Computersicherheit Bundesamt warnt jetzt doch vor russischer Kaspersky-Software

Die Cybersicherheitsbehörde des Bundes hält den Einsatz der Kaspersky-Antivirensoftware für risikobehaftet. Das russische Unternehmen könne »gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen«.
Kaspersky-Messestand in Barcelona

Kaspersky-Messestand in Barcelona

Foto: ALBERT GEA / REUTERS

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt jetzt vor dem Einsatz von Kaspersky-Virenschutzprodukten und empfiehlt, diese »durch alternative Produkte zu ersetzen«. Das gab die Behörde am Dienstag bekannt. Konkrete Vorwürfe gegen Kaspersky-Produkte etwa aufgrund eigener Untersuchungen erhob das BSI nicht. Die Warnung dürfte damit letztlich auch politischer Natur sein. Vorausgegangen waren – nach Beginn der russischen Invasion in der Ukraine – Forderungen von Politikern der Ampelkoalition , den Einsatz von Kaspersky-Produkten neu zu bewerten.

Das BSI schrieb nun, Antivirensoftware müsse »systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten.« Diese Verbindung, die nicht nur für Updates, sondern auch für das Funktionieren der Antivirus-Software wichtig ist, bewertet das BSI nun offenbar als potenzielles Risiko. Es sei entscheidend, dass man der Zuverlässigkeit und dem »Eigenschutz eines Herstellers« vertrauen könne. Mit anderen Worten: Es ist für das BSI offenbar ein denkbares Szenario, dass Kaspersky selbst angegriffen wird und darüber dann auch dessen Kunden attackiert werden.

Der entscheidende Satz in der BSI-Mitteilung dazu lautet: »Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyberoperation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.«

BSI empfiehlt: Nicht planlos abschalten

Das Risiko solcher Angriffe ist dem BSI zufolge »erheblich«, wie die Behörde unter Verweis auf »das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die Nato und die Bundesrepublik Deutschland« mitteilte.

Besonders gefährdet seien Betreiber kritischer Infrastrukturen, sie könnten sich nun vom BSI oder vom Verfassungsschutz beraten lassen. In der Mitteilung heißt es aber auch: »Alle Nutzerinnen und Nutzer der Virenschutzsoftware können von solchen Operationen betroffen sein«.

Der Wechsel auf Konkurrenzprodukte solle aber möglichst planvoll vollzogen werden, denn »würden IT-Sicherheitsprodukte und insbesondere Virenschutzsoftware ohne Vorbereitung abgeschaltet, wäre man Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert«.

Kaspersky teilte in einer ersten Reaktion mit, man sei »ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung«. Man sei »der Meinung, dass diese Entscheidung nicht auf der technischen Bewertung der Kaspersky-Produkte beruht, (...) sondern vielmehr aus politischen Gründen getroffen wurde«.

Ohne Russland zu erwähnen, heißt es in der Mitteilung außerdem: »Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut«.

In den USA schon länger von Behörden ausgeschlossen

Ganz neu sind solche Vorwürfe gegen Kaspersky nicht. 2017 schloss die US-Regierung das Unternehmen deswegen von Verträgen mit US-Behörden aus. Firmengründer Eugene Kaspersky sagte dem SPIEGEL damals: »Das war ebenfalls rein politisch motiviert. Ich finde, als Faustregel sollte gelten: Solange sie keine technische Dokumentation zu sehen bekommen, die solche Behauptungen belegt, sollten sie als unwahr betrachtet werden.«

Kaspersky hatte im Oktober 2017 eine Transparenzoffensive angekündigt, »um Skeptikern zu beweisen, dass wir absolut nichts zu verbergen haben und dass man uns als Sicherheitsunternehmen vollstes Vertrauen schenken kann«. So wurde die Datenverarbeitung für Kunden mehrerer Länder in die Schweiz verlegt, und es wurden diverse »Transparenzzentren« eröffnet, in denen autorisierte Partner unter anderem Quellcodes von Kaspersky einsehen können.

2018 hatte das BSI erklärt: »Dem BSI liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen.«

2019 wurde Kaspersky offizieller Partner der Allianz für Cyber-Sicherheit  (ACS) in Deutschland.