Stell dir vor, nebenan ist Krieg. Und das BSI? Beratschlagt!
Trotz Ukraine-Krieg bleibt das BSI stumm zum Einsatz russischer Software. Für Jürgen Schmidt, Senior Fellow Security bei Heise, ein grundsätzliches Problem.
(Bild: Maxim Gaigul/Shutterstock.com)
Am 24. Februar marschierte Russland in die Ukraine ein. Ein solcher Angriffskrieg wirkt sich natürlich auch auf die Beziehungen zu Russland und russischen Firmen aus. Deshalb fragen sich Endanwender, Firmen und auch wir von heise Security, ob man Sicherheitssoftware einer russischen Firma wie Kaspersky noch einsetzen kann. Und wir stellten diese Frage natürlich auch dem BSI. Die Antwort: Schweigen. Seit über einer Woche.
Das Letzte, was man vom BSI zu dieser Frage hörte, stammt aus der Zeit, als die US-Regierung ihren Behörden den Einsatz von Kaspersky-Software verbot und auch die EU davor warnte. Damals lobte die deutsche Sicherheitsbehörde noch die "vertrauensvolle Zusammenarbeit" und legte sozusagen für Kaspersky die virtuelle Hand ins digitale Feuer. Doch jetzt führt Russland einen Angriffskrieg – und man wüsste gerne, ob und wie sich das auf die Einschätzung des BSI auswirkt.
Aufgaben des BSI
Natürlich ist dem BSI die Problematik bewusst. Dem BSI ist bewusst, dass es sogar gesetzlich zur "Beratung, Information und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik ..." verpflichtet ist (BSI-Gesetz §3: Aufgaben des Bundesamtes). Und dass es da diese Frage gibt, in der wir dringend Beratung bräuchten:
Ist es vertretbar, Sicherheits-Software und -Dienste von Kaspersky (weiterhin) zu nutzen?
Auf eine Antwort des BSI warte nicht nur ich, sondern Security-Verantwortliche, Administratoren und besorgte User im ganzen Land. Ich persönlich denke, dem BSI ist sogar klar, dass diese Antwort "Nein" lauten muss (was ich weiter unten noch begründen werde). Laut BSI-Gesetz darf die Behörde zur Erfüllung ihrer Aufgaben auch Warnungen aussprechen und in diesem Kontext auch "Sicherheitsmaßnahmen" empfehlen (BSI-Gesetz §7: Warnungen). Und selbst wenn die Einschätzung anders aussehen sollte, könnte und müsste man das doch sagen. Doch selbst auf wiederholtes Fragen kommt da bisher nichts Hilfreiches.
Das BSI in der Krise
Meine Vermutung ist, dass sich da aktuell Techniker, Juristen und Politiker in der Angst, man könnte etwas Falsches sagen, gegenseitig blockieren. Da könnte es etwa um die Frage gehen, ob der Wortlaut des BSI-Gesetzes eine Warnung vor Kaspersky erlaubt, auch ohne dass man diese etwa durch eine gefundene Hintertür begründen kann.
Doch diese Untätigkeit ist sogar ein noch größeres Problem als eine mögliche Bedrohung durch Kaspersky. Das BSI soll der Grundpfeiler der IT-Sicherheit in Deutschland sein. Und an dieser Stelle können wir uns keine Behörde leisten, die in einer akuten Krisensituation erst mal zwei Wochen auf Tauchstation geht und sich mit sich selber beschäftigt. Damit versagt das BSI in seiner Grundfunktion.
Wenn die Behörde nicht in der Lage ist, innerhalb angemessener Fristen eine Einschätzung zu akuten Sicherheitsfragen zu geben, ist es allerhöchste Zeit, da ganz grundsätzliche Dinge zu ändern. Dazu gibt es bereits Ideen und Konzepte, die unter anderem fordern, dem BSI mehr Selbstständigkeit zu geben und es dazu aus dem Innenministerium herauszulösen. Die Kaspersky-Frage zeigt einmal mehr, dass wir eine Reform des BSI jetzt dringend angehen müssen.
Meine Einschätzung zu Kaspersky
Doch noch mal zurück zur möglichen Bedrohung durch Kaspersky. Ich persönlich habe eigentlich eine recht hohe Meinung von der Firma. Kaspersky hat insbesondere mit seinen Analysen zu Cybercrime und staatlichen Aktivitäten im Cyberspace einen wichtigen Beitrag zur IT-Security geleistet. Aber ich schätze Kaspersky auch deswegen, weil ich einige Mitarbeiter persönlich kenne und großen Respekt vor deren Fähigkeiten und auch deren Integrität habe. Und auch ich habe Kaspersky in der Vergangenheit gegen Angriffe verteidigt. Doch darum geht es nicht.
Denn selbst wenn man Kaspersky beste Absichten unterstellt, muss man doch berücksichtigen, dass sie nicht im luftleeren Raum agieren, sondern im Kontext eines russischen Angriffskriegs, in dem Deutschland auf der Seite der Angegriffenen steht. Die Firma ist fest in Russland verwurzelt, den dortigen Gesetzen unterworfen und viele der Mitarbeiter und deren Angehörige sind den dortigen Machthabern ausgeliefert. Angesichts des Krieges und der Verwerfungen, die er mit sich bringt, kann man sich als Kunde nicht mehr darauf verlassen, dass die eigenen Interessen ausreichend berücksichtigt werden.
Es geht mir nicht darum, Kaspersky an einen Pranger zu stellen. Und es geht mir hier auch nicht um Sanktionen. Sondern primär darum, ob ich jemandem noch guten Gewissens anraten kann, in der aktuellen Situation seine IT-Sicherheit einer russischen Firma anzuvertrauen. Und da muss ich ehrlich sagen: Das ist keine gute Idee. Im Gegenteil: Angesichts der Tatsache, dass der Krieg in absehbarer Zeit zumindest virtuell auf Deutschland übergreifen könnte, stellt das sogar eine konkrete Gefahr dar.
(ju)