"Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme", so das BSI in seiner Warnung gemäß §7 BSI-Gesetz. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestünden, berge Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.

Die Behörde wies darauf hin, dass ein russischer IT-Hersteller nicht nur selbst offensive Operationen durchführen könne, sondern eventuell gegen seinen Willen gezwungen werde, Zielsysteme anzugreifen. Außerdem sei es möglich, dass er selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.

Das BSI empfiehlt Unternehmen und andere Organisationen in diesem Zusammenhang, den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig zu planen und umzusetzen, um Angriffen aus dem Internet nicht schutzlos ausgeliefert zu sein.

Wie neutral ist Kaspersky?

Mit dem brutalen Angriff Russlands auf die Ukraine und den damit verbundenen Cyberattacken wuchsen vielerorts die Bedenken, ob es noch sicher ist, die Sicherheitsprodukte des russischstämmigen Herstellers Kaspersky Labs weiter zu verwenden. Die häufig geäußerte Befürchtung: Kaspersky ermögliche auf Druck der russischen Regierung Schadsoftware den Zugang zu sensiblen Daten.

Zwar befindet sich der Firmensitz der Kaspersky Holding mittlerweile in London und ein Großteil der Datenverarbeitung wurde im Rahmen einer 2018 gestarteten Transparenzinitiative in die Schweiz verlagert. Auf der anderen Seite zählt auch das russische Verteidigungsministerium zu den Kunden von Kaspersky, die Software wird unter anderem zum Schutz der Website mil.ru vor DDoS-Attacken eingesetzt. Als Zeichen, dass der Security-Spezialist nicht ganz so neutral sein könnte wie erhofft, wurde auch die zögerliche Stellungnahme des Firmengründers und früheren KGB-Mitarbeiters Eugene Kaspersky am 1. März zum Ukraine-Krieg interpretiert:

"Wir begrüßen die Aufnahme von Verhandlungen zur Lösung der gegenwärtigen Situation in der Ukraine und hoffen, dass sie zu einer Einstellung der Feindseligkeiten und einem Kompromiss führen werden. Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut."

We welcome the start of negotiations to resolve the current situation in Ukraine and hope that they will lead to a cessation of hostilities and a compromise. We believe that peaceful dialogue is the only possible instrument for resolving conflicts. War isn’t good for anyone.

— Eugene Kaspersky (@e_kaspersky) March 1, 2022

In einem Blog-Beitrag versuchte Ivan Kwiatkowski, Senior Security Researcher bei Kaspersky`s Global Research & Analysis Team (GReAT), kurz darauf die Position seiner Company zum Krieg gegen die Ukraine klarer darzustellen. Sein Vorteil als französischer Staatsbürger sei, dass er das was in der Ukranie vor sich geht, getrost als Krieg oder Invasion bezeichnen könne, so Kwiatkowski. Viele seiner Kollegen könnten das einfach nicht. Als die "Spezialoperation" begann, konnte keiner von ihnen glauben, was geschah. Einige weinten. Alle haben über Nacht ihre Ersparnisse verloren, nur um sich später einzuloggen und festzustellen, dass die ganze Welt sie jetzt hasst.

Den Fokus jetzt auf Kaspersky zu richten, nannte der Security-Experte kurzsichtig. "Wenn Sie glauben, dass die Putin-Administration die lokale IT-Branche nutzen könnte, um Sie zu verfolgen, müssen Sie weiter denken. Vertrauen Sie uns nicht, so wie Sie nach dem Vorfall mit SolarWinds auch keinem anderen Softwarehersteller blindlings vertrauen sollten."

Kaspersky nimmt Stellung

Kaspersky selbst hat inzwischen ein offizielles Statement zur Warnung des BSI abgegeben:

Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht - für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben -, sondern dass sie aus politischen Gründen getroffen wurde. Wir werden unsere Partner und Kunden weiterhin von der Qualität und Integrität unserer Produkte überzeugen und mit dem BSI zusammenarbeiten, um die Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.

Bei Kaspersky sind wir der Meinung, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind.

Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung.

Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut.

Wir haben unsere Datenverarbeitungsinfrastruktur in die Schweiz verlagert: Seit 2018 werden schädliche und verdächtige Dateien, die von Anwendern von Kaspersky-Produkten in Deutschland freiwillig weitergegeben werden, in zwei Rechenzentren in Zürich verarbeitet. Diese Rechenzentren erfüllen erstklassige Branchenstandards und gewährleisten ein Höchstmaß an Sicherheit. Neben unseren Datenverarbeitungseinrichtungen in der Schweiz können die von den Nutzern an Kaspersky übermittelten Statistiken über das Kaspersky Security Network in verschiedenen Ländern der Welt, darunter Kanada und Deutschland, verarbeitet werden. Die Sicherheit und Integrität unserer Datendienste und technischen Praktiken wurden durch unabhängige Bewertungen Dritter bestätigt: durch das SOC 2-Audit eines "Big Four"-Auditors und durch die ISO 27001-Zertifizierung und kürzliche Re-Zertifizierung des TÜV Austria.

Kaspersky hat in der Branche Maßstäbe für digitales Vertrauen und Transparenz gesetzt. Unsere Kunden haben die Möglichkeit, eine kostenlose technische und umfassende Prüfung unserer Lösungen durchzuführen:

• Einsicht in unsere Dokumentation zur sicheren Softwareentwicklung, einschließlich Bedrohungsanalyse, Sicherheitsüberprüfung und Testverfahren zur Anwendungssicherheit;

• Einsicht in den Quellcode unserer führenden Lösungen, darunter: Kaspersky Internet Security (KIS), unser führendes Produkt für Privatanwender; Kaspersky Endpoint Security (KES), unsere führende Lösung für Unternehmen; und Kaspersky Security Center (KSC), eine Kontrollkonsole für unsere Unternehmensprodukte;

• Überprüfung aller Versionen unserer Builds und AV-Datenbank-Updates sowie der Arten von Informationen, die Kaspersky-Produkte im Allgemeinen an das cloudbasierte Kaspersky Security Network (KSN) senden;

• Rebuild des Quellcodes, um sicherzustellen, dass dieser mit öffentlich verfügbaren Modulen übereinstimmt;

• Überprüfung der Ergebnisse eines externen Audits der technischen Praktiken des Unternehmens, das von einer der Big Four Wirtschaftsprüfungsgesellschaften durchgeführt wurde;

• Überprüfung der Software Bill of Materials (SBOM) für Kaspersky Internet Security (KIS), unser Hauptprodukt für Privatanwender, Kaspersky Endpoint Security (KES), unser führende Lösung für Unternehmen, und Kaspersky Security Center (KSC), eine Kontrollkonsole für unsere Unternehmensprodukte.