Regierungen müssen auf geopolitische Entwicklungen reagieren
und sind zu Recht dazu verpflichtet, Maßnahmen zum Schutz von Staat, Wirtschaft
und Bürgern zu ergreifen. Doch was das BSI am 15. März 2022 gemacht hat, ist
ein Präzedenzfall, der in Europa einmalig ist. Das BSI hat eine Warnung vor
Kasperskys Anti-Viren-Software (AV) veröffentlicht. Diese ist rechtlich sowie
technisch umstritten, da weder die Warnung noch die Folgemaßnahmen auf einer
Sicherheitslücke in der AV-Software oder einem belegbaren Beweis für eine
Cybersicherheitsgefahr basieren.
Aus den Originalakten des BSI, die durch einen Antrag nach dem Informationsfreiheitsgesetz (IFG) des Bayerischen Rundfunks öffentlich gemacht wurden, wird der Diskussionsprozess im BSI transparent und zudem deutlich, dass die Warnung auf Basis geopolitischer Überlegungen veröffentlicht wurde.
Nach § 7 BSIG sind Warnungen über Produkte und Services möglich, allerdings nicht generell gegen Hersteller. Da es aber keine technischen Schwachstellen gibt, hätte das BSI auch keine Produktwarnung aussprechen können. Aus politisch motivierten Gründen musste das BSI eine unzulässige Herstellerwarnung, getarnt als zulässige Produktwarnung, aussprechen. Das klingt kompliziert – und ist es auch. Aus der Rolle des Herstellers wird die Sicherheitslücke abgleitet. Diese ist laut BSIG und der Entwurfsbegründung des Gesetzes aber als technische Sicherheitslücke im Sinne einer „unerwünschten Eigenschaft“ für den Anwender eines Programmes zu qualifizieren. Eine solche „unerwünschte Eigenschaft“ wurde nicht nachgewiesen. Im Gegenteil, für Antivirus-Software besitzen die vielfach ausgezeichneten Kaspersky-Produkte gerade alle gewünschten Eigenschaften, die dem Stand der Technik entsprechen.
Für die Einbeziehung ausschließlich geopolitischer Erwägungen zur Begründung einer „Sicherheitslücke“ lässt das Gesetz an dieser Stelle keinen Raum. Dieses unzutreffende Verständnis einer „Sicherheitslücke“, dessen rechtliche Vertretbarkeit im Hauptsacheverfahren noch nicht endgültig entschieden wurde, ist für die Warnung des BSI keine geeignete Grundlage, da für „Sicherheitslücken in informationstechnischen Produkten und Diensten“ eine ausschließlich produkt- und dienstbezogene Warnmöglichkeit vorgesehen ist.
Das BSI hat auch bis heute nicht erklärt, warum es vor Kaspersky, jedoch nicht vor anderen Herstellern gewarnt hat. Im Gegenteil, es drängt sich bei Durchsicht der Akten der Eindruck auf, dass andere Unternehmen ohne sachlichen Grund – oder weil der Rechercheaufwand als zu hoch eingestuft wurde – unberücksichtigt blieben und Kaspersky allein ausgewählt wurde, weil das Unternehmen als bekanntester und zugleich renommiertester Hersteller am einfachsten „greifbar“ gewesen ist, um politisch eine möglichst öffentlichkeitswirksame Warnung kommunizieren zu können.
Indem das BSI sein Mandat durch politische Entscheidungen verletzte, hat es nicht nur die Cybersicherheit und die Cyberresilienz in Deutschland gefährdet, sondern auch Kaspersky und vielen deutschen Partnern des Unternehmens einen enormen Reputations- und wirtschaftlichen Schaden zugefügt.
Zertifizierung statt Sippenhaft
Auf seiner Website schreibt das BSI: „Mit einem Zertifikat kann eine Organisation nachweisen, dass ein Produkt oder eine Dienstleistung definierten Sicherheitsanforderungen entspricht. Eine unabhängige Prüfung durch das BSI schafft Vertrauen und weist Vertraulichkeit, Authentizität und Verfügbarkeit transparent nach.“
Kaspersky teilt diese Auffassung. Deshalb sind unsere Produkte 2018 und 2022 nach den Common Criteria (CC) zertifiziert. Auch das Informationssicherheits-Management-System von Kaspersky wurde bereits zweimal – 2019 und 2022 – vom TÜV Austria nach der internationalen Norm ISO 27001 zertifiziert. Darüber hinaus wurden die Softwareentwicklungs- und -Verteilungsprozesse 2019 und 2022 erfolgreich für den SOC 2-Bericht auditiert. Kaspersky stellt darüber hinaus eine „Software Bill of Materials (SBOM)“ zur Verfügung. Dabei handelt es sich um eine Liste aller Softwarekomponenten und unterstützender Dokumente, die die Teile, aus denen sich die Kaspersky-Software zusammensetzt, erklärt.
Für noch mehr Sicherheit und Transparenz sorgt Kaspersky mit seinen Transparenzzentren, die eine Überprüfung des Quellcodes unserer Produkte ermöglichen. Zahlreiche europäische Behörden und Kunden haben davon Gebrauch gemacht – das BSI nicht, obwohl Kaspersky mehrfach dazu eingeladen hat.
Verantwortungsvolles Handeln in schwierigen Zeiten
Vor diesem Hintergrund fordert Kaspersky das BSI auf, seiner gesetzlichen Verpflichtung gerecht zu werden:
- Trotz zahlreicher Anfragen von Kaspersky hat das BSI in den vergangenen sieben Monaten immer noch keine sachlich gerechtfertigte Begründung für die Warnung und deren Aufrechterhaltung gegeben, um die sachlichen Voraussetzungen für die Warnung rechtssicher zu belegen.
- Die IFG-Akte, die das BSI dem Bayerischen Rundfunk übergeben hat und die Kaspersky vier Wochen nach ihrer Anfrage erhalten hat, dokumentiert zahlreiche Annahmen und Aussagen des BSI, die sich im Nachhinein als falsch herausgestellt haben. Kaspersky weist darauf hin, dass das BSI bisher weder die Warnung angepasst, noch die Öffentlichkeit informiert hat und damit seinen unmittelbaren Pflichten aus dem BSI-Gesetz nicht nachzukommen scheint.
- Nach § 7 Abs. 2 Satz 2 BSIG hat das BSI unverzüglich zu informieren, wenn sich die der Öffentlichkeit erteilten Informationen nachträglich als unrichtig herausstellen oder die zugrunde liegenden Umstände als unzutreffend gemeldet werden. Dies ist hier zweifelsohne der Fall. Einerseits hat Kaspersky dem BSI seit Februar 2022 zahlreiche Informationen über die getroffenen technischen und organisatorischen Maßnahmen zur Verfügung gestellt und die Behörde eingeladen, den Quellcode der Kaspersky-AV zu prüfen und die Softwareentwicklungs- und -Verteilungsprozesse zu prüfen. Andererseits informierte Kaspersky das BSI umfassend über Zertifizierungen und Audits nach den vom BSI anerkannten internationalen Standards und schlug bereits am 15. März 2022 vor, einen technischen und organisatorischen Rahmen zu entwickeln, der die Bedenken des BSI ausräumt.
Auf all diese Vorschläge und Maßnahmen hat das BSI über viele Monaten nicht reagiert. Erst Ende August fand ein erstes Treffen dazu zwischen dem BSI und Kaspersky statt. Diese Diskussion wird fortgesetzt, obwohl sich Kaspersky ein deutlich schnelleres Agieren des BSI wünscht.
- Fast sieben Monate nach der Warnung hat es trotz einer zunehmend raffinierteren und komplexen Cyberbedrohungslandschaft keinen Cybervorfall mit Kaspersky-Software gegeben. Die Einschätzung des BSI vom 14.03.2022, es bestehe Gefahr im Verzuge, hat sich im Nachhinein als falsch erwiesen.
Bereits seit Monaten wendet sich Kaspersky an das BSI, um die vom Unternehmen zusätzlich eingeleiteten Maßnahmen zur Stärkung des Vertrauens zu erörtern, wie etwa das Bestehen zusätzlicher Sicherheitsbewertungen durch Dritte und die Veröffentlichung von AV-Updates sowie die Zertifizierung von Datensystemen.
Auch wäre es hilfreich zu erfahren, welche Sicherheitsmaßnahmen Kaspersky umzusetzen hat, damit diese vom BSI in der aktuellen Situation als ausreichend angesehen werden. Darüber gebe es keine Klarheit gibt, so die Antwort der Behörde an Kaspersky. Während die oberste deutsche Cybersicherheitsbehörde also aus vermeintlichen Cybersicherheitsbedenken vor Kaspersky-Software warnt, kann sie umgekehrt nicht erklären, mit welchen technischen Maßnahmen die Warnung aufgehoben werden würde.
Kaspersky liefert ein Konzept für die gesamte Branche
Zusammen mit Partnern hat Kaspersky ein Konzept entwickelt, mit dem Vertrauen durch technische Routinen und die Bewertung eines unabhängigen Dritten überprüft werden kann. Das Konzept, das dem BSI bereits Ende August vorgeschlagen wurde, beinhaltet die Überprüfung von Softwareentwicklungs- und -Verteilungsprozesse über eine unabhängige dritte Organisation.
Als Teil der Globalen Transparenzinitiative von Kaspersky hat dieses Konzept das Potenzial, das fortschrittlichste Software-Validierungskonzept der Welt und künftig zum internationalen Benchmark für die Bewertung der Vertrauenswürdigkeit von Cybersicherheitsprodukten zu werden. Kaspersky arbeitet weiterhin mit Hochdruck daran, dem BSI alle nötigen Informationen zur Verfügung zu stellen, damit das BSI die Warnung auf Basis dieser Informationen anpassen oder zurücknehmen kann.