Kaspersky: Wie viel Politik steckte in der Warnung des BSI?

Knapp drei Wochen nach Beginn des russischen Angriffskrieges in der Ukraine gab das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung heraus. In dieser wurde empfohlen, „Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.“

Das russische IT-Unternehmen gab am selben Tag noch ein Statement zu dieser Warnung ab, in der es die Argumente für diese Warnung eher politisch begründet sieht:

„Wir sind der Meinung, dass diese Entscheidung nicht auf der technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben –, sondern vielmehr aus politischen Gründen getroffen wurde.“

Kaspersky-Blog, 15. März 2022

Weiters hält Kaspersky fest, dass es „ein privat geführtes globales Cybersicherheitsunternehmen ist, und als privates Unternehmen keine Verbindungen zur russischen oder einer anderen Regierung hat.“

Kaspersky legt Wert auf Transparenz und startete 2017 die Globale Transparenzinitative (GTI). Ein Teil der Daten-Infrastruktur wurde in die Schweiz verlegt, seit November 2018 werden Daten europäischer Nutzer in eben diesen Rechenzentren gespeichert und verarbeitet. Auch gibt das Unternehmen beispielsweise Einsicht auf Dokumentationen sowie in Quellcodes der bekanntesten Produkte für Privatnutzer und Unternehmen.

Kaspersky suchte Rückendeckung beim BSI

Anfang März kontaktierte Kaspersky das BSI per E-Mail. Kunden des IT-Unternehmens waren wohl verunsichert, da es nach der Invasion Russlands in die Ukraine „keine Stellungnahmen des BSI zur Sicherheit von Kaspersky gibt“. Das russische Unternehmen möchte mit Unterstützung des BSI seine Kunden über die Sicherheit seiner Produkte aufklären.

Auf diese Anfrage folgte reger E-Mail-Verkehr innerhalb des BSI, den der Bayerische Rundfunk über eine Anfrage nach dem Informationsfreiheitsgesetz erhalten hat. Inkludiert sind hier auch rund 370 Seiten an Unterlagen, wie es zur Entscheidung des BSI gekommen war. Diese hat der Bayerische Rundfunk nun gemeinsam mit dem „Spiegel“ analysiert.

Der Weg zur Entscheidung

Aus den Unterlagen geht hervor, dass die Entscheidungsfindung keine leichte war. Den Startschuss dazu gab eine kurze interne E-Mail des BSI-Präsidenten Arne Schönbohm, in der er schrieb (sic!): „Glaube leider gar nicht antwortem“.

Am 2. März sollte bei einem Treffen im BSI, an dem auch BSI-Präsident und BSI-Vizepräsident teilnahmen, der „Umgang mit Kaspersky“ besprochen werden. Wie man dem Protokoll entnehmen kann, sollen „etwaige Erkenntnisse/technische Gründe“ gesammelt werden, mit denen eine Warnung vor Produkten des IT-Unternehmens argumentiert werden kann.

Da Kasperskys Antiviren-Software in vielen deutschen Unternehmen, auch solchen, die zur Absicherung kritischer Infrastruktur zuständig sind, zum Einsatz kommt, wird befürchtet, dass Spione die Software hacken könnten, um Firmen, Institutionen oder Verwaltungsapparate zu bespitzeln.
Dazu kam die Befürchtung, dass Russland Deutschland wegen der verhängten Sanktionen als Feind ansehen könnte. Es sei „Gefahr im Verzug“, da es „nicht sicher sei, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat bzw. diese nicht in Kürze verlieren wird“. Da Kaspersky selbst keine Möglichkeit hätte, „durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen“, müsse gewarnt werden.

BSI bezieht BMI in Entscheidungsfindung mit ein

Das BSI ist dem Innenministerium unterstellt, kann derartige Entscheidungen aber für gewöhnlich selbst treffen. Bei strategischen Positionierungen sei jedoch „grundsätzlich das BMI miteinzubeziehen“. In diesem Fall bezog das BSI allerdings das BMI in die Entscheidungsfindung mit ein, da es „ein üblicher Vorgang ist, dass die obersten Bundesbehörden in solchen Fällen mit hoher politischer Bedeutung (…) in den Entscheidungsprozess eingebunden werden.“

Ein erster Entwurf wird von einigen im BSI mit Hinweis auf die Sicherheitsvorkehrungen Kasperskys in den vergangenen Jahren nicht unterzeichnet. Auch Arno Schönbohm ist mit dieser Fassung nicht einverstanden, es soll umformuliert werden.
Die überarbeitete Version behandelt die eingebrachten Kritikpunkte, allerdings wird nun erklärt, dass Kaspersky diverse Verbindungen nach Russland hätte, der Firmensitz ist in Moskau, die Inhaber sind russische Staatsbürger, viele Mitarbeiter haben ihre Familien in Russland. Daher wird schlussgefolgert, dass man „dem direkten Einfluss und Druck der Behörden ausgesetzt“ sei.
Das BSI betont hier, dass man nicht erst abwarten sollte, bis die Software von Kaspersky missbraucht würde, sondern präventiv handeln sollte.

Schließlich kommt das BMI zum Zug. Der Abteilungsleiter für Cybersicherheit bemängelt, dass sich sämtliche Argumente zu sehr auf die Vergangenheit beziehen, weshalb ein Absatz hinzugefügt wird: „Wir gehen jetzt davon aus, dass die russische Regierung jetzt keine Rücksicht mehr auf das internationale Geschäft und die Reputation von Kaspersky nehmen würde.“

Begründet mit dem Krieg seien also sämtliche Annahmen, die das BSI bisher bezüglich Kaspersky getroffen habe, hinfällig.

Information an Kaspersky

Die Warnung und deren Inhalte wurden somit abgestimmt und zur Veröffentlichung freigegeben. Am 14. März wird Kaspersky noch vom BSI darüber informiert. Es wird eine dreistündige Frist eingeräumt, in der das IT-Unternehmen reagieren kann, was jedoch nicht geschah.

„Eindeutig vom Ergebnis her“ gearbeitet

Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht in Bremen, analysierte die Vorgehensweise, wie sie in den Unterlagen dokumentiert wurde. Seiner Meinung nach habe das BSI „eindeutig vom Ergebnis her“ gearbeitet. Dass eine Warnung herausgegeben werden sollte, war scheinbar bereits beschlossene Sache, bevor nach den passenden Argumenten gesucht wurde.

Das BSI handelt nach dem BSI-Gesetz, wo in § 1 angeführt ist, dass es „Aufgaben gegenüber den Bundesministerien auf Grundlage wissenschaftlich-technischer Erkenntnisse durchführt“. Kipker kritisiert hier, dass die aus den Unterlagen hervorgehende Arbeitsmethode genau das Gegenteil zeigt.

In einem Gastbeitrag bei Legal Tribune Online stellt Kipker die kritische Frage, ob das BSI für derartige Entscheidungen objektiv genug sei.

Nachdem die Warnung vom BSI veröffentlicht wurde, versuchte Kaspersky – ohne Erfolg – dagegen vorzugehen.
Das BSI erklärte auf eine Anfrage hin, dass die Einschätzung einer Gefährdungslage aufgrund der „bisherigen gerichtlichen Entscheidungen“ bestätigt sei.
Das BMI reagierte auf eine Anfrage bisher nicht.

Quelle: BSI, Kaspersky – Statement, Kaspersky – Globale Transparenzinitiative, Bayerischer Rundfunk, Spiegel, Legal Tribune Online, Tagesschau

Das könnte dich auch interessieren: Russland täuscht mit angeblicher pro-ukrainischer App