Analyse: EU gegen Kaspersky – Es geht um Politik, nicht Fakten

Das Europäische Parlament stuft Software von Kaspersky als "böswillig" ein. Begründet wird das nicht: es handelt sich offenbar um eine politische Aktion.

In Pocket speichern vorlesen Druckansicht 359 Kommentare lesen
Analyse: EU gegen Kaspersky – Es geht um Politik, nicht Fakten

(Bild: dpa/pixabay.com)

Lesezeit: 6 Min.
Inhaltsverzeichnis

Als "böswillig" oder "bösartig" (englisch "malicious") bezeichnet man typischerweise Schad-Software (Malware), die etwa zum Ziel hat, den Anwender auszuspionieren. Man sollte annehmen, dass das Europäische Parlament bei der Einstufung der Sicherheitssoftware von Kaspersky in diese Schublade die eigene Sicherheitsbehörde, die ENISA hinzuzieht. Doch Fehlanzeige: Udo Helmbrecht, Chef der europäischen Sicherheitsbehörde ENISA erklärte gegenüber heise Security lapidar, dass dies eine politische Diskussion sei, an der sich seine Behörde nicht beteilige. Auf unsere Anfragen beim BSI kamen ebenfalls keine Fakten, die die Einstufung rechtfertigen könnten.

Auch in der Sicherheitsbranche stößt das Verdikt weitgehend auf Unverständnis. "So verbessert man die EU Cyber-Abwehr nicht", kritisiert etwa Artturi Lehtiö vom Konkurrenten F-Secure das EP-Verdikt. Andreas Marx, Geschäftsführer des unabhängigen Antiviren-Testlabors AV-Test, erklärte gegenüber heise online, dass er die Behauptungen nicht nachvollziehen könne. Sein Unternehmen besitze unzählige Images, Protokolle und Traffic-Analysen von Testreihen vieler AV-Produkte. "Falls dieses oder jenes Programm irgendwo irgendwann einmal 'böswillig' war, dann sollte das für uns nachvollziehbar sein. Bisher wüssten wir aber nicht, wonach wir denn überhaupt suchen sollten." Im Jahr 2017 hat AV-Test die Software von Kaspersky neben Bitdefender und Symantec ausgezeichnet.

Den Geheimdiensten vieler Nationen ist Kaspersky definitiv ein Dorn im Auge. Wie kaum ein anderer Antiviren-Hersteller bekennt sich Kaspersky dazu, Malware auch dann zu bekämpfen, wenn sie von staatlichen Stellen stammt. Im Gespräch mit heise Security versicherte Costin Raiu, Chef von Kaspersky Labs Global Research and Analysis Team: "Was wir finden, veröffentlichen wir auch – immer." Und die Kaspersky-Forscher lassen dem tatsächlich Taten folgen. Im März dokumentierten sie mit Slingshot eine gezielte Malware-Kampagne gegen ISIS und Al-Quaeda-Mitglieder, die mit hoher Wahrscheinlichkeit vom Joint Special Operations Command (JSOC) des US-amerikanischen Militärs durchgeführt wurde. Mit ZooPark enttarnte Kaspersky Lab im Mai eine Android-Malware, die dem iranischen Geheimdienst zugeschrieben wird. Und Iran ist ein Staat mit dem Russland freundschaftliche Beziehungen pflegt.

Auch in Europa hat Kaspersky bereits staatliche Cyber-Operationen enttarnt. So enthüllten sie mehrfach Aktivitäten der "Equation Group" (NSA) und "Regin" (GCHQ). Die von Kaspersky detailliert beschriebene Regin-Malware wurde unter anderem im Netz des belgischen Telekommunikationsriesen Belgacom (heute Proximus Group) gefunden, der nach einhelliger Einschätzung von Sicherheits-Experten von NSA und GCHQ sehr nachhaltig penetriert wurde. Aber auch bei der EU-Kommission in Brüssel und einer Referatsleiterin im deutschen Bundeskanzleramt fand sich Regin.

Eine Analyse von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Aktuell kümmert er sich vor allem um heise Security Pro.

Letztlich führt die Suche nach möglichen Belegen für bösartige Aktivitäten von Kaspersky immer wieder in die USA. Die haben bereits einen weitreichenden Bann gegen das russische Unternehmen verhängt. Doch auch hier sind konkrete Fakten dünn gesät. Der Auslöser war offenbar ein Fall, in dem 2015 geheime NSA-Tools vom Rechner eines NSA-Mitarbeiters gestohlen wurden. Dieser hatte die Tools – gegen NSA-Richtlinien verstoßend – auf seinem Privatrechner. Der war jedoch mit Schad-Software infiziert, die er sich über einen Keygenerator für Raubkopien eingehandelt hatte. Bei einem nachfolgenden Scan entdeckte die installierte AV-Software von Kaspersky nicht nur die Hintertür der Raubkopier-Software sondern auch die NSA-Tools. Beide schickte sie zur genaueren Analyse an den Hersteller. Das ist eine abschaltbare Funktion, die heutzutage so gut wie jede AV-Software aufweist – auch die amerikanischer und deutscher Hersteller. Kaspersky beteuert, die auf diesem Weg erlangten, vertraulichen Daten gelöscht und nicht an Dritte weitergegeben zu haben.

Trotzdem sind im weiteren offenbar geheime NSA-Werkzeuge und -Dokumente von diesem PC in den Besitz der russischer Hacker mit gutem Kontakt zum russischen Geheimdienst gelangt. Welche Rolle Kaspersky dabei spielte, ist jedoch nach wie vor weitgehend unklar. Insbesondere ist nicht klar, ob Tools und Dokumente über die Backdoor der Raubkopier-Tools oder über Kasperskys Software abgeflossen sind. Eine weitere Option ist die von Kaspersky bestätigte, aber bisher heruntergespielte Tatsache, dass sich im fraglichen Zeitraum Hacker Zugang zum Firmennetz von Kaspersky verschaffen konnten. Gemäß eines Berichts der New York Times waren das israelische Hacker, die wiederum russische Hacker dabei beobachtet haben, wie sich diese dort vertrauliche Dokumente beschafft haben sollen. Genaues ist auch hier nicht öffentlich. Aber es besteht zumindest die Möglichkeit, dass die US-Behörden im Besitz stichhaltiger Beweise sind, die ihren Bann rechtfertigen, die sie aber aus welchen Gründen auch immer nicht offenlegen.

In Europa hingegen konnten wir niemand finden, der auch nur behauptet, im Besitz konkreter Fakten zu sein, die eine Einstufung von Kaspersky als "bekannt böswillig" rechtfertigen. Vielleicht bezieht sich das EP ja auf die Einschätzung der US-amerikanischen Freunde. Dann sollte man das aber auch klar sagen.

Die andere Möglichkeit ist: Auch ohne konkrete Fakten genügt ein postulierter Interessenkonflikt mit dem Herkunftsland für diese Einstufung. Doch da stellt sich sehr schnell die Frage, wo fängt man an und wo hört man auf? Immerhin hat die NSA nachgewiesenermaßen europäische Firmen und Regierungen ausspioniert. Wie Snowden enthüllt hat, arbeiten viele US-Konzerne zum Teil freiwillig, zum Teil unter Druck mit dem US-Geheimdienst zusammen. Die US-Sicherheitsfirma RSA beispielsweise hat über viele Jahre ihren Kunden Software verkauft, in die sie für die NSA eine Hintertür eingebaut hatte. Wo bleibt da der Bannstrahl des Europäischen Parlaments?

Offenlegung: Der Autor war im März 2018 auf Einladung von Kaspersky bei dessen Security Analyst Summit in Mexiko; die Kosten für Flug und Unterkunft hat Kaspersky übernommen. Er war auch bereits auf ähnlichen Veranstaltungen anderer Sicherheitsfirmen wie RSA und McAfee. (ju)