Stellungnahme der EU-Kommission

Keine Beweise für Fehlverhalten von Kaspersky

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Die EU-Kommission hat sich auf Anfrage des belgischen EU-Parlamentsmitglieds Gerolf Annemans geäußert. Die bezog sich auf eine Resolution des europäischen Parlaments vom 13. Juni 2018, in der Produkte von Kaspersky als "gefährlich" und "bösartig" beschrieben wurden.

Der EU-Kommission liegen keinerlei Beweise vor, dass es in Unternehmen oder Behörden durch die Nutzung von Produkten des russischen Anbieters Kaspersky Lab irgendwelche Sicherheitsprobleme gibt. Das teilte das Gremium am 12. April mit. Die Stellungnahme erfolgte als Antwort auf eine Anfrage des aus Belgien stammenden EU-Parlamentariers Gerolf Annemans vom 6. März 2019.

Eine Stellungnahme der EU-Kommission nimmt etwas Druck vom russischen Security-Anbieter Kaspersky.
Eine Stellungnahme der EU-Kommission nimmt etwas Druck vom russischen Security-Anbieter Kaspersky.
Foto: Kaspersky

Die Kommisssion beobachte sehr aufmerksam Diskussionen und Entwicklungen im Zusammenhang mit IT-Produkten und IT-Geräten generell, darunter auch Diskussionen, die den Zugang zum europäischen Markt dafür regeln. Allerdings sei die EU ein offener Markt, an dem ausländische Firmen in Übereinstimmung mit den in der EU geltenden Regeln teilhaben könnten.

Zusätzlich hätten Mitgliedsstaaten die Berechtigung darüber zu entscheiden, ob sie Firmen aus Gründen der nationalen Sicherheit innerhalb ihrer Grenzen vom Markt ausschließen können. In Hinblick auf die von Annemans angeschnittene Frage zur Vertrauenswürdigkeit von Kaspersky-Produkten sei von der EU-Kommission keine Untersuchung in Auftrag gegeben worden.

Probleme von Kaspersky begannen in den USA

Kaspersky Lab ist in den vergangenen Jahren als Sitz mit Unternehmen in Russland verstärkt in die Kritik geraten. Der Druck durch Politiker und Behörden wurde zunächst in den USA immer größer, weil man dort fürchtete, der Anbieter arbeite mit russischen Geheimdiensten zusammen oder habe in seinen Produkten Hintertüren für diese eingebaut. Seit Anfang 2017 spekulierten US-Geheimdienste über mögliche Verbindungen des Sicherheitsanbieters zu russischen Geheimdiensten. Bereits damals dementierte Kaspersky dies vehement. Nachdem im Sommer 2017 zuerst die US-Regierung den Anbieter von der Liste der zugelassenen Lieferanten gestrichen und kurz darauf das FBI auch Firmen aufgefordert hatte, keine Software von Kaspersky mehr zu nutzen, verbot die US-Regierung im September 2017 Bundesbehörden formell die Benutzung von Software des russischen Unternehmens.

Das Heimatschutzministerium begründete den Schritt damit, dass es über mögliche Verbindungen zwischen Firmenvertretern und russischen Geheimdiensten besorgt sei und das Risiko bestehe, dass die russische Regierung den Zugang über Kaspersky-Produkte ausnutze, um Informationssysteme der US-Behörden zu kompromittieren. Die Firmenzentrale von Kaspersky in Moskau wies diese Vorwürfe empört zurück. Sie reichte einige Monate später eine Klage gegen das Verbot ein. Auf ein vorangegangenes Angebot des Firmengründers Eugene Kaspersky, den Quellcode der beanstandeten Software offenzulegen, gingen die US-Behörden nicht ein. Auch der Hinweis, dass man als russisches Software-Unternehmen mehr Malware russischer Herkunft identifiziert habe als jedes andere Unternehmen, stieß auf taube Ohren.

Manche Beobachter sahen in den Verdächtigungen von US-Offiziellen eine späte Rache dafür, dass Kaspersky 2015 eine Verbindung zwischen der Spionage-Software "Regin" und der NSA nachgewiesen hatte. Andere mutmaßten einfach, dass der Anbieter den alteingesessenen US-Anbietern unbequem geworden sei und die daher die Gerüchte gestreut hätten. Belastet wurde das Verhältnis im Frühjahr 2018 zusätzlich als herauskam, dass eine von Kaspersky enttarnte und als "Slingshot" bezeichnete Malware von Spezialeinheiten der US-Armee entwickelt und für die Ausspähung von Terroristen genutzt wurde.

Die Malware wurde eingesetzt, um Rechner in Internetcafés zu überwachen, in denen Personen verkehrten, die dem Unterstützerumfeld zugerechnet wurden. Samples der Malware fand Kaspersky unter anderem in Afghanistan, Jemen, Irak, Jordanien, Türkei, Libyen, Sudan, Kenia und der Republik Kongo. Nach der Veröffentlichung von Details zu der Malware durch Kaspersky brachen die US-Behörden ihre Operation ab.

Bemühungen um mehr Transparenz in Europa

In Litauen darf Software von Kaspersky seit Dezember 2017 von Behörden und bestimmten privatwirtschaftlichen Firmen nicht mehr eingesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte dagegen in einer Stellungnahme im Oktober 2017 mitgeteilt, dass dem Amt "keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen." Bereits einige Monate vorher hatte das BSI Medien gegenüber erklärt, dass es mit Kaspersky "seit Jahren andauernde enge Beziehungen und eine gute und vertrauensvolle Zusammenarbeit im Sinne der IT- und Cyber-Sicherheit pflegt". Auch der französischen und der belgischen Regierung liegen Stellungnahmen zufolge keine Anhaltspunkte vor, die das Misstrauen gegenüber dem Anbieter rechtfrtigten.

"Durch eine Kombination aus Transparenz und Verantwortungsbewusstsein muss Glaubwürdigkeit geschaffen werden", sagt Anton Shingarev, Vice President of Public Affairs bei Kaspersky Lab und in dieser Funktion zuständig für die beiden Transparenzzentren in Europa.
"Durch eine Kombination aus Transparenz und Verantwortungsbewusstsein muss Glaubwürdigkeit geschaffen werden", sagt Anton Shingarev, Vice President of Public Affairs bei Kaspersky Lab und in dieser Funktion zuständig für die beiden Transparenzzentren in Europa.
Foto: Kaspersky Lab

Dennoch haben die Vorwürfe dem Unternehmen offenbar erheblich geschadet. Um seine Glaubwürdigkeit wiederherzustellen, richtete es im Mai 2018 ein Transparenzzentrum in der Schweiz ein. Dort sollen dann ab Ende alle Daten von Kunden aus zahlreichen Regionen verarbeitet werden. Auch Updates sollen dann über die Schweiz ausausgeliefert werden. Ein zweites Transparenzzentrum befindet sich derzeit in Madrid im Aufbau. Dort sollen dann ab Juni 2018 Vertreter von Unternehmen und Behörden den Quellcode der Kaspersky-Produkte in Augenschein nehmen und sich generell über das Unternehmen und seien Arbeitsweise informieren können.

Zur Startseite