Foto: catwalker - shutterstock.com
Kurz nach Beginn des Ukrainekriegs im März hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Antivirensoftware von Kaspersky gewarnt. Es bestünde ein "erhebliches Risiko eines erfolgreichen IT-Angriffs" durch Russland. Nutzer sollten auf Alternativen umsteigen. Nach vielen Diskussionen und Versuchen des russischen Herstellers, die Warnung der deutschen Sicherheitsbehörde zu kippen, wurde sie dann doch als rechtens angesehen.
Dem "Bayerischen Rundfunk" und dem "Spiegel" liegen nun interne Dokumente vor, die zeigen, wie schwer sich das BSI mit seiner Entscheidung getan hat.
Darum wurde vor Kaspersky gewarnt
Laut BR habe das BSI seine Warnung damit begründet, dass Russland "kein demokratischer Rechtsstaat" sei und Deutschland als Feind ansehe. Grund dafür seien die verhängten Sanktionen. Deshalb sei es "nicht sicher, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat" und die Gefahr bestehe, dass der Hersteller diese Kontrolle in Kürze verlieren könnte. Darüber hinaus sei mit "feindlichen Übergriffen auf deutsche Institutionen, Unternehmen und IT-Infrastrukturen" zu rechnen. Weil Kaspersky keine Möglichkeit habe, "durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen", müssten Anwenderunternehmen gewarnt werden.
Lesetipp: Woran scheitert die Cyberabwehr?
Das spricht gegen die Warnung des BSI
Dieser offiziellen Warnung gingen offenbar hitzige Diskussionen voraus. Der erste Entwurf der Warnung scheiterte intern. Ein Abteilungsleiter des BSI habe darauf hingewiesen, dass Kaspersky in den vergangenen Jahren Server in die Schweiz verlegt hat. Außerdem habe der Anbieter seit Ende 2019 veranlasst, dass die Datenspeicherung und -verarbeitung, die Software-Integration sowie der Quellcode von einer unabhängigen Partei beaufsichtigt und überprüft werden.
Was noch gegen eine Warnung vor dem russischen Softwarehersteller sprach: Eine technische Sicherheitslücke in den Kaspersky-Produkten konnte nicht nachgewiesen werden. BSI-Vizepräsident Gerhard Schabhüser schaltete sich in die Diskussion ein. Der Entwurf würde eine "Eskalation im Cyberraum" anheizen, warnte er. Deswegen sollte er umformuliert werden. Auch BSI-Präsident Arne Schönbohm wollte die Warnung in dieser Version dem BR zufolge nicht freigeben.
Die russische Regierung nehme keine Rücksicht
2017 habe das BSI die Zusammenarbeit mit Kaspersky noch gelobt. Damals hatte die US-Regierung ihren Bundesbehörden verboten, die Software des russischen Anbieters zu nutzen. Nun wurde erneut auf die Verbindungen des Unternehmens nach Russland hingewiesen: Zwar hat die Holding Kaspersky Labs Limited ihren Sitz in London, das operative Geschäft wird jedoch überwiegend in Moskau abgewickelt. Außerdem gehört die Firma russischen Staatsbürgern und viele Mitarbeiter haben Familie in Russland. Somit wurde in einer neuen Version der Warnung politisch argumentiert: "Wir gehen jetzt davon aus, dass die russische Regierung jetzt keine Rücksicht mehr auf das internationale Geschäft und die Reputation von Kaspersky nehmen würde."
Dennis-Kenji Kipker, Professor für IT-Sicherheit in Bremen, hat die Unterlagen durchgesehen und das BSI kritisiert. Das Bundesamt habe "eindeutig vom Ergebnis her" gearbeitet. Das bedeutet, es habe sich zuerst das Ergebnis, also die Warnung vor Kaspersky, erarbeitet, und dann überlegt, wie es dieses Ergebnis herleiten und rechtfertigen kann. Besser wäre es dem Professor zufolge gewesen, nicht vor Kaspersky als Exempel zu warnen, sondern allgemein vor russischen Produkten.
Kaspersky will konstruktiven Dialog
Kaspersky veröffentlichte ein Statement zu den Recherchen der Nachrichtendienste und dem Kommentar des Professors:
"Kaspersky schätzt die ausführliche Recherche und Bewertung des Bayerischen Rundfunks und des Spiegel zum Entscheidungsprozess des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Warnung vor Kaspersky. Das Unternehmen ist bestrebt, den langjährigen konstruktiven Dialog mit dem BSI fortzusetzen, um gemeinsam auf der Basis faktenbasierter Bewertungen für ein Höchstmaß an Cybersicherheit für unsere deutschen und europäischen Bürger sowie Unternehmen einzutreten.
Kaspersky begrüßt, dass die Medien von den Möglichkeiten des Bundesinformationsfreiheitsgesetzes Gebrauch gemacht haben, auf der Grundlage der 370 Seiten umfassenden BSI-Akten recherchiert und die Öffentlichkeit über ihre Erkenntnisse informiert haben. Zu den Recherchen gehört auch eine Analyse des renommierten IT-Sicherheitsrechtlers Prof. Kipker. Ihm zufolge ist aus den Akten ersichtlich, dass die Veröffentlichung der Warnung von Anfang an feststand und Gründe und Argumente für dieses erst danach zusammengetragen wurden. Auch das Bundesverfassungsgericht hatte festgestellt, dass die Rechtmäßigkeit der BSI-Abmahnung unklar ist und im Hauptsacheverfahren geklärt werden muss."
Man habe dem BSI seit Februar umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen, beteuerten die Kaspersky-Verantwortlichen. Auf keines dieser Angebote sei das BSI eingegangen. Die Russen betonten ihr "dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber den Kunden und verwiesen auf ihr globale Transparenzinitiative. "Kaspersky versichert seinen Partnern und Kunden weiterhin die Qualität und Integrität seiner Produkte und ist bestrebt, mit dem BSI zusammenzuarbeiten, um dessen Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen."