BSI-Warnung vor Kaspersky: Interne Dokumente belegen politische Motivation

Nach dem militärischen Überfall Russlands auf die Ukraine blockte das BSI abrupt die Kommunikation mit Kaspersky und sprach sich mit dem Innenministerium ab.

In Pocket speichern vorlesen Druckansicht 563 Kommentare lesen
BSI

Kaspersky, ein russisches Antiviren-Unternehmen, muss sich seit dem russischen Überfall der Ukraine, gegen den Verdacht zur Wehr setzen, für Kreml-Interessen missbraucht werden zu können.

(Bild: Konektus Photo/Shutterstock.com)

Lesezeit: 6 Min.
Inhaltsverzeichnis

Interne Unterlagen aus dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigen, wie schwer sich die Cybersicherheitsbehörde mit dem Beginn des Angriffskriegs Russlands gegen die Ukraine Ende Februar getan hat. Die Dokumente legen zudem nahe, dass die mit Mitte März recht spät ausgesprochene Warnung vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky weniger technisch als vielmehr politisch bedingt war. Das Bundesinnenministerium (BMI) war auch eng eingebunden.

Laut den ausgedruckt rund 370 Seiten umfassenden Dokumenten, die der Bayerische Rundfunk (BR) und der "Spiegel" auf Basis von Anfragen nach dem Informationsfreiheitsgesetz des Bundes erhalten haben, traf sich im BSI am 2. März eine Leitungsrunde. Darin diskutierten BSI-Präsident Arne Schönbohm mit der Vize-Hausleitung den "Umgang mit Kaspersky". Ergebnis ist laut dem Protokoll, aus dem die beiden Medien zitieren: Es sollen "etwaige Erkenntnisse / technische Gründe" zusammengestellt werden, die eine zu diesem Zeitpunkt offenbar bereits geplante Warnung zu begründen.

Quasi parallel erhält das BSI laut den Berichten eine E-Mail von Kaspersky mit hoher Priorität. Kunden des Unternehmens fragen sich demnach, warum es "keine Stellungnahmen des BSI zur Sicherheit von Kaspersky gibt". Der russische Konzern erhofft sich demnach Rückendeckung: Das BSI beschreibt er in der Mail als "international anerkannte und hervorragend vernetzte technisch-wissenschaftliche"Behörde, die immer sehr sorgfältig gearbeitet und "faktenbasierte, nachvollziehbare Entscheidungen" getroffen habe.

Bei Schönbohm kommt der Annäherungsversuch aber nicht gut an. Zwei Stunden später schreibt der BSI-Chef dem BR zufolge in einer internen E-Mail offenbar unter zeitlichem Druck knapp und mit Tippfehlern: "Glaube leider gar nicht antwortem".

Erst am 14. März hört Kaspersky vom BSI: Der Antiviren-Hersteller wird kurz vor knapp über die anstehende Veröffentlichung der Warnung informiert. Er erhält drei Stunden Zeit zur Reaktion. Eine Antwort erhält die Behörde innerhalb dieser Mini-Frist nicht. Zuvor hatten Anfang März unter anderem Politiker von SPD und FDP eine Neubewertung russischer Sicherheitssoftware gefordert: Der völkerrechtswidrige Krieg Russlands habe nahezu alle Sicherheiten infrage gestellt.

In der publizierten Begründung hob das BSI besonders auf das notwendige Vertrauen in "die Zuverlässigkeit" und die "authentische Handlungsfähigkeit" eines Produzenten von Antiviren-Software ab. Das sei angesichts des kriegerischen Konflikts nicht mehr gegeben: "Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden."

In Vorversionen hatte es den Berichten zufolge etwa noch geheißen, dass Russland "kein demokratischer Rechtsstaat" sei und Deutschland wegen der verhängten Sanktionen als Feind ansehe. Es sei daher "nicht sicher, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat bzw. diese nicht in Kürze verlieren wird". Es sei "Gefahr im Verzug" und mit "feindlichen Übergriffen auf deutsche Institutionen, Unternehmen und IT-Infrastrukturen" zu rechnen: "Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl warten."

Im BSI sollen damit nicht alle einverstanden gewesen sein. Ein Abteilungsleiter etwa habe darauf verwiesen, dass Kaspersky in den vergangenen Jahren Server in die Schweiz verlegt und andere Maßnahmen getroffen habe, um den Einfluss Russlands zu minimieren. Eine "technische Sicherheitslücke" könne man jedenfalls nicht nachweisen. Standorte von Rechenzentren seien unerheblich, soll die alarmierte BSI-Seite dagegen gehalten haben. Es gebe jenseits des Firmensitzes viele Verbindungen nach Russland. Der Konzern sei "daher dem direkten Einfluss und Druck der Behörden ausgesetzt". Die Warnung sei angezeigt, "um rechtzeitig präventiv zu handeln".

Die Einbindung sei formell nicht nötig gewesen, sie sei aber trotzdem erfolgt und zudem durch das BSI stark politisch flankiert gewesen. Diesen Umstand begründete das BSI auf Anfrage von BR und "Spiegel" damit, es sei "ein üblicher Vorgang", die obersten Bundesbehörden in solchen Fällen mit hoher politischer Bedeutung in den Entscheidungsprozess einzubeziehen. Sonst ließe sich eine "ganzheitliche und abgestimmte (Sicherheits-)Politik der Bundesregierung nicht gewährleisten". Das BMI wollte sich nicht dazu äußern.

Der Bremer Informationsrechtler Dr. Dennis-Kenji Kipker, dem die Reporter die Unterlagen zur Durchsicht gaben, schlussfolgert, dass das BSI "eindeutig vom Ergebnis her" gearbeitet habe. Das widerspreche dem Auftrag der Behörde, "auf Grundlage wissenschaftlich-technischer Erkenntnisse" zu agieren, wie es in Paragraf 1 des BSI-Gesetzes heißt. Der Juniorprofessor hatte es bereits zuvor für verfehlt gehalten, "wahllos Sanktionen gegen russische IT-Unternehmen zu verteilen oder den Einsatz von Kaspersky-Produkten per se und unreflektiert auszuschließen".

Kaspersky fühlt sich als "internationales, unabhängiges Privatunternehmen ohne jegliche Verbindungen zu Regierungen" von dem Schritt des BSI diskreditiert. Das Softwarehaus beschritt dagegen den Rechtsweg. Die Ausführungen der obersten deutschen IT-Sicherheitsbehörde hatten bislang aber in allen Instanzen Bestand: Jüngst nahm auch das Bundesverfassungsgericht einen Eilantrag der deutschen Kaspersky-Tochter nicht zur Entscheidung an. Die tatsächlichen Umstände der Sicherheit der Software müssen laut den Karlsruher Richtern weiter im Hauptverfahren von den zuständigen Fachgerichten geklärt werden.

Das Unternehmen zeigte sich auf Basis der Berichte bestrebt, "den langjährigen konstruktiven Dialog mit dem BSI fortzusetzen, um gemeinsam auf der Basis faktenbasierter Bewertungen für ein Höchstmaß an Cybersicherheit für unsere deutschen und europäischen Bürger sowie Unternehmen einzutreten". Man habe dem BSI seit Februar "umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen". Auf keine dieser Offerten sei das Amt "während der Warnung eingegangen". Schönbohm hatte jüngst dagegen nachgelegt und von einer "Gefahr für die nationale Sicherheit" gesprochen. Wenn jemand weiter Virenschutzsoftware des Konzerns etwa in kritischen Infrastrukturen nutze, sei dies fahrlässig.

(mawi)