zurück zum Artikel

Dem BSI lagen 2018 keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen. Der Krieg Russlands gegen die Ukraine rüttelt daran.

Viele Firmen und individuelle Nutzer fragen sich angesichts des andauernden bewaffneten Angriffs Russlands auf die Ukraine, ob sie auf ihren Rechnern und Kundensystemen noch ruhigen Gewissens Produkte russischer Hersteller wie Antivirus für Windows oder Mac von Kaspersky Lab einsetzen können. Politiker und Forscher werben in dieser Angelegenheit dafür, das Kind nicht mit dem Bade auszuschütten, aber Vorsicht walten zu lassen.

"Auch wenn es bislang keinen Anlass gegeben hat, vor Kaspersky-Produkten in Deutschland zu warnen, so hat der völkerrechtswidrige Krieg von Russland gegen die Ukraine nahezu alle Sicherheiten in Frage gestellt", erklärte der digitalpolitische Sprecher der SPD-Bundestagsfraktion, Jens Zimmermann, gegenüber heise online. Die zahlreichen, russischen Stellen zugeschriebenen Cyberangriffe etwa auf den Bundestag [1] gäben ebenfalls "Anlass zur Sorge". Daher werde auch "der Einsatz bestimmter IT-Sicherheitsinstrumente neu bewertet werden müssen".

"Großes Fragezeichen hinter Kaspersky"

Ähnlich sieht dies der innenpolitische Sprecher der FDP-Bundestagsfraktion, Manuel Höferlin. Es müsse klar sein, dass Hersteller "nicht von außen, beispielsweise durch Regierungen oder Geheimdienste, kompromittiert" werden. Hier habe der auch im Cyberraum geführte Krieg [2] "ein großes Fragezeichen hinter Kaspersky und andere aus Russland stammende Unternehmen gesetzt". Solange keine eingehende Prüfung auch des Quellcodes durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorliege, verstehe er persönlich jeden, der skeptisch sei.

Die Ampel-Koalition habe verabredet, der IT-Sicherheit einen höheren Stellenwert einzuräumen [3], betont der FDP-Politiker. Dazu gehöre eine Pflicht für alle staatlichen Stellen, sich regelmäßig externen Sicherheitsaudits zu unterziehen. Das werde absehbar "auch Auswirkungen auf die eingesetzten Systeme und Produkte staatlicher Stellen haben".

Kaspersky seien in der Vergangenheit zwar Verbindungen zum russischen Geheimdienst nachgesagt worden, weiß der Bremer Informationsrechtler Dennis-Kenji Kipker. Konkrete Beweise für die fehlende Sicherheit von Kaspersky-Programmen gebe es bislang aber nicht. Kipker hält es für verfehlt, "wahllos Sanktionen" zu verteilen oder den "Einsatz von Kaspersky-Produkten per se und unreflektiert auszuschließen". Trotzdem sollten sich User auch im Sinne der Technologiesouveränität mittelfristig überlegen, auf europäische Alternativen zur Computersicherheit zurückzugreifen, rät Kipker.

Er kenne keine aktuellen Untersuchungen und Einschätzungen zu russischer Sicherheitssoftware, berichtete Matthias Schulze von der Forschungsgruppe Sicherheitspolitik bei der Stiftung Wissenschaft und Politik. Die üblichen "Caveats", dass Lösungen für einen Schutz vor Viren, Malware und Phishing über verschiedene Endgeräte hinweg per "Endpoint Protection" alles auf Systemen mitlesen könnten, blieben aber bestehen und gälten generell.

Die Bundesregierung vertraute beim Einsatz von ausländischer Software in hiesigen Behörden bislang vor allem auf eine 2015 eingeführte "No-Spy-Klausel [4]". Gemäß dieser Antispionage-Bestimmung versichern ausländische Unternehmen, dass sie rechtlich nicht dazu verpflichtet sind, vertrauliche Informationen an ausländische Nachrichtendienste weiterzugeben. Das Bundesinnenministerium (BMI) räumte 2018 aber ein: Ein Beweis, "dass deutsche Personendaten oder Daten deutscher Sicherheitsbehörden mittels ausländischer Software nicht ins Ausland gelangen, kann nicht erbracht werden".

Bis zum gleichen Jahr hatte das BSI auch erst in einem Fall den Auftrag erhalten, entsprechende Programme mit Blick auf IT-Security und mögliche Funktionen zum Nach-Hause-Telefonieren oder weitergehende Datenausleitungen zu überprüfen. Dabei handelte es sich um Windows 10 von Microsoft, wobei erst spät einzelne Analysen des Quellcodes des Betriebssystems erfolgten [5]. Zu Kaspersky hatte das BMI 2018 erklärt: "Dem BSI liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen."

Aktuell antworteten BMI und BSI nicht auf einen Fragenkatalog von heise online, ob Nutzer hierzulande Programme russischer Hersteller ohne große Bedenken verwenden könnten. Beide Institutionen wollten sich auch nicht dazu äußern, ob es in diesem Bereich neue Untersuchungen gegeben habe, ob sie eine No-Spy-Klausel als ausreichend betrachten und Sanktionen gegen russische IT-Firmen geplant seien. Für geheim erklärt hatte die Regierung schon vorher, welche konkrete ausländische Software hiesige Sicherheitsbehörden nutzen.

"Mehr als blauäugig"

"Sich auf eine No-Spy-Klausel im Bereich der Hard- und Softwarebeschaffung von ausländischen Anbietern zu verlassen, soweit diese in sicherheitssensiblen Bereichen eingesetzt wird, ist mehr als blauäugig", kommentiert Kipker. Eine solche Linie lege "erhebliche Missstände" mit Blick auf Technologiesouveränität sowie das Vertrauen von Regierung und Behörden in unsichere Drittstaaten offen.

Ausländische Unternehmen könnten sich kaum der Gesetzgebung in ihrer Heimat entziehen, gibt Kipker zu bedenken. Zu einer Überprüfung gehöre daher notwendigerweise die Einsichtnahme in den Quellcode. Dies müsse bei Kaspersky & Co. umso mehr gelten, da "gerade Russland in der Vergangenheit immer wieder durch staatlich gelenkte Maßnahmen auffiel, die insbesondere auch die IT-Systeme des Bundes kompromittierten".

Fakt ist, dass Firmengründer und -leiter Eugene Kaspersky 1987 in Moskau seinen Abschluss an der KGB-Hochschule, der späteren FSB-Akademie, machte. Danach arbeitete er zunächst in einem militärischen Forschungsinstitut im Spionagebereich. Kooperationen mit dem FSB sowie Behörden aus den USA und der EU in Sicherheitsfragen bestätigte er in einem Interview 2013 [6]. Ein Jahr zuvor hatte der Computerviren-Experte aber Behauptungen dementiert, dass er enge Verbindungen zum Kreml unterhalte [7].

Globale Transparenzinitiative

Seit Anfang 2018 ermöglicht es Kaspersky Lab im Rahmen einer "globalen Transparenzinitiative" [8] auch Sicherheitsexperten von Behörden und autorisierten Organisationen in den USA, Europa und Asien, die Quelltexte der eigenen Software sowie von Updates zu prüfen. Im selben Jahr kündigte der Hersteller an, Daten aus den meisten Regionen der Welt in der Schweiz speichern und verarbeiten zu wollen.

"Als Technologie- und Cybersicherheitsdienstleister ist das Unternehmen nicht in der Lage, geopolitische Entwicklungen außerhalb seines Fachgebiets zu kommentieren oder darüber zu spekulieren", sagte ein Firmensprecher [9] gegenüber dem US-Magazin "Motherboard" im Hinblick auf den Krieg in der Ukraine. Das globale Management-Team beobachte die Situation genau und sei bereit, "bei Bedarf sehr schnell zu handeln".

Außen vor ist Kaspersky in diesem Krieg keinesfalls. So betreibt der Konzern [10] etwa einen Schutz vor Distributed-Denial-of-Service-Attacken (DDoS) für die Domain mil.ru [11] des russischen Verteidigungsministeriums mit Verkehrsumleitung über einen Proxy-Server. Die Webseite selbst ist so für ausländische Nutzer seit über einer Woche nicht erreichbar, ihre tatsächliche Adresse wird bei einem solchen Ansatz vor den Internetnutzern verborgen. Aufmerksame Beobachter stellten dabei fest [12], dass die Domain anfangs nach außen hin den ungewöhnlichen Fehlercode 418 erzeugte.

Offenbar will das russische Militär sich aktuell online nicht in die Karten blicken lassen. Zu erwarten gewesen wäre so der HTTP-Statuscode 403 für "verboten" oder 410 für "verschwunden". Der 418-Verweis stammt eigentlich aus einem Aprilscherz der Internet Engineering Task Force (IETF) von 1998 [13]. Dabei ging es um den Anschluss von Kaffeekannen ans Internet. Tee-Liebhaber sollten dabei die Fehlermeldung erhalten: "418 Ich bin eine Teekanne". Offenbar legte Kaspersky so dem Verteidigungsressort ein bei Programmierern beliebtes "Osterei" ins Nest.

Update 4. März 2022: Korrektur im vorletzten Absatz. Kaspersky betreibt einen Proxyschutz für mil.ru, nicht die Domain selbst. (vbr [14])

URL dieses Artikels:
https://www.heise.de/-6536765

Links in diesem Artikel:
[1] https://www.heise.de/news/EU-sanktioniert-Russen-fuer-Hackerangriff-auf-Bundestag-4937005.html
[2] https://www.heise.de/hintergrund/Cyberwar-droht-wirklich-die-IT-Apokalypse-6527853.html
[3] https://www.heise.de/news/Koalitionsvertrag-Ampel-will-Vorratsdatenspeicherung-rechtssicher-gestalten-6276033.html
[4] https://www.heise.de/news/No-Spy-Regel-fuer-Softwarebeschaffung-der-oeffentlichen-Hand-in-Kraft-2752381.html
[5] https://www.heise.de/news/Bundesprojekt-Sisyphus-1-37-Millionen-Euro-fuer-Sicherheitsanalyse-von-Windows-10-4320684.html
[6] https://lenta.ru/articles/2013/10/01/kaspersky/
[7] https://eugene.kaspersky.com/2012/07/25/what-wired-is-not-telling-you-a-response-to-noah-shachtmans-article-in-wired-magazine
[8] https://www.kaspersky.de/blog/even-more-transparency/15131
[9] https://www.vice.com/en/article/dyp5qj/eugene-kaspersky-neutral-ukraine-war-russia
[10] https://apps.db.ripe.net/db-web-ui/query?searchtext=82.202.190.0%2F24&rflag=true&source=RIPE&bflag=false
[11] https://mil.ru
[12] https://nettime.org/Lists-Archives/nettime-l-2202/msg00048.html
[13] https://datatracker.ietf.org/doc/html/rfc2324
[14] mailto:vbr@heise.de

Copyright © 2022 Heise Medien