Kaspersky-Warnung: BSI nach Medienberichten unter Druck

BSI
Bildquelle: nitpicker / Shutterstock.com

Wie aus einer Investigativ-Recherche des “Spiegel” und des Bayerischen Rundfunk hervorgeht, war die Entscheidung des BSI, vor den Produkten des russischen Virenschutz-Anbieters Kaspersky zu warnen, offenbar mehr politisch als technisch motiviert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) argumentierte im März im Kontext des Ukraine-Krieges, dass Anbieter kritischer Infrastrukturen und Organisationen “mit besonderen Sicherheitsinteressen” besonders gefährdet seien. Das BSI warnte Organisationen in Deutschland, die Antivirenprodukte von Kaspersky Lab einzusetzen und empfahl, diese aus ihren Systemen zu entfernen. Ein russischer IT-Hersteller könne selbst offensive Cyber-Operationen durchführen, gezwungen werden, Zielsysteme gegen seinen Willen anzugreifen, oder ohne sein Wissen ausspioniert werden, teilte das BSI mit und fügte hinzu, dass von Kaspersky gespeicherte Daten für Aufklärungs- oder Sabotageaktionen verwendet werden könnten.

Anzeige

In einer scharf formulierten Antwort vom selben Tag entgegnete Kaspersky, dass es als privates Unternehmen keine Verbindungen zur russischen Regierung habe und dass die Entscheidung des BSI technisch unbegründet sei.

Nun gerät das BSI selbst in Kritik. Denn die rund 370 Seiten umfassenden Dokumenten, die der Bayerische Rundfunk und der “Spiegel” erhalten haben, zeigen, wie schwer sich die Behörde mit der Warnung intern getan hat und wie kontrovers sie auch diskutiert wurde. Demnach traf sich im BSI am 2. März eine Leitungsrunde. Darin diskutierten BSI-Präsident Arne Schönbohm mit der Vize-Hausleitung über die Kaspersky-Thematik. Resultat ist laut dem Protokoll, aus dem der Spiegel und BR zitieren: Es sollen “etwaige Erkenntnisse / technische Gründe” zusammengestellt werden, die offenbar bereits beabsichtigte Warnung zu begründen.

Laut den jüngsten Medienberichten argumentierte ein Abteilungsleiter des BSI im Zuge dieser Diskussionen, dass das Vorliegen einer Sicherheitslücke nicht sauber dargelegt worden sei: “Das scheint mir hier jedoch besonders wichtig, da wir eine technische Sicherheitslücke derzeit nicht nachweisen können”, heißt es. Gleichzeitig wurde darüber diskutiert, dass Kaspersky seine Server schon vor Jahren in die Schweiz verlegt habe, um einem Zugriff der russischen Regierung zu entgehen. Die Sicherheitswarnung wurde trotz dieser Informationen ausgesprochen.

Der Server-Standort spiele jedoch laut einigen Stimmen beim BSI keine wichtige Rolle. Entscheidend sei vielmehr, wer Code einschleusen kann. Kaspersky sei im Besitz von russischen Staatsbürgern und Angestellte hätten außerdem Familie in Russland – so die Argumentation. Das Unternehmen sei also “dem direkten Einfluss und Druck der Behörden ausgesetzt“, berichtet der Bayerische Rundfunk. „Wir müssen dazu nicht erst den möglichen und wahrscheinlichen Eintritt eines solchen Ereignisse abwarten“, zitiert der “Spiegel” aus dem internen Schreiben.

So mehrt sich nun die Kritk am Vorgehen des BSI. Prof. Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen, etwa wirft nun der Behörde vor, seine Begründung lediglich auf Vermutungen und Spekulation zu stützen. Das BSI habe seiner Ansicht nach “eindeutig vom Ergebnis her“ gearbeitet und die Entscheidung getroffen, ohne eine adäquate Begründung zu liefern.

Kaspersky sieht sich durch die neuen Erkenntnisse bestätigt: “Den gleichen Eindruck gewann Kaspersky beim Studium der Akten für die Eilverfahren; technische Argumente und Fakten spielten keine Rolle. Kaspersky hat dem BSI seit Februar umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen. Auf keines dieser Angebote ist das BSI während der Warnung eingegangen“, heißt es in einer Pressemitteilung des Unternehmens. Man sei trotzdem weiterhin zu einem Dialog bereit.

Lars Becker

IT Verlag GmbH -

Online-Redakteur

Anzeige

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.