Dass das Bundesamt für Sicherheit in der Informationstechnik den Sicherheitsanbieter Kaspersky wegen seiner russischen Wurzeln und vor dem Hintergrund des Ukraine-Krieges als Sicherheitsrisiko eingestuft hat, weist das Unternehmen von sich.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte nach §7 BSI-Gesetz vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky gewarnt. Der Anbieter könne „selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“, so das BSI.

In einer Stellungnahme weist Kaspersky diese Einschätzung zurück: Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung, teilt das Unternehmen mit.

Weiter heißt es in der Stellungnahme: Man habe die Datenverarbeitungsinfrastruktur in die Schweiz verlagert und seit 2018 verarbeite man schädliche und verdächtige Dateien, die von Anwendern von Kaspersky-Produkten in Deutschland freiwillig weitergegeben werden, in zwei Rechenzentren in Zürich. Diese Rechenzentren würden erstklassige Branchenstandards erfüllen und ein Höchstmaß an Sicherheit gewährleisten, so Kaspersky.

Neben der Datenverarbeitung in der Schweiz sei eine Verarbeitung der von den Nutzern an Kaspersky übermittelten Statistiken über das Kaspersky Security Network in verschiedenen Ländern der Welt möglich, darunter Kanada und Deutschland. Die Sicherheit und Integrität der Datendienste und technischen Praktiken sei durch unabhängige Bewertungen Dritter bestätigt worden, unter anderem durch das SOC 2-Audit eines “Big Four”-Auditors und durch die ISO 27001-Zertifizierung und kürzliche Re-Zertifizierung des TÜV Austria, schreibt Kaspersky.

In einem offenen Brief wehrt sich Firmengründer Eugene Kaspersky gegen die Einschätzung des BSI. Quelle: Kaspersky

In einem offenen Brief weist auch Firmengründer und –Chef Eugene Kaspersky die Vorwürfe von sich und schreibt: In der fünfundzwanzigjährigen Geschichte Kasperskys gab es nie einen Beweis für einen Missbrauch unserer Software zu schädlichen Zwecken. Und das trotz unzähliger Versuche, einen Beweis dafür zu finden. Ohne Beweise kann ich nur zu dem Schluss kommen, dass die Entscheidung des BSI allein aus politischen Gründen getroffen wurde. Ich empfinde es als traurig, ja ironisch, dass die Organisation, die sich für Objektivität, Transparenz und technische Kompetenz einsetzt – im übrigen dieselben Werte, die Kaspersky seit Jahren ebenso wie das BSI und andere europäischen Regulierungsbehörden und Branchenverbände unterstützt – sich buchstäblich über Nacht dazu entschlossen hat oder gezwungen wurde, diese Prinzipien aufzugeben. Kaspersky, langjähriger vertrauensvoller Partner und Unterstützer des BSI und der deutschen Cybersicherheitsindustrie, hatte lediglich wenige Stunden Zeit, um sich zu diesen falschen und unbegründeten Anschuldigungen zu äußern. Dies ist keine Einladung zum Dialog – es ist eine Beleidigung.

Eugene Kaspersky schreibt, dass der Schaden für unsere Reputation und unser Geschäft, der durch die Warnung des BSI entstanden ist, ist bereits erheblich sei. Kaspersky nicht in Deutschland zu haben, werde Deutschland oder Europa nicht sicherer machen. Die BSI-Entscheidung bedeute, dass deutschen Nutzern empfohlen werde, das einzige Antivirenprogramm zu deinstallieren, das laut dem unabhängigen deutschen IT-Sicherheitsinstitut AV-Test, den besten Schutz vor Ransomware garantiere. Sie bedeute, dass die führenden deutschen Industrieunternehmen keine Informationen mehr über kritische Schwachstellen in ihrer Software und Hardware von Kaspersky ICS-CERT erhalten würden – einer Organisation, die von eben diesen Herstellern für ihre verantwortungsvolle Aufklärungsarbeit gelobt wird. Sie bedeute, dass deutsche Automobilkonzerne nicht über die Fehler informiert werden, die es einem Angreifer ermöglichen könnten, das gesamte Bordcomputersystem zu übernehmen und dessen Logik zu verändern. Sie bedeute einen riesigen blinden Fleck auf der Angriffsfläche für europäische Incident Response-Experten und SOC-Betreiber, die nicht mehr in der Lage sein werden, Bedrohungsdaten aus der ganzen Welt – und insbesondere aus Russland – zu empfangen, schreibt Eugene Kaspersky.