Am 15. März veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung nach §7 BSI-Gesetz. Es warnte vor dem Einsatz der Virenschutzsoftware des russischen Herstellers Kaspersky und empfahl, diese Software durch alternative Produkte zu ersetzen. Zur Begründung stellte das BSI fest, dass russische Hersteller von russischen Behörden dazu gezwungen werden könnten, zu Werkzeugen für Cyberangriffe gegen ihre eigenen Kunden zu werden. Dieses Risiko werde angesichts des Vorgehens russischer Militärkräfte und Nachrichtendienste und der aktuellen Drohungen Russlands gegen EU, NATO und Deutschland vom BSI als erheblich eingeschätzt. Antivirensoftware wird aufgrund seiner Funktionsweise als besonders kritisch angesehen.
Die Warnung empfanden viele als überraschend. Bislang hatte das BSI eine sehr enge Interpretation von §7 BSI-Gesetz verfolgt und solche Warnungen höchstens dann ausgesprochen, wenn es dazu konkrete Erkenntnisse gab, etwa gefundene Schwachstellen. Als 2017 die Regierung der USA eine entsprechende Warnung zu Kaspersky-Produkten aussprach und darauf hinwies, es gebe israelische Erkenntnisse wonach Kaspersky-Software für Angriffe durch russische Geheimdienste missbraucht worden war, verzichtete das BSI noch auf eine solche Warnung.
Dass IT-Hersteller mit Sicherheitsbehörden kooperieren, ist anzunehmen
IT-Hersteller haben weltweit oft eine besondere Nähe zum Staat. Häufig ist der Staat ein besonders wichtiger Kunde. Strafverfolgungsbehörden erwarten, dass IT-Hersteller sie bei der Verfolgung von Cybercrime und anderen Straftaten unterstützen. Das klingt zunächst harmlos und positiv, aber man muss bedenken, dass in totalitären Ländern oft schon die Ausübung der Meinungsfreiheit als Verbrechen gilt.
In vielen Ländern ist explizit gesetzlich geregelt, wann IT-Hersteller dem Staat Zugriff auf ihre IT-Produkte geben müssen, beispielsweise in Russland und China, aber auch in den USA.
Auch jenseits solcher Gesetze ist es plausibel anzunehmen, dass in Staaten, die Menschenrechte und das Rechtsstaatsprinzip wenig achten, staatliche Stellen Druck auf IT-Hersteller oder auch einzelne Angestellte ausüben, um Zugriff auf deren IT-Produkte zu erhalten. In vielen solcher Staaten ist es riskant und deshalb praktisch unmöglich, sich diesem Druck zu entziehen.
Kauft man ein IT-Produkt eines Herstellers, sollte man also auf jeden Fall davon ausgehen, dass dieser Hersteller den Vorgaben und Zwängen seines Heimatlandes folgt, also gegebenenfalls staatlichen Stellen Zugriff auf seine Infrastruktur gibt oder Hintertüren in seine IT-Produkte einbaut. Bei Rechtsstaaten wie den USA kann man die Bedingungen in den Gesetzen nachlesen, und im Rahmen dieser Gesetze können sich IT-Unternehmen auch gegen staatliche Zwänge wehren. Bei totalitären Staaten sollte man davon ausgehen, dass den dortigen IT-Unternehmen überhaupt keine andere Wahl bleibt, als zu kooperieren.
Es ist sehr unwahrscheinlich, gut versteckte Hintertüren in IT-Produkten zu finden
Hintertüren (Backdoors) sind undokumentierte, alternative Zugänge zu einem IT-System. Sie können vom Hersteller eingebaut werden, wissentlich oder durch einen kriminellen Mitarbeiter, oder durch einen Cyberangreifer, der die IT-Systeme des Herstellers korrumpiert hat. Hintertüren können oft dazu genutzt werden, ein System über das Internet komplett zu steuern oder beliebige Daten abzugreifen.
Wer eine Hintertüre einbaut, tut dies meist so unauffällig wie möglich. Viele Hintertüren sind deshalb nichts anderes als absichtlich eingebaute oder offen gelassene Fehler, also Schwachstellen, im Programmcode. Das Finden von Hintertüren ist damit mindestens genauso schwierig wie das Finden zufälliger Schwachstellen. Genauso wenig wie man zeigen kann, dass eine größere Software keine Fehler enthält, kann man zeigen, dass sie keine Hintertüren enthält. Das gilt selbst bei vollem Zugriff auf den Quellcode. Die Schwachstellen HeartBleed und Log4Shell in den Open-Source-Bibliotheken OpenSSL und Log4J sind gute Beispiele: sie waren für jeden sichtbar, aber keiner hat sie gesehen.
Speziell Antivirensoftware benötigt allerdings überhaupt keine Hintertüre, um den Nutzer auszuspionieren – sie hat ohnehin vollen, privilegierten Zugriff auf das überwachte System. Sie sieht alles was in das System kommt oder es verlässt, und damit sie funktioniert, muss sie auch regelmäßig einen Kanal zum Hersteller aufbauen können. Jede Antivirensoftware braucht wenigstens täglich ein Update, und fast alle senden diverse lokale Daten, beispielsweise als verdächtig eingestufte Dateien, zur weiteren Verarbeitung an den Hersteller. Hinzu kommt, dass Antivirensoftware ja dazu gedacht ist, das überwachte System vor Schadprogrammen zu schützen. Wer die Antivirensoftware kontrolliert, kann damit auch sehr einfach dafür sorgen, dass ganz bestimmte Schadprogramme eben nicht erkannt werden. Wir sollten also immer damit rechnen, dass im Ausland produzierte IT-Produkte Hintertüren enthalten, und wir haben keine große Chance, diese Hintertüren zu finden.
Deutschland kann sich digital nicht abschotten
Was bedeutet dies für unsere digitale Souveränität? Das ist meiner Meinung nach die eigentlich wichtige Frage, die sich aus dem Fall Kaspersky ergibt. Offensichtlich muss in Deutschland mehr in Informationstechnologie und insbesondere Cybersicherheit investiert werden. Digitale Souveränität setzt voraus, dass wir hierfür im ausreichenden Maß auf vertrauenswürdige IT-Produkte und IT-Dienstleistungen zurückgreifen können.
Idealerweise kommen diese IT-Produkte und Dienstleistungen von deutschen oder europäischen Herstellern. Dafür müssen Deutschland und Europa insgesamt deutlich mehr und konzentrierter in die Forschung und Entwicklung eigener IT-Fähigkeiten – Wissen, Innovationen, Standards, Produkte, Dienste und Beurteilungsfähigkeiten – investieren. Cybersicherheit spielt dabei die Schlüsselrolle, denn trifft man hier die falschen Entscheidungen, so kann dies fatale Folgen haben. Deutschland steht in der Cybersicherheitsforschung sehr gut da, insbesondere dank der vom BMBF unterstützten Bildung von Kompetenzzentren für IT-Sicherheit. Eines davon ist das Nationale Forschungszentrum für angewandte Cybersicherheit ATHENE, an dem mehrere Hundert Wissenschaftlerinnen und Wissenschaftler arbeiten und das weltweit zu den besten angewandten Forschungseinrichtungen in der Cybersicherheit gehört.
Woran es hapert, ist der Transfer in die Anwendung. Hier fehlen nicht nur die großen europäischen IT-Anbieter, oftmals stehen wir als Gesellschaft uns bei der Anwendung von IT-Innovationen auch selbst im Weg, etwa durch komplexe Beschaffungsprozesse der öffentlichen Hand und vielfältige Compliance-Anforderungen.
Allerdings ist weder Deutschland noch sonst ein Land dieser Welt in der Lage, im IT-Bereich vollständig autark zu werden. Das gilt auch für Länder wie China und die USA, sie hängen ebenso von globalen Lieferketten und vom internationalen Austausch in Wissenschaft und Entwicklung ab wie wir in Deutschland und Europa. Aus diesen Gründen reden wir in Deutschland eben nicht von digitaler Autarkie, sondern von digitaler Souveränität. Notwendigerweise brauchen wir also internationale, vertrauenswürdige Partner.
Wer digital souverän sein will, darf bei der Wahl der IT nicht allein technisch entscheiden
Die naheliegende Frage ist nun: wie wählen wir diese Partner aus? An dieser Stelle kommen wir zurück zu unserem Ausgangspunkt, zu der Warnung des BSI. Das Risiko, vor dem das BSI warnt, ist eigentlich nicht Kaspersky, sondern die russische Regierung. Die Produkte von Kaspersky haben rein technisch betrachtet einen guten Ruf. Die Warnung widerspricht damit der in Deutschland vorherrschenden Sichtweise, man müsse bei der Auswahl einer Technologie alle Hersteller gleich behandeln, unabhängig davon, aus welchem Land sie stammen.
Meiner Meinung nach hat das BSI richtig gehandelt. Die Vertrauenswürdigkeit eines Produktes hängt generell nicht nur von dessen technischer Qualität und dem öffentlichen Verhalten des Herstellers ab, sondern auch davon, ob die Regierung des Herkunftslandes unsere Werte teilt, also insbesondere die Menschenrechte und das Rechtsstaatsprinzip achtet. Tut sie dies nicht, ist das Risiko groß, dass sie Druck auf Hersteller ausübt und diese für Cyberangriffe missbraucht.
Auch Staaten, die unsere Werte teilen, betreiben Spionage – auch gegen uns. Es ist wichtig, sich auch mit allen Mitteln gegen diese Spionage unter Freunden zu wehren. Aber wenn wir schon keine andere Wahl haben, ist es besser, sich von Freunden als von Feinden ausspionieren zu lassen.
Haya Shulman ist Professorin für Informatik an der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Forschungszentrum ATHENE.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Haya Shulman im Background Cybersicherheit erschienen: Wer das Internet kontrolliert,kontrolliert die Angreifer