Folgen der BSI-Warnung für Kaspersky-Kunden und Händler

Der russische Angriff auf die Ukraine hatte sofort die Frage aufgeworfen, wie sich Sanktionen auf Channel-Partner russischer IT-Firmen auswirken. Das BSI hat damals zunächst keine Stellungnahme abgegeben, große IT-Verbände begründeten ihre Zurückhaltung damit, dass sie keine Aussagen in Bezug auf einzelne Firmen machen. Denn im Grunde wussten alle, dass es vor allem darum geht, was die veränderte Lage für Vertriebspartner und Dienstleister bedeutet, die mit Kaspersky zusammenarbeiten. Erstens ist das der mit Abstand wichtigste und am besten etablierte Anbieter mit Zentrale in Russland, zweitens operiert er in dem besonders sensiblen Bereich IT-Security.

Am 15.3. - fast drei Wochen nach Beginn der offenen Kampfhandlungen - hat das BSI vor der Nutzung von Virenschutzsoftware von Kaspersky gewarnt. Die Software des Anbieters solle durch alternative Produkte ersetzt werden, empfiehlt die Behörde. Die Begründung: Ein russischer IT-Hersteller könne derzeit entweder selbst offensive Operationen durchführen oder gegen seinen Willen zum Angriff auf bestimmte Systeme gezwungen werden. Außerdem könnte er womöglich auch selbst als Opfer einer Cyberattacke ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine Kunden missbraucht werden.

Kaspersky wehrt sich gegen die Warnung des BSI

In einer Stellungnahme, die Deutschland-Chef Christian Milde auch auf LinkedIn veröffentlicht hat, erklärt Kaspersky, dass es die Warnung des BSI nicht für gerechtfertigt hält. Der Hersteller beklagt, dass ihm - als langjährigem Partner des BSI - keine Zeit für eine Stellungnahme gegeben wurde.

Die vom BSI angesprochene Manipulationsmöglichkeit bestehe nicht nur bei Kaspersky-Software, sondern bei allen auf dem Markt befindlichen Antivirenprogramme. Daher habe man in der Vergangenheit Maßnahmen ergriffen, um Transparenz herzustellen. Außerdem bemängelt der Hersteller, dass das BSI nicht näher ausführt, welche Anhaltspunkte es habe, die auf eine Gefährdung der Sicherheit der Informationstechnik hindeuten.

"Kaspersky setzt seit mehr als zehn Jahren technische, infrastrukturelle, organisatorische und unternehmensinterne Maßnahmen zur Verbesserung der Transparenz und Sicherheit um, die kontinuierlich von anerkannten Organisationen geprüft und zertifiziert werden", betont der Hersteller.

Außerdem verweist er auf seine Rolle als Lieferant von Informationen über Schwachstellen kritischer Soft- und Hardwaresysteme und darauf, dass lokale Geschäfte von lokalen Geschäftseinheiten geführt werden. "Das gibt uns die Möglichkeit gibt, internationale und lokale Aktivitäten effektiv und unabhängig zu koordinieren", betont Kaspersky, das rein rechtlich übrigens keine russische Firma mehr ist, sondern eine Holding mit Sitz in London. Man unterliege auch nicht dem russischen System of Operational Investigative Measures (SORM) oder anderen ähnlichen Gesetzen und sei daher nicht verpflichtet, Informationen zu teilen.

Aufgrund dieser Argumente bittet Kaspersky das BSI "eine umfassende Prüfung durchzuführen und eine faktenbasierte Entscheidung zur Stärkung der Cybersicherheit und -resilienz in Deutschland zu treffen." Weitere Dokumente seien dem BSI zur Prüfung vorgelegt worden.

Am 16. März hat sich dann auch Firmengründer Eugene Kaspersky in einem offenen Brief an das BSI gewandt. Darin bringt er sein Unverständnis und seine Enttäuschung über den Schritt zum Ausdruck und erklärt: "Ich empfinde es als traurig, ja ironisch, dass die Organisation, die sich für Objektivität, Transparenz und technische Kompetenz einsetzt – im übrigen dieselben Werte, die Kaspersky seit Jahren ebenso wie das BSI und andere europäischen Regulierungsbehörden und Branchenverbände unterstützt –, sich buchstäblich über Nacht dazu entschlossen hat oder gezwungen wurde, diese Prinzipien aufzugeben."

Update vom 6. April: Am 1. April hat das Kölner Verwaltungsgericht die BSI-Warnun vor Nutzung der Virenschutzsoftware von Kaspersky bestätigt. Am 6. April hat dann Kaspersky nochmals Stellung dazu bezogen und sich in einem Webcast Partnern und Kunden gegenüber dazu geäußert.

BSI bleibt auch auf Nachfrage vage

In der Schweiz hat das Nationale Zentrum für Cybersicherheit (NCSC) - das dort ähnliche Aufgaben hat wie das BSI in Deutschland - auf Anfrage von Inside-IT mitgeteilt, mit, dass es keine Kenntnis von einem Missbrauch durch Kaspersky habe. "Falls das NCSC diesbezüglich bewiesene Anhaltspunkte hätte, würde das NCSC die Öffentlichkeit entsprechend warnen und informieren", erklärte Pascal Lamia, der operative Leiter des Zentrums, gegenüber dem Portal.

Das BSI antwortet auf eine Anfrage von ChannelPartner nur mit Ausschnitten aus der ohnehin bekannten, offiziellen Stellungnahme vom 15. März. Einzige Erkenntnis dieser Anfrage ist, dass sich das Amt für die drängendste Frage für Partner und Kunden nicht zuständig hält: "Eine Einschätzung zu juristischen Fragestellungen in Bezug auf Vertragsverhältnisse oder Lizenzvereinbarungen kann das BSI nicht abgeben." Die Frage lautete konkret: "Begründet solch eine Warnung des BSI regelmäßig eine außerordentliche Beendigung des Vertragsverhältnisses?"

Ebenfalls keine Antwort gibt es auf die Frage, ob die Warnung "nur" die in der BSI-Mitteilung "Virenschutzsoftware" genannten Produkte von Kaspersky umfasst - also in der Sprache des Herstelllers die Edpoint Security Suiten, beziehungsweise die "Internet Security" und "Total Security" genannten Produktreihen, "Kaspersky Security für Office 365" und die unter dem Begriff "Optimum Security" vermarkteten Angebote für EDR und Managed Protetion - oder ob das BSI auch von Angeboten wie DDoS-Protection und Vulnerability & Patch Management abrät.

Keine erläuternden Aussagen waren von einem Sprecher des BSI zudem zu der Frage zu bekommen, ob sich die technische Einschätzung der Software von Kaspersky durch die Behörde seit 2017 geändert hat. Damals erklärte sie nach einer Untersuchung im Zusammenhang mit Vorwürfen gegen das Unternehmen in den USA: “Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.”

Die damals zu den Untersuchungsergebnissen veröffentlichte Mitteilung wurde inzwischen gelöscht, sie lässt sich aber noch über das Internet Archive abrufen. Weiter heißt es da: "Das BSI steht in engem Austausch mit weiteren Sicherheitsbehörden, beobachtet und analysiert den Sachverhalt, so dass das BSI bei Erfordernis kurzfristig entsprechend informieren und gegebenenfalls warnen kann." Ob diese Beobachtung jetzt neue Erkenntnisse ergeben hat, teilte das BSI nicht mit.

Vorgeschichte der BSI-Warnung vor Kaspersky-Software

Die Warnung des BSI wirft insgesamt mehr Fragen auf, als sie beantwortet. Nachdem 2017 in mehreren Berichten behauptet wurde, Kaspersky sei 2014 in den USA in Spionagetätigkeiten verwickelt gewesen, leitete der Hersteller eine interne Untersuchung ein. Die kam zu dem Ergebnis, dass in dem Fall Kaspersky-Software zwar involviert war, es sich aber nicht um zielgerichtete Spionage gehandelt hatte. Es seien keine vertraulichen Daten vom Rechner eines NSA-Mitarbeiters an Kaspersky-Server übertragen worden - wie dem Unternehmen vorgeworfen wurde -, sondern als Malware erkannter Code, der näher untersucht werden sollte.

Pikant daran war, dass es sich dabei um eine Malware handelte, die der Equation Group zugeschrieben wird, die wiederum dem US-Auslandsgeheimdienst NSA zugeordnet wird. Die vertraulichen Daten waren in dem Fall also womöglich von der NSA selbst aktiv genutzter Schadcode. Die Warnung des FBI vor Kaspersky-Software und die Streichung des Anbieters aus der Liste der für US-Behörden zugelassenen Lieferanten und schließlich das Verbot der US-Regierung, Kaspersky-Software in Behörden einzusetzen, muteten daher etwas kurios an - schließlich hatte der Hersteller erst unter Beweis gestellt, dass er auch komplexe, mit staatlicher Unterstützung erstellte Malware zuverlässig aufspüren und blockieren kann.

Die von US-Seite unterstellten Verbindungen zu russischen Geheimdiensten dementierte Kaspersky stets. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sah 2017 keinen Anlass zur Besorgnis. Es erklärte damals: "Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen." Auch die EU-Kommission konnte 2019 in einer Untersuchung kein Fehlverhalten des Anbieters feststellen - nachdem zuvor das Europäische Parlament in einer Resolution dessen Produkte als "gefährlich" und "bösartig" bezeichnet hatte.

Was sind bisherige Tests von Kaspersky-Produkten wert?

Aufgrund der durch den militärischen Angriff auf die Ukraine veränderten Lage, und angesichts verbreiteter Befürchtungen, dass sich begleitende Cyberangriffe nicht nur gegen die Ukraine richten, sondern auch auch in weiteren Ländern mit Cyberangriffen zu rechnen ist, gegen die Deutschland schlecht gerüstet ist, hat das BSI seine Meinung nun jedoch revidiert. Gegenüber ChannelPartner erklärt Kaspersky, dass das Unternehmen weiter mit dem BSI zusammenarbeiten wolle, um Bedenken auszuräumen und erklärt "Wir sind der Meinung, dass die BSI-Entscheidung nicht auf der technischen Bewertung unserer Produkte beruht, sondern vielmehr aus politischen Gründen getroffen wurde."

Diese Einschätzung unterstützt auch das Ergebnis des aktuellen Virenschutz-Vergleichs der Stiftung Warentest. Da belegt Kaspersky den ersten Platz. Das Ergebnis hat die Stiftung jedoch kurz nach der Veröffentlichung wieder zurückgezogen. "Unseren derzeitigen Erkenntnissen zufolge hat sich an der Schutzwirkung der Kaspersky-Programme nichts geändert. Dennoch ist nicht auszuschließen, dass die russische Regierung Druck auf den Anbieter ausübt, um Änderungen an der Software zu erreichen, die sich negativ auf deren Funktionsweise auswirken", begründet das die Stiftung.

AV-Test kam in einer am 1. März veröffentlichten Zusammenfassung seiner 2021 durchgeführten Tests ebenfalls zu dem Schluss : "Kaspersky zeigte in allen Tests im Jahr 2021 eine überragende Leistung beim Schutz vor Cyberbedrohungen unter Windows 10 für Privatanwender. Für diese erfolgreichen Testergebnisse über das gesamte Jahr erhält Kaspersky Internet Security den AV-TEST Award Best Protection 2021 für Privatanwender." Auch das legt nahe, dass die Klage von Kaspersky, es handle sich bei der Warnung des BSI um eine eher politisch als technisch motivierte Aussage, berechtigt ist.

"Aktuell planen wir daher nicht, unser Testergebnisse beziehungsweise Empfehlungen zurückzuziehen", erklärt Andreas Marx, Geschäftsführer des deutschen Testinstituts AV-Test auf Anfrage gegenüber ChannelPartner. "Wir haben bisher keine Hinweise darauf, dass Kaspersky Daten unberechtigt abgreift. Aber die technische Möglichkeit (wie bei jeder AV-Software) besteht und keiner kann vorhersagen, ob Russland einen Zugriff erzwingt beziehungsweise erzwingen kann. Das BSI hat das letztlich auch so formuliert", erklärt Marx weiter.

Laut Marx kann Sicherheitssoftware "quasi alles auf einem System anstellen", well sie einen weit reichenden Zugriff auf alle Programme und Daten hat. Daher sei deren Einsatz letzlich immer eine Frage des Vertrauens: "Vertraue ich meinem Sicherheitsanbieter, etwa in Puncto Virenschutz, Passwort-Manager oder VPN und so weiter?"

Anders sieht es bei bestimmten Unternehmen (die zum Bereich "kritische Infrastrukturen" gehören) und Behördenaus. Für die sei die BSI-Warnung eine klare Handlungsempfehlung. "Wenn man als Privatanwender weiterhin Kaspersky nutzen möchte, kann man das tun - das Produkt wird auch weiterhin in Deutschland angeboten und verkauft", sagt Marx. Wer bei Sichherheitssoftware generell Bedenken habe, könne zudem auch zu Software greifen, die fast ausschließlich in der EU entwickelt wird und in den Tests von AV-Test für Security-Suiten für Privatanwender gut abschneiden. Dazu zählen unter anderem Avira, Avast/AVG, Bitdefender, Eset, F-Secure und G Data.

Thorsten Urbanski, Head of Communications & Public Relations bei Eset DACH, verweist in diesem Zusammenhang auf die Teletrust-Erklärung vom 2. November 2021, der zur Folge vertrauenswürdige IT-Security-Unternehmen nicht nur ihren offiziellen Firmensitz im EU-Raum besitzen, sondern auch ausschließlich im EU-Raum forschen und entwickeln. Das trifft auf Kaspersky natürlich nicht, dafür aber auf die oben genannten IT-Secirity-Anbieter zu.

Unterdessen gerät Kaspersky auch auf anderer Ebene unter Druck: Als Folge der BSI-Warnung hat der Bundesliga-Klub Eintracht Fankfurt seine Zusammenarbeit mit Kaspersky beendet. Die bestand seit 2018 und war langfristig angelegt.

Was die BSI-Warnung für Kaspersky-Kunden und Partner bedeutet

Unabhängig davon stellt sich die Frage, was die BSI-Warnung für Kaspersky-Kunden bedeutet. Schließlich wird ihnen empfohlen, auf andere Software zu wechseln. Die Verbraucherzentrale weist in dem Zusammenhang darauf hin, dass Hinweise für tatsächlich durch die Software erfolgten Missbrauch bislang nicht bekannt sind und hält es für "eher unwahrscheinlich", dass solch eine pauschale Warnung Verbraucher dazu berechtigt, das bereits bezahlte Geld für die restliche Laufzeit ihrer Antiviren-Software-Lizenz zurück zu bekommen.

Auch Helge Scherff, Regional Vice President Central Region beim Kaspersky-Distributor Nuvias, berichtet ChannelPartner von einzelnen Resellern, die bei ihm angerufen haben und ihre Kaspersky-Lizenzen abgeben wollten. "Das geht natürlich nicht so einfach", erklärt Scherff. Die Software-Nutzungslizenzen sind an bestimmte Laufzeiten gebunden, üblicherweise ein oder zwei Jahre, und für diesen Zeitraum auch schon bezahlt. Anders sehe es bei MSP-Verträgen aus. Diese können unter Umständen monatlich gekündigt werden.

Zur BSI-Empfehlung, Kaspersky-Produkte nicht mehr zu nutzen, äußerte sich Scherff vorsichtig: "Das ist alles ist sehr schwammig formuliert". Er bezieht sich dabei auf die BSI-Aussage, wonach ein russischer Anbieter "gegen seinen Willen zum Angriff auf bestimmte Systeme gezwungen werden" könnte. Auf jeden Fall sieht der Nuvias-Manager derzeit keinen dringenden Handlungsbedarf, Kaspersky-Software nicht mehr zu nutzen - auch wenn der Distributor Kaspersky-Alternativen schon länger in seinem Portfolio hat.

Bechtle, einer der größten Vertriebspartner von Kaspersky, schloss sich der am 15. März 2022 durch das BSI ausgesprochenen Warnung vor dem Einsatz von Virenschutzsoftware des Herstellers Kaspersky an. In einer offiziellen Stellungnahme teilt der IT-Dienstleister die BSI-Einschätzung zur aktuellen Cyber-Bedrohungslage.

Demnach lägen derzeit zwar noch keine Erkenntnisse zur akuten Gefährdung deutscher Unternehmen vor, doch weil viele Kunden Fragen zur ihrer aktuellen Cyber-Sicherheit stellen, folgt Bechtle der BSI-Empfehlung, Virenschutzsoftware von Kaspersky durch alternative Produkte zu ersetzen.

Wie Kaspersky-Mitbewerber reagieren

Einige Kaspersky-Wettbewerber sehen ihre Chance und offerieren bereits Alternativen zu den Lösungen des russischen Anbieters. De werden Stimmen aus dem Markt zufolge aktuell von den Kaspersky-Partnern auch stark nachgefragt. Zu denen, die sich bereist offensiv als Alternativen positioniert haben, gehören Bitdefender und Sentinel One. Beide tun das allerdings schon länger und haben die aktuelle Lage nur zum Anlass genommen, darauf noch einmal hinzuwesen beziehungsweise ihr Angebot anzupassen.

Bitdefender hatte bereits Ende Februar erklärt, zusammen mit dem rumänischen nationalen Cybersicherheitsrat (Directoratul National de Securitate Cibernetica /DNSC) ein Jahr lang kostenlos Bitdefender-Technologien für Unternehmen oder öffentliche Einrichtungen aus dem NATO-Raum oder der Europäischen Union bereitzustellen, "die ihre Cybersicherheitslage verbessern wollen, indem sie IT-Sicherheitslösungen ersetzen, die aus technischer oder geopolitischer Sicht bedenklich sind." Sentinel One hatte zumindest in den USA schon unter Verweis auf den Ukraine-Krieg aktiv um Kaspersky-Kunden geworben.

Die BSI-Warnung und Wechselempfehlung baue enormen Druck auf Kaspersky-Partner auf, berichtet auch René Hofmann, Sales Director und Prokurist bei Securepoint. Sie müssten jetzt schnellstmöglich andere Lösungen einsetzen, "weil ihre Kunden das zu sofort und mit allem Nachdruck aktiv fordern. Das ist fast schon ein 'Fukushima-Moment'. Die Verunsicherung ist bei den Verantwortlichen entsprechend sehr groß", sagt Hofmann.

Er unterbreitet daher ein Wechselangebot auf Securepoint. "Beim Wechsel auf Securepoint Antivirus Pro übernehmen wir sofort die noch bestehenden Kaspersky-Vertragslaufzeiten. Partner und Systemhäuser können so bei ihren Kunden eigene Services lückenlos und geschützt weiter betreiben." Hofmann verspicht einen einfachen und unbürokratischen Umstieg.

Andere Kaspersky-Wettberwerber wollen hier nicht namentlich genannt werden, sie berichten uns aber von verstärkten Anfragen größerer und kleinerer Vettriebspartner des russischen IT-Security-Anbieters. Diese Anfragen gab es verzeinzelt schon zu Beginn der Invasion der russischen Armee in der Ukraine, seit Anfang dieser Woche, also noch vor der BSI-Warnung, nahmen diese Anfragen "signifikant" zu, und das obwohl diese Anbieter keinerlei spezielle Marketingaktionen für die Ablösung der Kaspersky-Produkte gestartet hätten.

Doch einige Vertriebspartner von Kaspersky-Wettbewerbern wurden aktiv. Zum Beispiel offeriert Cyqueo, ein Vertriebspartner von Zscaler und Proofpoint eine "sichere Ablöse". Werner Theis, Geschäftsführer beim Crowdstrike-Partner Systag, bietet Kaspersky-Partnern ebenfalls an, auf ihn zuzugehen: "Wirtschaftlich werden wir sicher eine gute Lösung finden", verkündet Theis via Linkedin.

Mehr zum Thema:
Kaspersky steht Partnern Rede und Antwort
BSI-Warnung vor Kaspersky-Virenschutz war rechtens
So engagiert sich die IT-Branche für die Ukraine
Kaspersky Lab fordert mehr Transparenz und Verantwortungsbewusstsein
Verzicht auf Russlandgeschäft für IT-Firmen oft wenig schmerzhaft
Wie sich der Ukraine-Krieg auf das Channel-Geschäft mit russischen Firmen auswirkt
Zwei Wochen Ukraine-Krieg: Folgen für Wirtschaft und Verbraucher