Antivirensoftware: Wie das BSI Kaspersky zur Bedrohung erklärte
Sechs Tage nach Beginn des russischen Angriffskriegs gegen die Ukraine trifft sich die Spitze des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es geht um den "Umgang mit Kaspersky" . Es herrsche die "Notwendigkeit zu grundlegender Positionierung" und die sogar "dringende Notwendigkeit zur Überarbeitung der Sprachregelung" , wie der Spiegel (Paywall)(öffnet im neuen Fenster) aus internen Dokumenten zitiert, die er gemeinsam mit dem Bayerischen Rundfunk per Informationsfreiheitsanfrage erhalten hat.
Die Dokumente zeichnen laut Spiegel den Weg zu der Warnung des BSI vor Software des Sicherheitsunternehmens Kaspersky nach. An der Sitzung nahmen neben BSI-Präsident Arne Schönbohm auch sein Vize Gerhard Schabhüser teil. Erstes Fazit: Solange das Kaspersky-Problem nicht gelöst ist, soll die "Kommunikation über Kaspersky [...] zurückgehalten" werden.
Die Angst vor Kaspersky
Die Dokumente zeigen, wie schwer dem BSI die Warnung fiel und wie umstritten sie auch intern war. Die grundsätzliche Bedrohung scheint jedoch unstrittig gewesen zu sein: Da Antivirensoftware weitgehende Zugriffsrechte auf den Computern hat, ist sie ein guter Ausgangspunkt für Angriffe, Sabotage oder Spionage.
"Da Kaspersky-Produkte auch zur Absicherung kritischer Infrastrukturen und in der deutschen Verwaltung eingesetzt werden, kann mit einer Warnung nicht gewartet werden, bis der erste große Vorfall öffentlich bekannt wird," schreibt Günther Welsch, Chef der Abteilung Kryptotechnik und IT-Management.
Er befürchtet, dass der russische Staat das Unternehmen bereits gehackt oder instrumentalisiert haben könnte. "Es ist Gefahr im Verzug. Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl warten," so Welsch in einer E-Mail weiter. Das Unternehmen habe "keine Möglichkeit, durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen."
Am 4. März 2022 antwortet der Leiter der Abteilung Beratung für Bund, Länder und Kommunen: "Die Voraussetzungen des § 7 - insbesondere das Vorliegen einer Sicherheitslücke werden nicht sauber dargelegt. Das scheint mir hier jedoch besonders wichtig, da wir eine technische Sicherheitslücke derzeit nicht nachweisen können."
Welsch hingegen reicht seine politische Einschätzung der Lage, technische Gründe wie eine Sicherheitslücke brauche es nicht: "Mutmaßungen darüber, ob die organisatorischen Strukturen bei Kaspersky bzw. die rechtliche Verfassung in Russland ausreichen, einen Missbrauch zu verhindern, sind müßig, da es weder derzeit eine Rechtsstaatlichkeit in Russland gibt noch Russland sich konform zu Gesetzen verhält."
Vielmehr müsse man nicht den möglichen und wahrscheinlichen Eintritt eines Sicherheitsereignisses abwarten, meint Welsch. Die Aufgabe des BSI sei es schließlich nicht, "die Position von Kaspersky mit anderen möglichen Argumenten zu stützen und gegen die Sicherheitsinteressen der Bundesrepublik Deutschland abzuwiegen. Die Aufgabe des BSI ist es, präventiv die IT-Infrastrukturen in Deutschland vor möglichen IT-Angriffen zu schützen." Daraufhin bittet Welsch die Amtsleitung um eine Entscheidung.
BSI: Ein Gefallen für GData
Schönbohm weist einen ersten Begründungsvorschlag von Welsch demnach noch zurück, mit dem zweiten ist er einverstanden. Anschließend wird das Bundesinnenministerium (BMI) mit einbezogen: Am 5. März wendet sich Welsch an Andreas Könen, den Abteilungsleiter Cyber- und IT-Sicherheit im Innenministerium: "Seitens des BSI sind wir an einer starken politischen Flankierung durch das BMI interessiert," schreibt Welsch an Könen. Ein üblicher Vorgang, wie ein Sprecher des BSI dem Spiegel auf Nachfrage erklärt.
Dem Innenministerium ist die Begründung wiederum noch zu vergangenheitsbezogen. Sie wird um weitere politische Argumente ergänzt. Hinzugefügt wird die Einschätzung, dass die russische Regierung in der Vergangenheit für eine Kompromittierung von Kaspersky wohl kaum einen "wirtschaftlichen und Reputationsschaden" riskiert hätte. Dies habe sich jedoch geändert: "Wir gehen jetzt davon aus, dass die russische Regierung jetzt keine Rücksicht mehr auf das internationale Geschäft und die Reputation von Kaspersky nehmen würde."
Könen möchte zudem wissen, "welche weiteren Unternehmen bzw. Produkte auch anderer Produktkategorien ebenfalls betrachtet werden müssen. Hier habe ich vor allem Unternehmen mit signifikanter russischer Anteilseignerschaft im Blick."
Kaspersky und GData
Daraufhin beginnt im BSI eine entsprechende Recherche. Diese fängt bei Wikipedia an und führt zum statistischen Bundesamt. Dessen Daten ergeben, "dass es in Deutschland im Jahr 2018 insgesamt 114.209 Unternehmen aus dem Bereich der Informations- und Telekommunikationstechnik mit russischem Anteilsbesitz gab," so steht es in einem Entwurf aus Welschs Abteilung im BSI. Eine systematische Analyse sei "daher nicht möglich" .
Bemerkenswert ist jedoch ein Hinweis auf das deutsche Sicherheitsunternehmen GData: "Häufig wird GData aus Bochum aufgrund einer russischen Investorin als 'kritisch' angesehen. Die Geschäftsführung von GData hat jedoch glaubhaft versichert, dass die Investorin keinen Einfluss auf das operative Geschäft oder den Sourcecode nehmen kann." Dabei ist die russische Investorin Natalja Kaspersky die Ex-Frau des Kaspersky-Gründers Evgeny. Sie hält laut dem Spiegel über die Firma Infowatch Labs Limited knapp 17 Prozent an GData, will diese aber mittlerweile wohl verkaufen.
Schabhüser spricht sich gegen die Passage aus, doch jemand aus Welschs Team erklärt ihm: "GData hatte ich reingenommen, weil Herr Schönbohm GData am Freitag erwähnte und als potenziell gefährlich eingestuft hatte. Da die russische Investorin die Ex-Frau von Eugene Kaspersky ist und GData früher einmal eine Scan-Engine von Kaspersky eingesetzt hat, müssen sich die Bochumer seit Jahren immer wieder gegen Misstrauen zur Wehr setzen. Ich wollte GData damit einen Gefallen tun und den Kollateralschaden für sie begrenzen."
Letztendlich bleibt der Absatz erhalten und wirft die Frage auf, ob hier mit zweierlei Maß gemessen wird. Eine Begründung bleibt das BSI auf Nachfrage des Spiegel schuldig.
Vor Kaspersky wird gewarnt
Am 10. März, wenige Tage vor der Warnung, erhält das BSI eine E-Mail von Kaspersky. Das Unternehmen hat offenbar selbst mit Nachfragen von Kunden zu kämpfen und hätte gerne eine Art amtliche Unbedenklichkeitsbestätigung. Schönbohm äußert sich intern kurz angebunden und mit Tippfehlern: "Glaube leider gar nicht antwortem."
Danach wird diskutiert, wann die Warnung veröffentlicht und Kaspersky vorab informiert werden soll. Letztlich bekommt Kaspersky am 14. März eine E-Mail - mit einer dreistündigen Frist zur Reaktion. Eine Reaktion bleibt aus, hätte an der Warnung aber ohnehin nicht viel geändert. Nur mit konkreten Gründen, warum eine Einflussnahme nicht möglich sei, müsse man neu bewerten, schreibt das BSI intern. Am Tag danach wird die Warnung des BSI offiziell veröffentlicht.
Kaspersky reagiert darauf mit einem emotionalen Brief und einem Eilantrag vor Gericht. Bisher haben die Gerichte Eilanträge abgewiesen . Kaspersky bleibt nur der Weg über das langwierige Hauptsacheverfahren, dessen letztinstanzliche Entscheidung erst in mehreren Jahren fallen könnte.