Wenn das BSI eine solche Warnung ausspricht, dann müssen dem technische Argumente zugrunde liegen. Das war überhaupt nicht der Fall. Das ist aus meiner Sicht ganz entsetzlich. Eine technische Behörde des Innenministeriums erklärt etwas rein politischen Inhalts, wie man heutzutage weiß.
Digitale Sicherheit
Antivirensoftware arbeitet nahe am Betriebssystem. Dies kann von den Herstellern missbraucht werden. © Getty Images / Artpartner Images
Wie gefährlich sind Programme russischer Softwarefirmen?
07:47 Minuten
Geht von russischen IT-Sicherheitsfirmen eine Gefahr aus? Seit der Abberufung von Arne Schönbohm als BSI-Chef wird darüber debattiert. Vor der Software des russischen Antivirenspezialisten Kaspersky hatte das Bundesamt schon im März 2022 gewarnt.
Die Zahlen klingen bedrohlich: 116 Millionen neue Computerviren vermeldet das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, allein für das Jahr 2021. Jeden Tag kommt es allein in Deutschland zu mehreren Millionen Angriffen mit Schadsoftware auf PCs und andere Computer.
Helfen soll dagegen Antivirensoftware, zum Beispiel die vom russischen Sicherheitsspezialisten Kaspersky. Deren Programme laufen auf Hunderttausenden von deutschen Rechnern. 704 Millionen US-Dollar Umsatz hat Kasperksy im Jahr 2020 gemacht.
Vor dem Einsatz der Antivirensoftware hatte das BSI bereits im März 2022 gewarnt.
Zitat: „Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten können Aufklärung- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden.“
Rein theoretisch ist solch ein Zugriff von Antivirensoftware auf zentrale Routinen des Betriebssystems möglich. Das würde Sabotageaktionen und das Ausspähen von Computersystemen und deren Daten erlauben. Aber bisher fanden sich in der Antivirensoftware von Kaspersky keinerlei Hinweise auf solche Zugriffe, eingebaute Hintertüren oder versteckte Manipulationen.
Politisch motivierte Warnung
Deshalb sei die Warnung des BSI auch rein politisch motiviert gewesen, meint der Informatikprofessor Hartmut Pohl.
Aus dem mittlerweile öffentlich gewordenen Mailverkehr zwischen dem BSI und dem Bundesinnenministerium ergibt sich, dass die Warnung vor dem Einsatz der Kaspersky-Software in erster Linie aus geopolitischen Überlegungen im Innenministerium erfolgte. Dort wollte man sich eindeutig gegen russische Softwarehersteller und IT-Sicherheitsdienstleister positionieren.
Anlass war der russische Angriff auf die Ukraine am 24. Februar 2022. Noch im Jahr 2017 hatte das BSI nach einer Warnung US-amerikanischer Sicherheitsbehörden vor dem Einsatz russischer Software die Kaspersky-Programme ausdrücklich gelobt. Das berichtete unter anderem tagesschau.de am 5. August 2022. Die Warnung amerikanischer Sicherheitsbehörden vor dem Einsatz russischer Sicherheitssoftware hatte einen eindeutigen wirtschaftlichen Hintergrund. Darauf weisen auch Sicherheitsexperten wie der Informatikprofessor Pohl hin.
Firmengründer Eugene Kaspersky hat schon auf der Münchner Cybersicherheitskonferenz, die der Münchner Sicherheitskonferenz traditionell einen Tag vorgelagert ist, im Jahr 2018 betont: „Geopolitische Turbulenzen zerstören die Kooperation zwischen den großen Staaten, zwischen West und Ost und Russland.“
Im Gespräch mit dem Deutschlandfunk führte er schon damals aus, dass sein IT-Sicherheitsunternehmen wichtige Teile in die Schweiz verlagert habe, dass die relevanten Sicherheitsanalysten von London aus arbeiten würden, um unabhängig von Regierungen arbeiten zu können. Eine Einflussnahme russischer Regierungsbehörden auf Kaspersky sehen deshalb auch westeuropäische Sicherheitsexperten nicht.
Wachsende Marktanteile russischer Firmen
Russische Sicherheitsunternehmen haben seit 2010 immer größere Marktanteile im internationalen Geschäft gewonnen. Dafür haben sie eine recht lange Anlaufphase gebraucht.
Ab dem Jahr 2003, nach Auflösung des technischen Geheimdienstes Russlands, der Föderalen Agentur für Fernmeldewesen und Information, kurz FAPSI, machten sich viele IT-Sicherheitsexperten selbstständig, einige im Geschäft mit Antivirensoftware. Das hat in Russland eine lange Tradition. Bis 1989 beschäftigten sich rund 2000 Mitarbeiter des Geheimdienstes KGB mit dem Aufspüren und Unschädlichmachen von Computerviren.
Antivirensoftware arbeitet nahe am Betriebssystem. Ist diese Sicherheitssoftware erst einmal installiert, kann sie mit dem Computersystem machen, was sie will. Diese Systemnähe kann von den Herstellern missbraucht werden. Deshalb sind Warnungen prinzipiell auch berechtigt, meint der Sicherheitsexperte Manuel Atug.
Tatsächlich ließe sich so eine generische Warnung fast gegen jede Antivirensoftware oder deren Hersteller aussprechen. Insgesamt ist diese Warnung weiterhin völlig unverständlich und nicht wirklich nachvollziehbar. Schade, denn das BSI schadet sich damit. Und das ist in diesen Zeiten nicht hilfreich für das Vertrauen und für die Cybersicherheit in Deutschland.
Konkrete Hinweise, dass russische Softwarefirmen wie Kaspersky als Handlanger für die russische Regierung dienen, gebe es bislang nicht, sagen Sicherheitsexperten wie Hartmut Pohl. Dennoch rät er zu Wachsamkeit gegenüber Cybersecurity-Firmen, nicht nur aus Russland.
„Diese Staatsnähe von Cybersecurity-Unternehmen ist in allen Staaten sehr stark. Das gilt nicht nur für Russland. Ja, völlig d'accord, das gilt für andere Staaten, ich will sie nicht alle aufzählen“, erklärt er. „Aber wir müssen damit rechnen, dass auch in den guten Staaten solche Unternehmen von Sicherheitsbehörden hinzugezogen werden. Ich würde damit rechnen, dass sie von Staatsaufträgen vielleicht nicht abhängen, aber intensiv für den Staat arbeiten. Allein schon, um politische Ruhe zu haben und in Ruhe arbeiten zu können.“
Konkrete Warnungen vor Schwachstellen sinnvoll
Allgemeine Warnungen seien daher wenig hilfreich, sagt Pohl. Besser wäre es, wenn das BSI sämtliche Sicherheitssoftware, egal von welchen Herstellern, standardmäßig auf Schwachstellen überprüfen würde. Schließlich sollten sich die Anwender darauf verlassen können, dass die Programme, die sie auf ihren Computern installiert haben, sicher sind.
Deswegen fordere ich seit Jahren oder seit über zehn Jahren ein, dass ein solcher Computer nur Software nutzen kann, die ausdrücklich freigegeben ist für den Betrieb im Internet. Und das möchte in Deutschland zumindest derzeit das BSI machen. Aber wir haben den Interessenkonflikt: Das BSI ist eine nachgeordnete Behörde des Innenministeriums.
Deshalb fordern Sicherheitsexperten wie Pohl, das BSI müsse zu einer unabhängigen Kontrollbehörde ausgebaut werden, frei von politischen Einflüssen. Es könnte ein erster Schritt sein, um Computer und digitale Netze in Deutschland besser zu schützen.