Eugene Kaspersky steht unter Druck. Seit Monaten wird in den USA vor dem Einsatz der Antivirus-Software seiner Firma gewarnt. Anfang Oktober berichtete das Wall Street Journal schließlich, dass mutmaßlich russische Hacker Kaspersky-Produkte verwendet haben sollen, um einen Mitarbeiter der NSA auszuspionieren. Washington Post und New York Times ergänzten, dass israelische Hacker in das Netzwerk von Kaspersky eingedrungen sein sollen und dort die russischen Hacker beobachten konnten.
Seither befindet sich Kaspersky im Krisenmodus und verteidigt sich auf Twitter und im eigenen Blog. Am Montag kündigte Kaspersky eine "Transparenz-Initiative" an. Unter anderem sollen unabhängige Forscher den Quellcode von Kaspersky-Produkten überprüfen können.
Herr Kaspersky, wie läuft das Geschäft derzeit?
Leider gut. Unser Geschäft ist es, Kunden vor Cyberkriminellen zu schützen. Und deren Geschäft läuft gut. Der Bedarf für Cybersicherheit ist hoch.
Ich frage, weil Ihre Produkte in den USA nicht mehr auf Behördenrechnern eingesetzt werden dürfen. Der Vorwurf lautet, dass mutmaßlich russische Hacker Kaspersky-Produkte benutzt haben sollen, um einen NSA-Mitarbeiter auszuspionieren.
Wir gehen davon aus, dass es einen kleinen Rückgang im US-Geschäft geben wird. In anderen Regionen - in Südamerika, im Nahen Osten - wächst unser Geschäft konstant.
Angeblich können die Produkte des Antivirenherstellers die nationale Sicherheit in den USA gefährden. Der Chef des Unternehmens weist die Vorwürfe zurück.
Es scheint Sie schon ein wenig mehr zu schmerzen. Als Reaktion auf die Nachrichten aus den USA geben Sie nun eine Reihe von Interviews und sprechen von einer "Transparenz-Initiative".
Unsere Produkte wurden in den USA für Behörden verboten, nicht für Endkunden. Wir hatten fast keine Verträge mit der Regierung. Unser Geschäft in den USA ist kaum betroffen.
Woher kommen dann die Anschuldigungen?
Das ist eine gute Frage, auf die wir derzeit keine Antwort haben. Die USA sprechen über Fälle, die zwei bis drei Jahre zurückliegen, manchmal auch länger. Warum haben sie all diese Zeit geschwiegen? Wenn sie wussten, dass etwas nicht stimmt mit unseren Produkten, warum haben sie den Behörden nicht direkt Bescheid gesagt? Ich verstehe diese Logik nicht.
Mutmaßlich israelische Hacker sollen in Ihre Firma eingedrungen sein. Das steht in einem Bericht, den Sie selbst veröffentlicht haben.
In unserem Bericht steht nicht, dass wir Israel hinter dem Angriff vermuten. Attribution ( den Täter zu benennen, Anm. d. Red.) ist sehr riskant. Wenn wir uns nicht zu 100 Prozent sicher sind, machen wir das nicht. Wir haben über Programme berichtet, die anderen Angriffen ähnelten. Diese wurden Duqu getauft. Duqu wiederum wird von anderen Quellen auf Israel zurückgeführt.
Diese Hacker haben den Amerikanern Medienberichten zufolge Screenshots weitergegeben, aus denen die Spionage der russischen Hacker hervorgehe.
Für mich ist es eine große Überraschung, dass es einen Screenshot geben soll. Ich schaue ihn mir sehr gerne an. Auch sonst interessieren mich sämtliche Daten, die beweisen sollen, dass unser Produkt von Geheimdiensten für Spionage genutzt wurde. Wir unterstützen Strafverfolger dabei, Cyberkriminalität und -angriffe zu untersuchen. Von unserer Seite gibt es null, ich wiederhole: null Kooperation in Sachen Spionage. Egal, ob mit der russischen Regierung oder welcher Regierung auch immer. Wir halten uns von solchen Operationen fern.
Antiviren-Software verfügt über tiefgreifende Rechte auf dem Rechner, auf dem sie eingesetzt wird. Diese Software kann grundsätzlich alles tun. Die Grenze, die Sie sich setzen, ist moralisch und nicht technisch.
Es stimmt, dass Antiviren- und andere Dienstprogramme sehr tief in das System integriert sind. Aber das ist unwichtig. Sollte es auf dem Rechner sensible Informationen geben, die von einer beliebigen Software geöffnet werden kann, dann kann auch der Taschenrechner diese Datei öffnen. Oder Microsoft Office. Wie tief man im System sitzt, ist dabei egal. Jede Software, die Updates bekommt - vom Computerspiel bis hin zur Buchhaltungssoftware - kann den Rechner auf verdächtige Dateien hin untersuchen.
Antiviren-Produkte erkennen anhand von Signaturen, ob es sich bei einem Programm um Schadsoftware handelt. Sollte das der Fall sein, wird diese blockiert. Es gibt aber auch "lautlose Signaturen". Was hat es damit auf sich?
Wenn wir hochkomplexe Angriffe untersuchen, müssen wir manchmal nach neuen Datenpunkten suchen, um weitere Teile eines Angriffs zu finden. Wir wollen aber nicht, dass rechtmäßige Produkte davon betroffen sind - dass wir also ein Programm, das Millionen Menschen verwenden, fälschlicherweise blockieren. Also suchen wir im Hintergrund nach diesen Komponenten.
Das heißt, verdächtige Dokumente werden zur weiteren Analyse an Kaspersky geschickt?
Genau. Ein Großteil dessen, was wir tun, wird automatisch erkannt, aufgrund von Heuristiken. Aber wir müssen manchmal auch in der Lage sein, Dokumente genauer zu überprüfen. Sobald wir sicher sind, das alles passt, wenn uns also kein Fehler unterlaufen ist, wird daraus eine reguläre Signatur.
Die Funktionalität unserer Updates und das, was wir auf den Rechnern von Nutzern machen, das kann man im Quelltext überprüfen und auch in den Updates. Diese unterscheiden sich nur marginal, je nach Regulierung im jeweiligen Land. Sie können das überprüfen.
Auch Sicherheitsforscher von anderen Firmen könnten sich Ihre Produkte anschauen und diese technisch auseinandernehmen, um anschließend über suspekte Stellen berichten, wenn es diese denn gäbe?
Exakt. Das kann man überprüfen.
Könnte einer Ihrer Mitarbeiter das Produkt heimlich ändern, um nach solchen Dokumenten zu suchen?
Auch das würde auffallen. Das würde in einer Datenbank gespeichert und über Updates verschickt werden. Das würde dem Team auffallen.
Der russische Journalist Andrei Soldatov kritisierte jüngst, dass Kaspersky in den vergangenen Jahren nicht transparent genug gewesen sei, was die Zusammenarbeit mit dem Inlandsgeheimdienst FSB angeht.
Wir stehen nur mit der Abteilung in Kontakt, die sich um Cybercrime kümmert. In Fällen wie Carbanak ( mehr zu der kriminellen Gruppe finden Sie hier, Anm. d. Red.), den wir aufgedeckt haben, wurden diese durch eine Abteilung des FSB festgenommen. Wir geben ihnen technische Informationen über Schadsoftware weiter, das war's.
Soldatov sagt, dass die Gesetzgebung in den vergangenen Jahren sehr stark in die Machenschaften von Tech-Konzernen eingegriffen habe. Bei Firmen, die mit Verschlüsselung zu tun haben, soll es auch schon mal vorkommen, dass ein Mitarbeiter des FSB physisch anwesend sein muss.
Das wäre mir neu.
Kaspersky veröffentlichte Berichte zu Hacking-Kampagnen, die Stuxnet heißen, Duqu, Flame, Regin und Equation Group. All diese Kampagnen sollen im Auftrag der amerikanischen, israelischen und britischen Regierung gewesen sein. Überrascht es Sie da, dass Ihre Firma Ziel von Angriffen wurde?
Wir schützen unsere Kunden vor jedweder Art von schädlichen Inhalten. Aus englischsprachigen Ländern, aus russischsprachigen Ländern, egal woher. Wir sind neutral und wir erledigen unseren Job besser als andere. Ein paar Akteure waren darüber nicht glücklich. Ihnen missfielen wohl die Ergebnisse. Ich gehe davon aus, dass durch unseren Bericht hochgradig komplexe und professionelle Spionagewerkzeuge verloren gingen, die wichtig waren für diese Angreifer.
Werden Sie aufhören, solche Berichte zu veröffentlichen?
Nein. Es wäre falsch, nichts zu veröffentlichen. In komplizierten Fällen und bei neuen Angriffen müssen wir den Rest der Welt informieren. Wir beobachten derzeit 100 hochprofessionelle Gruppen. Die meisten davon scheinen von Staaten unterstützt zu werden, bei einem guten Dutzend handelt es sich um Kriminelle. Nur einen Teil unserer Berichte machen wir öffentlich, der Rest geht an unsere Kunden. Dort sind viele technischen Informationen enthalten und wir wollen nicht, dass die bösen Hacker das öffentlich nachlesen können und aus ihren Fehlern lernen.
Über die Daten, die dank Kaspersky-Software auf dem Rechner des NSA-Mitarbeiters gefunden wurden, wie der Vorwurf ja nun lautet, gibt es jedenfalls keinen Bericht.
In der Firma gilt die Regel: Sollte einer unserer Mitarbeiter, der Schadsoftware analysiert, auf Dokumente stoßen, die als geheim eingestuft sind, dann muss diese Information gelöscht werden. Sollten wir also Daten von einem NSA-Rechner gehabt haben oder von welcher Behörde auch immer, dann wird diese gelöscht. Deshalb erscheinen keine Berichte darüber.
Kaspersky veröffentlichte auch Berichte zu Hacking-Kampagnen, die aus Russland stammen sollen: Red October, CloudAtlas, Miniduke, CosmicDuke, Turla...
Viele, viele Berichte.
Wie können Sie dann sicher sein, dass nicht auch russische Hacker daran interessiert sein könnten, Kaspersky zu hacken? In einem Interview mit der SZ schwärmten Sie einmal davon, dass russischsprachige Hacker zu den besten der Welt gehören.
Keine Firma, keine Regierung und keine Einzelperson kann garantieren, dass sie nicht gehackt werden. Wir sind sicher, dass es derzeit keine russischen Hacker in unseren Netzwerken gibt. Wir testen unsere Netzwerke, simulieren Angriffe auf unsere Firma. Wir prüfen alle vorhandenen Daten. Es gibt keine Anzeichen dafür.
Sie haben einen "deep audit" angekündigt, also eine sehr grundlegende Prüfung. Ist diese schon fertig?
Nein. Das wird noch einige Zeit dauern. Denselben Prozess haben wir auch durchgeführt, nachdem wir die Hackergruppe, die Sie erwähnt haben, in unseren Netzwerken gefunden haben. Wir müssen eine Menge Daten prüfen. Wir veröffentlichen die Ergebnisse, sobald wir sie haben.
