspekte der Warnung, suchte das BSI Rückendeckung beim Bundesinnenministerium. Dieses ergänzte laut dem "BR"-Bericht einen Absatz: "Wir gehen jetzt davon aus, dass die russische Regierung jetzt keine Rücksicht mehr auf das internationale Geschäft und die Reputation von Kaspersky nehmen würde."

Damit war die Warnung bereit zur Veröffentlichung. Am 14. März gab das BSI dem Unternehmen 3 Stunden Zeit, zu reagieren, bevor die Behörde die Meldung publizierte. Das E-Mail ging an zwei Funktionspostfächer - Kaspersky reagierte nicht darauf.

"Vom Ergebnis her gearbeitet"

Das BSI habe eindeutig vom Ergebnis her gearbeitet, zitiert "BR" Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht in Bremen. Dies widerspreche dem gesetzlich festgelegten Auftrag des BSI. Der Professor fügt hinzu, dass es besser gewesen wäre, allgemein vor russischen Produkten zu warnen, statt Kaspersky "als Exempel zu verwenden".

Kaspersky begrüsste die Recherche der beiden Medien, wie das Unternehmen in einer Stellungnahme mitteilt. Das russische Unternehmen hätte den gleichen Eindruck beim Studium der Akten gewonnen - "technische Argumente und Fakten spielten keine Rolle". Das Unternehmen machte dem BSI nach eigenen Angaben "umfangreiche Informationsangebote" und lud zu Tests und Audits ein. Das BSI sei auf keiner dieser Angebote eingegangen.

Kaspersky betont mehrfach, das Unternehmen sei bestrebt, mit dem BSI zusammenzuarbeiten, um die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.

Update vom 18.03.2022:

NCSC gibt keine konkrete Empfehlung zu Kaspersky ab

Das Nationale Zentrum für Cybersicherheit (NCSC) hat eine Stellungnahme zum Einsatz russischer Software veröffentlicht. Darin weist die Behörde darauf hin, grundsätzlich keine Empfehlung zur Verwendung von Produkten abzugeben und fügt an: "Es besteht immer die Möglichkeit, dass Staaten Einfluss auf die Software-Entwicklung oder Manipulation von Produkten nehmen." Die Cybersicherheit liege in der Verantwortung der Unternehmen, Behörden sowie Privatpersonen. Der Entscheid, welche Produkte sie hierzu einsetzen, liege in deren Kompetenz, und die dazugehörende Risikoeinschätzung in Bezug auf Cybergefahren sei hierbei eine wichtige Aufgabe.

Etwas konkreter teilt das NCSC weiter mit, ihm sei bisher kein Missbrauch der Virenschutz-Software Kaspersky in der Schweiz gemeldet worden. Falls das NCSC gesicherte Informationen über einen Missbrauch erhalte, werde es die Öffentlichkeit umgehend informieren und warnen.

Update vom 17.3.2022:

Eugene Kaspersky äussert sich zu den BSI-Vorwürfen

Die unlängst veröffentlichte Empfehlung des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), Software des russischen Unternehmens Kaspersky aus Sicherheitsgründen nicht mehr zu verwenden, schlägt hohe Wellen. Nun hat der Unternehmens-CEO Eugene Kaspersky in einem offenen Brief auf die Warnung der Bundesbehörde reagiert. Wie auch schon sein Unternehmen, wirft auch er dem BSI vor, eine Entscheidung aus politischen Gründen getroffen zu haben.

Kaspersky-CEO Eugene Kaspersky. (Source: zVg)

Wörtlich schreibt Kaspersky: Ohne auf Details einzugehen kann ich sagen, dass diese Behauptungen reine Spekulationen sind, die durch keine objektiven Beweise oder technischen Details gestützt werden. Der Grund dafür ist einfach. In der fünfundzwanzigjährigen Geschichte Kasperskys gab es nie einen Beweis für einen Missbrauch unserer Software zu schädlichen Zwecken. Und das trotz unzähliger Versuche, einen Beweis dafür zu finden".

Das BSI habe über Nacht seine Prinzipien aufgegeben, wirft Kaspersky der Behörde weiter vor. Zudem habe das Amt Quellcode, Architektur und Prozesse seines Unternehmens trotz vieler Angebote nie überprüft. Kaspersky habe nur wenige Stunden Zeit bekommen, sich zu den "falschen und unbegründeten Anschuldigungen zu äussern. Dies ist keine Einladung zum Dialog - es ist eine Beleidigung."

Sein Unternehmen sei nach wie vor offen dafür, alle Bedenken des BSI auf objektive, technische und ehrliche Weise auszuräumen, fährt Kaspersky fort. Im Falle zusätzlicher technischer Analysen und Prüfungen verpflichtet er sich, "dass Kaspersky während dieses Prozesses alle erforderlichen Informationen zur Verfügung stellen und gerne kooperieren wird".

Originalmeldung vom 15.03.2022:

Deutsche IT-Sicherheitsbehörde BSI warnt vor Kaspersky-Software

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Software des russischen Unternehmens Kaspersky. Die Behörde empfiehlt jenen, die eine Antiviren-Lösung des Unternehmens einsetzen, auf ein Produkt eines anderen Herstellers umzusteigen.

Hintergrund für die Warnung ist der Krieg in der Ukraine. Namentlich erwähnt das BSI etwa "die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland". Diese seien mit einem erheblichen Risiko eines erfolgreichen Cyberangriffs verbunden.

"Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden", schreibt das BSI. Gefährdet von solchen Operationen seien alle Nutzerinnen und Nutzer, insbesondere aber Sicherheitsbehörden und Betreiber kritischer Infrastrukturen.

Kaspersky spricht von Entscheidung aus politischen Gründen

In einer Stellungnahme bezeichnet sich Kaspersky als privat geführtes globales Cybersicherheitsunternehmen. Als solches habe Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung. Weiter heisst es: "Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut."

Bezüglich der Warnung des BSI schreibt das Unternehmen: "Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht - für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben -, sondern dass sie aus politischen Gründen getroffen wurde. Wir werden unsere Partner und Kunden weiterhin von der Qualität und Integrität unserer Produkte überzeugen und mit dem BSI zusammenarbeiten, um die Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen."

Weiter schreibt das Unternehmen, es habe seine Datenverarbeitungsinfrastruktur in die Schweiz verlagert und erwähnt zwei Rechenzentren in Zürich. Diese erfüllten erstklassige Branchenstandards und gewährleisteten ein Höchstmass an Sicherheit. Schliesslich zählt Kaspersky mehrere Möglichkeiten auf, wie seine Kunden die angebotenen Lösungen überprüfen können. Dazu zählen etwa die Einsichtnahme in diverse Softwarequellcodes oder in die Software Bill of Materials (SBOM) sowie die Überprüfung der Ergebnisse eines externen Audits.

Ungezielte Angriffe im Rahmen des Cyberkriegs in der Ukraine könnten auch die Schweiz betreffen. Das Nationale Zentrum für Cybersicherheit (NCSC) konnte bisher noch keine Zunahme an Cyberangriffen beobachten. Dafür warnt die Behörden vor allerhand Gaunereien in Zusammenhang mit dem Krieg in der Ukraine. Mehr dazu lesen Sie hier. Mehr zu den IT-technischen Aspekten des Krieges in der Ukraine lesen Sie in unserem Themendossier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.