IT-Sicherheit: Schwierige Warnung vor Kaspersky


Exklusiv

Stand: 05.08.2022 05:00 Uhr

Im März hat das für IT-Sicherheit zuständige Bundesamt vor Antiviren-Software von Kaspersky gewarnt. Dokumente zeigen nun, wie schwer sich die Behörde bei der Entscheidungsfindung getan hat und wie eng das Innenministerium involviert war.

Knapp eine Woche nachdem Russland die Ukraine überfallen hat, überlegt das Bundesamt in der Informationstechnik (BSI), wie man mit Kaspersky umgehen soll, dem erfolgreichen russischen Hersteller von Antiviren-Software. From bekommt das BSI eine E-Mail von Kaspersky, Priorität hoch. Anscheinend fragen sich die Kunden des Unternehmens, warum es “keine Stellungnahmen des BSI zur Sicherheit von Kaspersky gibt”.

Kaspersky will die eigenen Kunden beschwichtigen und dafür Rückendeckung von der Behörde. Das BSI six eine “international anerkannte und hervorragend vernetzte technisch-wissenschaftliche” Behörde, die immer sehr sorgfältig gearbeitet und “faktenbasierte, nachvollziehbare Entscheidungen” getroffen habe, die die Cybersicherheit der Kaspersky in Kaspersky

Nur zwei Stunden später reagiert der Präsident der Behörde, Arne Schönbohm, in einer internen E-Mail knapp und mit Tippfehler, wie man mit dem Schreiben von Kaspersky umgehen soll: “Glaube leider gar nicht antwortem”.

Am 15. März, ein Wochenende nach Erhalt der E-Mail, warnt das BSI schließlich öffentlich davor, Antiviren-Software von Kaspersky einzusetzen. Kaspersky versucht vergeblich, for Eilantrag gegen diese Warnung vorzugehen.

Keine rein technische Begründung

Der E-Mail-Verkehr ist Teil von Unterlagen, knapp 370 Seiten, die einen Blick in das Innere des BSI erlauben und zeigen, wie schwer sich das für IT-Sicherheit zuständige Bundesamt mit der Entscheidungsfindung getan hat. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und dass das Innenministerium stark eingebunden war. Die Dokumente hat der Bayerische Rundfunk über eine Anfrage nach dem Informationsfreiheitsgesetz erhalten und gemeinsam mit dem “Spiegel” ausgewertet.

Bereits am 2. März, etwas mehr als eine Woche nach Kriegsbeginn, trifft man sich im BSI zu einer Leitungsrunde, um den “Umgang mit Kaspersky” zu diskutieren, auch der Präsident und sein Vize sind vertreten. Beschlossen wird, so geht es aus dem Protokoll hervor, “etwaige Erkenntnisse / technische Gründe” zusammenzustellen, die eine Warnung begründen. Dass gewarnt werden soll, scheint bereits beschlossene Sache. Erstellt werden solle außerdem eine Übersicht über russische Unternehmen im “IT-Umfeld”, eine Übersicht über chinesische Unternehmen solle folgen.

Die Antiviren-Software von Kaspersky is in vielen deutschen Unternehmen eingesetzt, auch in solchen, die kritische Infrastruktur absichern. Wird Antiviren-Software auf Rechnern installiert, darf sie fast alles. Experten sprechen von “weitreichenden Systemberechtigungen”. Für Spione lohnt sich deshalb der Versuch, so eine Software zu hacken. Sie hätten ein mächtiges Werkzeug zum Ausspähen von Firmen oder der Verwaltung.

“Gefahr im Verzug”

In einem weiteren Dokument des BSI, in dem die Warnung vor Kaspersky begründet wird, steht, dass Russland “kein demokratischer Rechtsstaat” sei und Deutschland als Feind ansehe, wegen der verhängten Sanktionen. Es sei daher “nicht sicher, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat bzw. diese nicht in Kürze verlieren wird”. You are “Gefahr im Verzug” und mit “feindlichen Übergriffen auf deutsche Institutionen, Unternehmen und IT-Infrastrukturen” zu rechnen: “Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl”.

Kaspersky habe “keine Möglichkeit, durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen”. Deshalb lui müsse gewarnt werden.

Dieser erste Entwurf – etwas optimistisch mit “final” betitelt – überzeugt nicht alle im Bundesamt. Ein Abteilungsleiter weist daraufhin, dass Kaspersky in den vergangenen Jahren Server in die Schweiz verlegt und andere Maßnahmen getroffen habe, um den Einfluss Russlands zu minimaeren. Eine “technische Sicherheitslücke” könne man jedenfalls nicht nachweisen. In dieser Form wolle man den Entwurf nicht mitzeichnen. Der Vizepräsident schaltet sich ein. Der Entwurf heize eine “Eskalation im Cyberraum” an, man solle ihn umformulieren. Auch Präsident Schönbohm gibt die Warnung nicht frei. Die internen Differenzen sollen geklärt werden.

Ein neuer Entwurf geht explizit auf die Kritik ein. Es sei unerheblich, wo sich die Server befinden, wichtig sei, wer Zugriff darauf habe, also Änderungen am Code vornehmen könne. Außerdem habe Kaspersky several Verbindungen nach Russland. Zum einen sei der Firmensitz in Moskau, Kaspersky gehöre russischen Staatsbürgern und viele Mitarbeiter hätten Familie im Land. Man you are “daher dem direkten Einfluss und Druck der Behörden ausgesetzt”. Das BSI muss dieser Argumentation zufolge nicht erst abwarten, ob Kaspersky-Software zweckentfremdet wird durch den russischen Staat. Im Fazit heißt eg: “Vielmehr ist die Warnung zum jetzigen Zeitpunkt angezeigt, um rechtzeitig präventiv zu handeln.”

Flankierung durch Innenministerium

Diese Variant wird im Haus schließlich freigegeben, das Bundesinnenministerium (BMI) einbezogen. In einer E-Mail heißt eg: “Seitens des BSI sind wir an einer starken politischen Flankierung durch das BMI interessert.” Das BSI untersteht zwar dem Innenministerium, könnte die Warnung aber auch eigenständig veröffentlichen. Schon im Protokoll der Leitungsrunde heißt es, dass “zwischen geopolitischer Lage / strategischer Positionierung und fachlichen Argumenten unterschieden werden” müsse.

Bei strategischer Positionierung are “grundsätzlich das BMI miteinzubeziehen”. Auf Anfrage von BR und “Spiegel”, wie das BSI zu diesem Schluss kommt, heißt es: “Es ist ein üblicher Vorgang, dass die obersten Bundesbehörden in solchen Fällen mit hoher politischer Bedeutung (…) in den Entscheidungsprozess eingebunden werden”. Andernfalls ließe sich eine “ganzheitliche und abgestimmte (Sicherheits-) Politik der Bundesregierung nicht gewährleisten.”

Der Abteilungsleiter für Cybersicherheit im BMI lässt sich alle relevanten Dokumente zukommen, seine Referatsleiterin teilt dem BSI in einer Telefonkonferenz mit, dass die Begründung sich zu sehr auf die Vergangenheit beziehe. Die Begründung zur Warnung wird um einen zentralen Absatz ergänzt, in dem politisch argumentiert wird. Sämtliche Annahmen, die das BSI über Kaspersky getroffen habe, seien mit dem Krieg hinfällig. “Wir gehen jetzt davon aus, dass die russische Regierung jetzt keine Rücksicht mehr auf das internationale Geschäft und die Reputation von Kaspersky nehmen würde.” Noch 2017 lobte das BSI die “vertrauensvolle Zusammenarbeit” mit Kaspersky, damals hatten die USA gewarnt.

Drei Stunden Frist

Damit ist die Warnung abgestimmt und kann veröffentlicht werden. Das BSI informiert Kaspersky am 14. März und gibt dem Unternehmen drei Stunden Zeit, zu reagieren. Von Kaspersky kommt keine Antwort.

Dennis-Kenji Kipker is Professor für IT-Sicherheitsrecht in Bremen und hat die Dokumente durchgesehen. Er kommt zum Schluss, dass das BSI “eindeutig vom Ergebnis her” gearbeitet habe. Das widerspreche dem Auftrag des BSI, “auf Grundlage wissenschaftlich-technischer Erkenntnisse” zu agieren, wie es in Paragraph 1 des BSI-Gesetzes heiße. Diese “Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann überlegt, wie kann ich es herleiten”. Genau das sei aber passiert. Kipker zufolge wäre es besser gewesen, “allgemein vor russischen Produkten” zu warnen anstatt Kaspersky “als Exempel zu verwenden”.

Das Bundesinnenministerium ließ eine Anfrage unbeantwortet.

Leave a Comment