Kaspersky Warnung durch das BSI
Kaspersky Warnung durch das BSI
Bildquelle: madartzgraphics, Lizenz

Kaspersky: Warnung durch BSI war rein politisch motiviert

Im März warnte das BSI vor der Sicherheitssoftware von Kaspersky. Wie sich jetzt herausstellte, gab es keine technischen Anhaltspunkte dafür.

Laut einem Bericht des Bayerischen Rundfunks, war die Warnung des BSI vor Software von Kaspersky im März politisch motiviert. Technische Anhaltspunkte gab es folglich nicht. Kaspersky selbst hatte dabei keinerlei Mitspracherecht, obwohl das Unternehmen stets eine hohe Kooperationsbereitschaft signalisierte.

Erst die Entscheidung, dann die Suche nach dem Grund

Im vergangenen März hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz von Antiviren-Software des russischen Cybersicherheitsexperten Kaspersky gewarnt. Dokumente, die dem Bayerischen Rundfunk (BR) vorliegen, weisen auf langwierige interne Diskussionen hin. Außerdem soll ein großer Einfluss durch das Bundesinnenministerium (BMI) erfolgt sein. Demnach soll die Warnung weniger technische als vielmehr politische Gründe gehabt haben.

Rund eine Woche nach dem Einmarsch der russischen Armee in die Ukraine, soll eine Leitungsrunde stattgefunden haben. An dieser war auch der BSI-Präsident Arne Schönbohm beteiligt. Der Beschluss dieser Besprechung war es, „etwaige Erkenntnisse/technische Gründe“ zusammenzustellen, auf deren Basis sich die Warnung vor Kaspersky rechtfertigen ließe. Dass überhaupt eine Warnung erfolgen sollte, stand dabei überhaupt nicht mehr in Frage.

Kaspersky als russisches Werkzeug für digitale Kriegsführung

Als Gründe wurden die weitreichenden Möglichkeiten angeführt, die sich durch Anti-Viren-Software für potenzielle Angreifer bieten. Denn derartige Sicherheitssoftware ist oftmals tief im System verwurzelt und verfügt über weitreichende Systemberechtigungen.

Und obwohl Kaspersky keinerlei Schwachstelle in Form einer Hintertür in der Software nachgewiesen werden konnte und die Server des Unternehmens in die Schweiz verlegt wurden, blieb das Vertrauen aufgrund seiner russischen Wurzeln auf der Strecke.

Das BSI sehe demnach eine zu große Gefahr darin, dass das Unternehmen „dem direkten Einfluss und Druck der Behörden“ Russlands ausgesetzt ist. Das ermögliche es der russischen Regierung, die Software zu kapern und dadurch ein mächtiges Werkzeug für digitale Kriegsführung zu erhalten. Kaspersky habe „keine Möglichkeit, durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen„.

Und da es Aufgabe des BSI sei, die deutsche Infrastruktur zu schützen, erfolgte am 15. März die öffentliche Warnung vor den Produkten von Kaspersky.

Kaspersky: Gestern Freund, heute Feind

Ein Mitspracherecht hatte Kaspersky dabei nicht. So beteuert das Unternehmen in einer Pressemitteilung, „dem BSI seit Februar umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen“ zu haben. Doch das BSI sei auf „keines dieser Angebote […] während der Warnung eingegangen.

Weiterhin hebt das Unternehmen hervor, es versichere „seinen Partnern und Kunden weiterhin die Qualität und Integrität seiner Produkte und ist bestrebt, mit dem BSI zusammenzuarbeiten, um dessen Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.

Noch 2017 sprach das BSI ein Lob für die „vertrauensvolle Zusammenarbeit“ mit Kaspersky aus, wie der BR berichtet.

Vertrauen in das BSI steht auf der Kippe

Fragwürdig bleibt grundsätzlich die Reihenfolge, in der das BSI handelte. Denn zuerst erfolgte die Entscheidung für eine Warnung vor Kaspersky und im Anschluss erst die Suche nach Gründen. Laut Dennis-Kenji Kipker, einem Professor für IT-Sicherheitsrecht an der Universität Bremen, müsse das BSI gemäß BSI-Gesetz auf Grundlage von wissenschaftlich-technischen Erkenntnissen arbeiten.

Das bedeutet jedoch, dass erst eine Analyse erfolgen muss, auf deren Basis im Anschluss eine Entscheidung getroffen wird. Da es zum Zeitpunkt der Warnung keine technischen Anhaltspunkte gab, hätte das BSI lediglich generell vor russischen Produkten warnen dürfen. Durch Warnungen auf Basis geopolitischer Gründe in Abstimmung mit dem BMI, schwächt die Behörde lediglich das Vertrauen in ihre eigenen technischen Analysen. Laut Kipker bleibt damit fraglich, „ob unsere Cybersicherheitsarchitektur wirklich etwas taugt.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.