Erweiterte Suche

Cybersecurity

Kolumne „Perspektive“

Kaspersky-Produktwarnung: Reine Symbolpolitik?

Das Bundesamt für Sicherheit in der Informationstechnik hat öffentlich vor Kaspersky gewarnt. Ein Fehler – sagen Sven Herpig von der Stiftung Neue Verantwortung und Manuel Atug von der AG Kritis. Denn die Reputation der wichtigsten deutsche IT-Sicherheitsbehörde basiert auf ihrer Objektivität, nicht auf (geo-)politischen Entscheidungen.

Sven Herpig und Manuel Atug

von Sven Herpig und Manuel Atug

veröffentlicht am 07.04.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt eine einzigartige Rolle in der deutschen Cybersicherheitsarchitektur zu. Es ist seit über 30 Jahren das staatliche Technik-Kompetenzzentrum für IT- und Cybersicherheit. Es arbeitet mit einer Vielzahl anderer Behörden und nicht-staatlichen Akteuren zusammen, um seine technische Expertise in Prozesse, Projekte und Policy-Vorhaben einzubringen. Diese wissenschaftlich-technisch-objektive Position ist einer der Hauptgründe für die gute Reputation der Behörde bei Staat, Wirtschaft und Gesellschaft. Um das zu erhalten, wird sogar seit vielen Jahren diskutiert, das BSI unabhängiger vom Bundesinnenministerium zu machen. Darum ist es umso unverständlicher, dass eben diese Behörde eine Produktwarnung veröffentlicht – nicht aus konkreten technischen Anhaltspunkten, sondern aus rein (geo-)politischen Erwägungen. Ziel dieser Warnung: Virenschutzprodukte der russischen Firma Kaspersky.

BSI warnt davor, dass ein Virenschutzprodukt Virenschutz machen kann

Die Bundesregierung in Gestalt des Bundesamts für Sicherheits in der Informationstechnik entschied sich am 15. März dazu, vor Kaspersky-Virenschutzprodukten zu warnen. Die Warnung des BSI lässt sich kurz zusammenfassen: Virenschutzprodukte wie die Kaspersky-Software haben weitreichenden Zugriff auf die Systeme, auf denen sie laufen.  Denn sonst würden sie nicht richtig schützen oder Schadsoftware bereinigen können. 

Warum aber nun die Warnung? Vor dem Hintergrund der russischen Invasion der Ukraine – und damit verbunden den deutschen Sanktionen und Waffenlieferungen – besteht die Gefahr, dass russische Behörden Kaspersky dazu zwingen könnten, den Zugriff zu nutzen, um zum Beispiel Informationen abzugreifen oder Schadsoftware aufzuspielen. Dabei handele es sich aber nicht um eine akute Gefahr oder konkrete nachrichtendienstliche Erkenntnis, sondern um die schiere Möglichkeit, dass dies passieren könnte. 

Sollte eine Sicherheitssoftware wie die von Kaspersky kompromittiert werden, so könnten Akteure mit Leichtigkeit alle betroffenen IT-Systeme manipulieren, auf denen diese Software läuft. Und das ist auch schon alles an technischen Details, was in der Warnung steckt. Könnte, würde, täte. Nur, das alles trifft auf jedes Virenschutzprodukt, jede Sicherheitssoftware und viele weitere Softwareprodukte zu. Jede:r weiß das. Natürlich erleichtert die (erzwungene) Kooperation des Herstellers eine solche Cyberoperation ungemein. Aber, dass es diese nicht braucht, zeigen zahlreiche Fälle aus der Vergangenheit. Man denke nur an die weitreichende Kompromittierung der Solarwinds-Software aus dem letzten Jahr, oder an die aus den Snowden-Veröffentlichungen bekanntgewordene Operation der US National Security Agency, die die Hardware und Software unterschiedlicher Firmen mit Spionage-Implantaten versehen haben soll.

Produktwarnung und Verbraucherschutz im BSI-Gesetz

Die Produktwarnung von Kaspersky-Antivirusprodukten stützt sich auf § 7 des BSI-Gesetzes. Verkürzt dargestellt gilt in Deutschland, dass das BSI Bundes- und Länderbehörden sowie Wirtschaft und Verbraucher:innen vor allen möglichen IT-Sicherheitsvorfällen warnen darf – seien es nun Sicherheitslücken, Schadsoftware oder sonstige sicherheitsrelevante Informationen.

Stellt man die Warnung des BSI mit der Stellungnahme von Kaspersky gegenüber, kann man gute Argumente dafür und dagegen finden, dass diese Rechtsnorm in dem vorliegenden Fall ausreichend ist. Eine endgültige Entscheidung werden die Gerichte treffen müssen. Den Eilantrag von Kaspersky hatte das Verwaltungsgericht Köln vergangenen Freitag abgelehnt. 

Interessant ist, dass das BSI Kaspersky „rechtzeitig vor Veröffentlichung der Warnungen” (§ 7 Absatz 1a) hätte informieren müssen. Auch hier gehen die Meinungen auseinander, ob sich das BSI daran gehalten hat. Sie mündeten sogar in einem lebhaften Diskurs zwischen einer BSI-Mitarbeiterin und Kasperskys Head of Public Affairs Europe auf LinkedIn. Eine „vertrauensvolle Zusammenarbeit”, die es laut BSI 2017 zwischen der Behörde und Kaspersky noch gab, sieht jedenfalls anders aus. Der Kommunikationskanal von der Behörde in die Wirtschaft ist sicherlich einer der Kritikpunkte, der am häufigsten genannt wird, wenn man mit Vertreter:innen aus der Industrie spricht. 

BSI warnte bisher aus konkreten technischen Gründen

Bisher hat das BSI bis zur Warnung von Kaspersky-Produkten seit 2019 genau drei Produktwarnungen veröffentlicht. Dabei handelte es sich um Warnungen aus konkreten technischen Gründen. Etwas, was bei der Kaspersky-Warnung nicht direkt erkennbar, und nur abstrakt ableitbar ist. Selbst wenn man annimmt, dass ein geopolitischer Kontext dazu führen darf, dass Produktwarnungen weniger technisch-konkret und mehr politisch-abstrakt sein dürfen, stellt sich trotzdem die Frage, wie konsequent das Vorgehen des BSI ist. Was ist mit anderer Software „russischer IT-Hersteller”, auch wenn sie möglicherweise nur temporär, unter anderem während des Update-Prozesses, weitreichenden Zugriff auf IT-Systeme haben, wie zum Beispiel 7-Zip? Und was ist mit nicht-russischen Anbietern, die Kaspersky-Software in ihre Produkte integrieren, beispielsweise Nextcloud, ownCloud und offenbar auch die sicherheitsrelevante Software der israelischen Firma Check Point? Keine Produktwarnung weit und breit zu sehen. 

Kaspersky-Warnungen in Europa und den USA

Bereits Ende 2017 hat die US-Regierung die Nutzung von Kaspersky-Software für nationale Behörden verboten, Ende März 2022 dann sogar auf die Liste von „communications equipment and service providers deemed threats to U.S. national security” gesetzt. Damit endet vorerst eine jahrelange Diskussion mit teils spektakulären Geschichten. So sollen 2017 eingestufte Dokumente der US-Regierung bei Kaspersky gelandet sein. Aber nur deswegen, weil ein externer Berater die Daten entgegen offizieller Richtlinien auf seinem privaten Rechner, und dann auch noch mit raubkopierter Software genutzt hat

Teil der Wahrheit ist jedoch auch, dass Kaspersky über die Jahre viele Informationen über amerikanische Cyberoperationen offengelegt hat und das weder der US-Regierung noch den US-Geheimdiensten gefallen haben dürfte. Es könnten also auch hier die nicht-technischen Gründe für einen Ausschluss von Kaspersky überwiegen. 

Aber wie stehen Europas andere Cybersicherheitsbehörden in der aktuellen Lage zu Kaspersky? In Europa steht das BSI mit seiner aktuellen Produktwarnung allein auf weiter Flur  Es sind also Zweifel angebracht, dass es bereits ausreichend nachrichtendienstliche Erkenntnisse gibt, die für eine Produktwarnung sprechen. Bereits 2018 entschied sich allerdings schon die niederländische Regierung, von Kaspersky-Software Abstand zu nehmen. Frankreich und Italien bewegen sich derzeit in eine ähnliche Richtung. In keinem der Fälle wird ein konkretes Fehlverhalten oder Sicherheitsrisiko von Kaspersky angeführt – nicht mal in dem jahrelang unter Verschluss gehaltenen Bericht der niederländischen Behörden.

Aus- und Nebenwirkungen

Auch wenn es sich bei der Produktwarnung nicht um ein Einsatzverbot, zum Beispiel für Firmen und Behörden, handelt, so wird es de facto in diese Richtung wirken. Auch deswegen, weil die FAQ bei allen Zielgruppen zu dem gleich Schluss kommt: „Das BSI empfiehlt allgemein [...] Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen”

Die vollständigen Auswirkungen der BSI-Produktwarnung sind noch nicht abzusehen. Immerhin nutzten bis zur Veröffentlichung viele Millionen deutsche Verbraucher:innen die Software der Firma, die nach Einschätzung des BSI nicht in „besonderem Maße gefährdet” sind. In einer mittlerweile aktualisierten FAQ des BSI hieß es dazu dennoch: „Wer daher auf „Nummer sicher“ gehen will, sollte vorerst eine andere Antivirensoftware nutzen”.

Ohne konkreten Anhaltspunkt einer Gefährdungslage sollen jetzt also Millionen von Verbraucher:innen ihr Virenschutzprodukt wechseln. Es ist schwer vorstellbar, dass dies ohne Folgen bleiben wird. Es bleibt jedoch zu hoffen, dass sich die Verbraucher:innen den Hinweis zu Herzen nehmen und nicht einfach nur die Kaspersky-Software deinstallieren und dann vollständig schutzlos dastehen. Die britische Cybersicherheitsbehörde NCSC sieht dies im Übrigen durchaus nuancierter. Dort heißt es: „If your personal laptop uses Kaspersky AV (or other products): it's highly unlikely to be directly targeted it’s safe to turn on and use at the moment”.

Während das Austauschen des Virenschutzes bei Verbraucher:innen vergleichsweise einfach ist, stellt es sicherlich Kommunen, als auch kleine und mittelständische Unternehmen, vor eine Herausforderung. Diesem Umstand ist sich das BSI durchaus bewusst und weist deshalb darauf hin, dass „[...] dazu im Bedarfsfall auch professionelle Unterstützung hinzuziehen” ist. Aber die Kosten tragen natürlich die Kommunen und Unternehmen selber. Sollten sie trotz der Warnung an Kaspersky-Software festhalten und ein Schadensfall eintreten, zahlt dann eine vorhandene Cyberversicherung? In jedem Fall: Das Risiko tragen jetzt andere und nicht mehr das BSI oder die Regierung.

Fraglich ist auch, wie Firmen und Behörden damit umgehen, die Kaspersky-Software bisher im Verbund mit anderen Schadsoftware-Erkennungssystemen einsetzen, um ein weites Spektrum vor allem staatlicher Überwachungs- und Schadsoftware zu erkennen. Denn klar ist: während Kaspersky oft vor Schadsoftware russischen Ursprungs gewarnt hat, zum Beispiel vor Epic Turla oder Energetic Bear, gibt es kaum amerikanische Unternehmen die bisher vor staatlicher amerikanischer Schad- und Überwachungssoftware gewarnt haben. Eine erwähnenswerte Ausnahme ist hier die Symantec-Analyse zu Stuxnet.

Auch in anderen Wirtschaftsbereichen werden die Auswirkungen der BSI-Warnung bereits sichtbar. So hat der Fußballverein Eintracht Frankfurt basierend auf der Warnung des BSI seinen Sponsoringvertrag mit Kaspersky beendet. Das mag im Rahmen der Umstände unwichtig wirken, zeigt jedoch wie weitreichend eine Produktwarnung ist. Nochmal verkürzt: Ein Fußballverein beendet einen Sponsoringvertrag mit einer Firma, weil deren Produkte für die Kompromittierung von IT-Systemen verwendet werden KÖNNTEN, ohne, dass es dafür konkrete Anhaltspunkte gibt.

Wenn schon ohne konkrete Anhaltspunkte warnen, dann anders

Es stimmt:  Die Software von Kaspersky hat weitreichenden Zugriff auf IT-Systeme und die Firma wurde in Russland gegründet. Doch das Fehlen von technischen Anhaltspunkten und die Tatsache, dass sich das BSI nur Kaspersky ausgesucht hat, machen die Entscheidung willkürlich. Vor keiner anderen russischen Software, oder anderer Software, die auf dieser aufbaut, wurde gewarnt. „Wissenschaftlich-technische Erkenntnisse” (§ 1 BSIG), als Grundlage, auf der das BSI seine Aufgaben zumindest gegenüber den Bundesministerien erledigen soll, scheinen nicht gegeben. 

Sicherlich hätte sich das BSI umgekehrt auch angreifbar gemacht, wenn die Sicherheitsbehörde auf eine Warnung verzichtet hätte und dann infolgedessen tatsächlich deutsche IT-Systeme durch Kaspersky-Software kompromittiert würden. Trotzdem hätte sich das BSI souveräner verhalten können: Statt einer öffentlichen Produktwarnung hätte das BSI die Warnung nicht-öffentlich an Behörden, Kritische Infrastrukturen, Unternehmen im besonderen öffentlichen Interesse und Institutionen im besonderen staatlichen Interesse richten können. Auf diesem Wege wäre die Öffentlichkeit weniger  verunsichert und das behördliche Vorgehen hätte nicht de facto auch all diejenigen Akteure zum Handeln gezwungen, die vermutlich (wenn überhaupt) nur durch Kollateralschäden betroffen sind. 

Konsequent wäre obendrein gewesen, wenn das BSI parallel vor jeglicher Software russischen Ursprungs mit ähnlichen Berechtigungen in IT-Systemen warnt, sowie anderer Software, die jeweils darauf aufbaut. Sollte es sich, wie aktuell angenommen, wirklich um eine Produktwarnung ohne technische Anhaltspunkte handeln, hätte diese Warnung vermutlich in anderer Form besser vom Bundesinnenministerium oder vom Verfassungsschutz kommen sollen, um die politische und nicht-technische Natur diese Warnung zu unterstreichen.

Unter den gegebenen Umständen wirkt die Produktwarnung des BSI jedenfalls willkürlich und aktionistisch – als hätte man irgendwas vorweisen wollen, ohne die Konsequenzen vollständig zu durchdenken oder eine kohärente Strategie zu haben. Das schadet der IT-Sicherheit und damit der nationalen Sicherheit mehr, als dass es ihr nützt.

Manuel Atug ist Cybersicherheitsexperte und Gründer und Sprecher der AG KRITIS, einer unabhängigen Arbeitsgruppe zum Schutz Kritischer Infrastrukturen in Deutschland. Sven Herpig ist Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Sven Herpig erschienen: Recht auf Verschlüsselung – Nur mit Abhörschnittstelle?

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen