BSI warnt vor Kaspersky-Virenschutz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky Lab und rät Kaspersky-Nutzern, die Schutzsoftware durch alternative Produkte zu ersetzen (siehe ct.de/yyns). Dieses drastische Mittel ist eine Reaktion auf den von Russland begonnenen Ukraine-Krieg. Demnach sind das Vorgehen militärischer und nachrichtendienstlicher Kräfte in Russland sowie jüngst ausgesprochene Drohungen „mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden“.

Das BSI erklärt, dass nicht auszuschließen sei, dass Kaspersky selbst offensive Operationen gegen deutsche Infrastruktur durchführt oder gegen seinen Willen dazu gezwungen wird. Außerdem könne das Unternehmen „selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“.

Die Warnung richtet sich an alle und betrifft das gesamte Virenschutz-Portfolio aus dem Hause Kaspersky. Die Handlungsempfehlung könnte deutlicher nicht sein: „Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden.“ Damit nutzt das BSI das 2009 in Kraft getretene BSI-Gesetz (BSIG) erstmals, um vor einem Schutzprogramm zu warnen.

Zwar hat die amtliche Warnung des BSI keinen Verkaufsstopp in Deutschland zur Folge, die Auswirkungen auf Kasperskys Deutschlandgeschäft dürften jedoch enorm sein. Denn die Wahl des Virenschutzes ist vor allem eine Vertrauensfrage – und das hat das BSI dem russischen Antivirenhersteller durch die Warnung öffentlich entzogen. Das öffentliche Vertrauen in Kaspersky Lab ist ohnehin seit Jahren angeknackst, nachdem die amerikanische Regierung die Kaspersky-Schutzsoftware im Jahre 2017 aus allen Behörden verbannte und damit eine öffentliche Diskussion auslöste.

Misstrauen begann 2017

Die damals amtierende US-Heimatschutzministerin Elaine Duke begründete diesen Schritt damit, dass die Kaspersky-Programme die nationale Sicherheit gefährden könnten. Die Vorwürfe gingen sogar so weit, dass Kaspersky an geheimen Projekten mit dem russischen Inlandsgeheimdienst FSB gearbeitet haben soll.

Kaspersky bestritt die Vorwürfe damals vehement und reagierte mit seiner „Globalen Transparenzinitiative“, zu der sogenannte Transparenzcenter in mehreren Ländern zählen, in denen Kaspersky-Partner die Möglichkeit bekommen, den Quellcode des Unternehmens mit eigenen Augen zu überprüfen. Das BSI sah 2017 keinen Handlungsbedarf. Gegenüber der SZ erklärte das BSI damals sogar noch: „Was Kaspersky betrifft, so weiß das BSI die Zusammenarbeit und die hochwertigen Analysen von Kaspersky zu schätzen.“

Ein Jahr später entflammte die Diskussion erneut, nachdem in einem Berichtsentwurf des EU-Parlaments zur Cyberabwehr gefordert wurde, „die Verwendung als böswillig eingestufter Programme und Geräte wie Kaspersky Lab zu verbieten“. Nachdem sich der Trubel um die Vorwürfe gerade gelegt hatte, macht Kaspersky Lab nun der Einmarsch der russischen Truppen in die Ukraine zu schaffen.

Schon vor der BSI-Warnung erlitt der Hersteller einen erneuten Rückschlag. So ging Kaspersky Internet Security bei Stiftung Warentest Ende Februar noch als Testsieger hervor. Wenige Tage später sah sich das Prüfinstitut jedoch dazu gezwungen, Kaspersky nachträglich aus dem Testfeld zu entfernen, da nicht auszuschließen sei, „dass die russische Regierung Druck auf den Anbieter ausübt, um Änderungen an der Software zu erreichen, die sich negativ auf deren Funktionsweise auswirken“.

Kein Anlass zur Sorge?

Kaspersky hält diesen Schritt nicht für angemessen und fühlt sich ungerecht behandelt. Gegenüber c’t erklärte das Unternehmen: „Die vorgebrachten Spekulationen, die zu einer Rücknahme des Testurteils führten, entbehren jeder Grundlage.“

Das BSI reagierte öffentlich zunächst gar nicht auf die aktuelle Lage und ging auf Tauchstation. Auch eine erste Anfrage von c’t, ob der Einsatz von Kaspersky-Software in Hinblick auf den Ukraine-Krieg unbedenklich sei, blieb zunächst unbeantwortet. heise Security kritisierte daraufhin, dass sich das BSI auch zwei Wochen nach dem Einmarsch der russischen Truppen noch nicht zu der Situation geäußert hatte, und kam zu dem Schluss, dass es eine konkrete Gefahr darstelle, seine IT-Sicherheit einer russischen Firma anzuvertrauen.

Erst 20 Tage nach Beginn des Angriffskriegs warnte auch das BSI eindringlich vor Kaspersky-Software. Nach Ansicht von Kaspersky ist dies politisch motiviert: „Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben –, sondern dass sie aus politischen Gründen getroffen wurde.“ Kaspersky erklärt, dass es sich um „ein privat geführtes globales Cybersicherheitsunternehmen“ handele und als solches „keine Verbindungen zur russischen oder einer anderen Regierung“ unterhalte.

Die Befürchtung des BSI, dass Kaspersky selbst Opfer einer Cyber-Operation werden oder von der russischen Regierung zur Kooperation gezwungen werden könne, kann das Unternehmen nicht entkräften. Dieses Szenario wird man nicht komplett ausschließen können: Laut einem aktuellen Bericht des Wallstreet Journal drohten russische Agenten einer Google-Mitarbeiterin in Russland mit Haft, wenn eine App aus dem Umfeld des Oppositionellen Alexei Navalny nicht innerhalb von 24 Stunden aus dem Google Play Store entfernt werde. Wer in Russland geschäftlich tätig ist, ist vor solchen Einschüchterungsversuchen vermutlich nicht gefeit.

Kaspersky versucht, die aktuelle Situation erneut mit Transparenz aufzulösen: „Bei Kaspersky sind wir der Meinung, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind.“ Das Unternehmen beteuert: „Unsere Kunden können sich auf die Integrität und Sicherheit unserer Produkte, Entwicklungspraktiken und Datenservices verlassen. Diese wurden durch unabhängige Bewertungen Dritter bestätigt“ und verweist auf ein externes Gutachten. Es soll „die Sicherheit des Kaspersky-Prozesses zur Entwicklung und Freigabe von AV-Updates gegen das Risiko unbefugter Änderungen“ bestätigen.

Das Unternehmen sei nicht von den Sanktionen betroffen: „Wir garantieren die Erfüllung unserer Verpflichtungen gegenüber unseren Partnern – einschließlich der Lieferung von Produkten, Updates und Support sowie der Kontinuität finanzieller Transaktionen“, so Kaspersky.

Was tun, sprach Zeus

Auch wenn sich Kaspersky in Schadensbegrenzung übt, die amtliche Warnung des BSI kommt nicht von ungefähr und enthält eine plausible Schilderung des Sachverhalts, der aktuell gegen einen Einsatz der Kaspersky-Schutzsoftware spricht.

Virenschutzprogramme haben weitreichende Befugnisse und klinken sich in sicherheitsrelevante Bereiche des Systems ein. Tritt der Worst Case ein, können Angreifer all dies aber auch gegen den Anwender einsetzen. Theoretisch denkbar wäre, dass ein Virenschutzprogramm durch verseuchte Updates selbst infiziert wird oder die Signaturen bestimmter Schädlingsfamilien einfach fehlen.

Fazit

Bis sich die Lage beruhigt hat, ist es ratsam, der Empfehlung des BSI zu folgen und eine alternative Virenschutzsoftware einzusetzen. Denn an Alternativen mangelt es bekanntlich nicht. Im einfachsten Fall genügt es auf privaten PCs, den Kaspersky-Virenschutz zu deinstallieren, damit der in Windows integrierte Defender aktiv wird. Dieser hat in den letzten Vergleichstests der Prüfinstitute AV-Test und AV Comparatives (siehe ct.de/yyns) wie auch Kaspersky sehr gut abgeschnitten. (rei@ct.de)

BSI-Warnung: ct.de/yyns