BSI: Warnung vor Kaspersky-Produkten nach US-Sanktionen noch immer aktuell

Nachdem die US-Regierung in der vergangenen Woche weitreichende Maßnahmen gegen den russischen Softwarehersteller Kaspersky verkündet hat, bleibt die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor dessen Antivirus-Produkten bestehen. Das stellte ein Sprecher gegenüber heise security klar. Ein Vertriebsverbot wie in den USA ist hierzulande jedoch kein Thema.

Die US-Regierung machte vergangene Woche Nägel mit Köpfen: Zunächst veröffentlichte das Bureau of Industry and Security (BIS), eine Unterbehörde des US-Handelsministeriums, ein weitreichendes Vertriebsverbot für Kaspersky-Produkte. Wegen der, so das BIS, "inakzeptablen Risiken für die nationale Sicherheit der Vereinigten Staaten" durch den Einsatz der Security-Software aus Russland darf Kaspersky ab dem 20. Juli 2024 keine neuen Verkäufe in den USA mehr abwickeln. Ab September dürfen auch Dritte keine Kaspersky-Produkte mehr verkaufen oder in ihre eigenen einbauen. Ab Ende September ist Schluss für Signatur- und Softwareupdates, Kaspersky darf dann auch keine Bedrohungsdaten mehr über das "Kaspersky Security Network" in den USA sammeln.

Doch damit nicht genug: Drei Firmen der Kaspersky-Gruppe, nämlich AO Kaspersky Lab, OOO Kaspersky Group und die britische Dependance der Kaspersky Labs, landeten auf der "Entity List" des Handelsministeriums, was ihnen Geschäfte in den Vereinigten Staaten zusätzlich erschwert. Am 21. Juni verkündete das US-Finanzministerium persönliche Sanktionen gegen den Kaspersky-Aufsichtsrat und verschärfte somit die bereits 2017 beschlossenen Maßnahmen gegen den russischen Hersteller. Das Kaspersky-Management findet sich nun auf der "Specially Designated Nationals and Blocked Persons List" neben Drogenhändlern und Terroristen wieder.

Warnung des BSI hat weiter Bestand

Wie wirken die US-Sanktionen sich in Deutschland aus? Zunächst gar nicht, sagt das BSI. Wie ein Sprecher des Bundesamts heise security gegenüber erläuterte, warne man bereits seit dem 15. März 2022 vor dem Einsatz der Virenschutzsoftware aus dem Hause Kaspersky, das sich dagegen juristisch zu wehren versuchte. Warnungen auf Grundlage von § 7 des BSI-Gesetzes werden nach einem halben Jahr zwar archiviert, dadurch aber nicht ungültig – somit hat die Kaspersky-Warnung weiter Bestand.

"Das BSI beobachtet die Gefährdungslage kontinuierlich und sieht derzeit keinen Anlass, die archivierte Warnung zu aktualisieren", so der Behördensprecher. Man könne jedoch – anders als das BIS in den USA – keine Verbote aussprechen, da dem BSI die hierzu notwendige Rechtsgrundlage fehle. Zudem bezieht sich die BSI-Warnung ausschließlich auf Antivirus-Software von Kaspersky. Es ist derzeit unklar, ob weitere Sicherheitsprodukte wie EDR- und XDR-Lösungen (Endpoint Detection and Response bzw. Extended Dection and Response) für Unternehmen ebenfalls darunter fallen. Eine diesbezügliche Rückfrage von heise security hat das BSI kurzfristig nicht beantwortet – wir werden die Antwort mittels Update dieser Meldung gegebenenfalls nachreichen.

(cku)