Die Kaspersky-Zentrale

Bildrechte: dpa/Pavel Golovkin
  • Artikel mit Audio-Inhalten
> Netzwelt >

Die schwierige Warnung vor Kaspersky-Software

Die schwierige Warnung vor Kaspersky-Software

Soll man noch Antiviren-Software aus Russland verwenden? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im März vor Antivirenschutz von Kaspersky gewarnt. Dokumente zeigen nun, wie hart um diese Warnung gerungen wurde.

In Ingolstadt ist man sich sicher: Die Software von Kaspersky muss weg. Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 15. März vor dem russischen Anbieter von Antiviren-Software gewarnt. Und Kaspersky ist auf knapp 5.000 PCs in Schulen installiert, zwar "nur" im pädagogischen Bereich und nicht in der Verwaltung. In Ingolstadt – wo Kaspersky seinen Deutschlandsitz hat – will man diese Warnung dennoch ernst nehmen. Man habe "beschlossen, die Software von den Schulrechnern zu deinstallieren, was innerhalb weniger Tage umgesetzt werden konnte", wie ein Sprecher auf Anfrage mitteilt.

Politische Gründe für Kaspersky-Warnung

Viele Kommunen deutschlandweit standen vor einer ähnlichen Entscheidung. Der Landtag hat nach der BSI-Warnung beschlossen, dass Kaspersky-Software nicht mehr in bayerischen Behörden eingesetzt werden darf.

Doch wie genau kam es überhaupt zur Warnung des BSI?

Dem Bayerischen Rundfunk liegen knapp 370 Seiten vor, die einen Blick in das Innere des BSI erlauben und zeigen, wie schwer sich das für IT-Sicherheit zuständige Bundesamt mit der Entscheidungsfindung getan hat. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und dass das Bundesinnenministerium stark eingebunden war. Die Dokumente hat BR Recherche über eine Anfrage nach dem Informationsfreiheitsgesetz erhalten und gemeinsam mit dem "Spiegel" ausgewertet.

Antiviren-Software darf fast alles

Bereits am 2. März, etwas mehr als eine Woche nach dem Beginn des russischen Angriffskriegs auf die Ukraine, trifft man sich im BSI zu einer Leitungsrunde, um den "Umgang mit Kaspersky" zu diskutieren, auch der Präsident und sein Vize sind vertreten. Beschlossen wird, so geht es aus dem Protokoll hervor, "etwaige Erkenntnisse/technische Gründe" zusammenzustellen, die eine Warnung begründen. Dass gewarnt werden soll, scheint bereits beschlossene Sache. Erstellt werden solle außerdem eine Übersicht über russische Unternehmen im "IT-Umfeld", eine Übersicht über chinesische Unternehmen solle folgen.

Die Antiviren-Software von Kaspersky wird in vielen deutschen Unternehmen eingesetzt, auch in solchen, die kritische Infrastruktur absichern. Wird Antiviren-Software auf Rechnern installiert, darf sie fast alles, Experten sprechen von "weitreichenden Systemberechtigungen". Für Spione lohnt sich deshalb der Versuch, so eine Software zu hacken. Sie hätten dann ein mächtiges Werkzeug zum Ausspähen von Firmen oder der Verwaltung

Hacker, die auf Einsatzbefehl warten

Das BSI begründet die angestrebte Warnung in einem Dokument. Darin steht, dass Russland "kein demokratischer Rechtsstaat" sei und Deutschland als Feind ansehe, wegen der verhängten Sanktionen. Es sei daher "nicht sicher, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat bzw. diese nicht in Kürze verlieren wird." Es sei "Gefahr im Verzug" und mit "feindlichen Übergriffen auf deutsche Institutionen, Unternehmen und IT-Infrastrukturen" zu rechnen: "Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl warten."

Kaspersky habe "keine Möglichkeit, durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen". Deshalb müsse gewarnt werden.

Keine technische Sicherheitslücke

Dieser erste Entwurf – etwas optimistisch mit "final" betitelt – überzeugt nicht alle im Bundesamt. Ein Abteilungsleiter weist daraufhin, dass Kaspersky in den vergangenen Jahren Server in die Schweiz verlegt und andere Maßnahmen getroffen habe, um den Einfluss Russlands zu minimieren. Eine "technische Sicherheitslücke" könne man jedenfalls nicht nachweisen. In dieser Form wolle man den Entwurf nicht mitzeichnen. Der Vizepräsident schaltet sich ein. Der Entwurf heize eine "Eskalation im Cyberraum" an, man solle ihn umformulieren. Auch Präsident Schönbohm gibt die Warnung nicht frei. Die internen Differenzen sollen geklärt werden.

Ein neuer Entwurf geht explizit auf die Kritik ein. Es sei unerheblich, wo sich die Server befinden, wichtig sei, wer Zugriff darauf habe, also Änderungen am Code vornehmen könne. Außerdem habe Kaspersky diverse Verbindungen nach Russland. Zum einen sei der Firmensitz in Moskau, Kaspersky gehöre russischen Staatsbürgern und viele Mitarbeiter hätten Familie im Land. Man sei "daher dem direkten Einfluss und Druck der Behörden ausgesetzt". Das BSI muss dieser Argumentation zufolge nicht erst abwarten, ob Kaspersky-Software zweckentfremdet wird durch den russischen Staat. Im Fazit heißt es: "Vielmehr ist die Warnung zum jetzigen Zeitpunkt angezeigt, um rechtzeitig präventiv zu handeln."

Absätze vom Bundesinnenministerium

Diese Variante wird im Haus schließlich freigegeben, das Bundesinnenministerium (BMI) einbezogen. In einer E-Mail heißt es: "Seitens des BSI sind wir an einer starken politischen Flankierung durch das BMI interessiert." Das BSI untersteht zwar dem Innenministerium, könnte die Warnung aber auch eigenständig veröffentlichen. Schon im Protokoll der Leitungsrunde heißt es, dass "zwischen geopolitischer Lage/strategischer Positionierung und fachlichen Argumenten unterschieden werden" müsse. Bei strategischer Positionierung sei "grundsätzlich das BMI miteinzubeziehen".

Auf Anfrage von BR und Spiegel, wie das BSI zu diesem Schluss kommt, heißt es: "Es ist ein üblicher Vorgang, dass die obersten Bundesbehörden in solchen Fällen mit hoher politischer Bedeutung (…) in den Entscheidungsprozess eingebunden werden." Andernfalls ließe sich eine "ganzheitliche und abgestimmte (Sicherheits-)Politik der Bundesregierung nicht gewährleisten".

Der Abteilungsleiter für Cybersicherheit im BMI lässt sich alle relevanten Dokumente zukommen, seine Referatsleiterin teilt dem BSI in einer Telefonkonferenz mit, dass die Begründung sich zu sehr auf die Vergangenheit beziehe. Die Begründung zur Warnung wird um einen zentralen Absatz ergänzt, in dem politisch argumentiert wird. Sämtliche Annahmen, die das BSI über Kaspersky getroffen habe, seien mit dem Krieg hinfällig. "Wir gehen jetzt davon aus, dass die russische Regierung jetzt keine Rücksicht mehr auf das internationale Geschäft und die Reputation von Kaspersky nehmen würde." Noch 2017 lobte das BSI die "vertrauensvolle Zusammenarbeit" mit Kaspersky, damals hatten die USA gewarnt

IT-Professor: "Vom Ergebnis her gearbeitet"

Damit ist die Warnung abgestimmt und kann veröffentlicht werden. Das BSI informiert Kaspersky am 14. März und gibt dem Unternehmen drei Stunden Zeit, zu reagieren. Die E-Mail wird an zwei Funktionspostfächer verschickt. Von Kaspersky kommt keine Reaktion. 

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und hat die Dokumente durchgesehen. Er kommt zum Schluss, dass das BSI "eindeutig vom Ergebnis her" gearbeitet habe. Das widerspreche dem Auftrag des BSI, "auf Grundlage wissenschaftlich-technischer Erkenntnisse" zu agieren, wie es in Paragraph 1 des BSI-Gesetzes heiße. Diese "Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann überlegt, wie kann ich es herleiten". Genau das sei aber passiert. Kipker zufolge wäre es besser gewesen, "allgemein vor russischen Produkten" zu warnen anstatt Kaspersky "als Exempel zu verwenden". 

Nachdem das BSI die Warnung veröffentlicht hatte, versucht Kaspersky juristisch dagegen vorzugehen – vergeblich. Auf Anfrage teilte das BSI mit, dass man sich aufgrund der "bisherigen gerichtlichen Entscheidungen" in der Einschätzung der Gefährdungslage bestätigt sehe.

Das Bundesinnenministerium ließ eine Anfrage unbeantwortet.

"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!