Gründer und CEO Jewgenij Kasperskij ist nicht nur eine Legende des Kampfs gegen Computerviren, er studierte auch an einer KGB-Hochschule technische Informatik und arbeitete an einem militärischen Forschungsinstitut. Das macht ihn in den Augen seiner Kritiker verdächtig.
(Foto: Dmitry Astakhov /imago images/ITAR-TASS)Die Warnung, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Dienstag veröffentlicht hat, ist mit der Risikostufe "hoch" gekennzeichnet. Von der Gefahr eines "IT-Angriffs mit weitreichenden Konsequenzen" auf EU, NATO und die Bundesrepublik ist darin die Rede. Und von einer möglichen zentralen Rolle, die die Antivirensoftware des russischen Herstellers Kaspersky dabei spielen könnte.
Die in Moskau ansässigen IT-Profis gehören zu den weltweit führenden Experten im Kampf gegen Schadsoftware und Cyberattacken aller Art. Eigenen Angaben zufolge schützen sie die Systeme von mehr als 400 Millionen Nutzern und 240 000 Unternehmen weltweit. Um die Systeme zu überwachen haben sie zu diesen, zumindest potenziell, beinahe ebenso umfassend Zugang wie ein klassischer Sicherheitsdienst zu den Gebäuden, die er schützen soll. Denn Antivirenprogramme benötigen weitreichende Berechtigungen für die Systeme, auf denen sie installiert sind. Außerdem unterhalten sie dauerhafte, verschlüsselte Verbindungen zu den Servern ihres Herstellers. Welche Daten über diese Verbindungen fließen, ist von außen nicht einsehbar. Das BSI hält die Gefahr, dass ein in Moskau liegender Generalschlüssel missbraucht werden könnte, offensichtlich für zu hoch.
Kaspersky könnte laut BSI zum Werkzeug werden, ohne es zu wollen
Kaspersky schreibt auf Anfrage, es sei "ein privat geführtes globales Cybersicherheitsunternehmen", habe also "keine Verbindungen zur russischen oder einer anderen Regierung". In der Branche habe es "Maßstäbe für digitales Vertrauen und Transparenz gesetzt". Es glaube an die Kraft des friedlichen Dialogs. "Krieg ist für niemanden gut."
Welche Absichten Kaspersky hat, spielt für das BSI aber offenbar gar keine allzu große Rolle. In der Warnung heißt es: "Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen eigenen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden." Im Klartext: Kaspersky muss dem Westen nicht notwendigerweise feindselig gesinnt sein. Als russisches Unternehmen könnte es eventuell gar keine andere Wahl haben, als mit Regierung und Sicherheitsbehörden zu kooperieren. Und könnte selbst gehackt werden.
Zur Vorgeschichte dieser Warnung gehört auch, dass immer wieder Gerüchte laut wurden, dass Kaspersky heimlich als verlängerter Arm des Kreml operiert. Ein prominenter Vertreter der russischen Tech-Szene sagte 2012 dem Magazin Wired, ein "substantieller Teil des Unternehmens" sei eng verbunden mit dem Inlandsgeheimdienst FSB, der Nachfolgeorganisation des KGB. Die Regel Nummer eins für erfolgreiche russische Unternehmen sei ein guter Draht zum Machtapparat. Gründer und CEO Jewgenij Kasperskij studierte an einer KGB-Hochschule und arbeitete an einem militärischen Forschungsinstitut. Man arbeite mit "Behörden weltweit" im Kampf gegen Cyberkriminalität zusammen, schreibt das Unternehmen heute auf seiner Website. Eine der in Russland dafür zuständigen Behörden ist der FSB.
Die US-Regierung warnt seit Jahren vor Kaspersky
Die US-Regierung verbot 2017 ihren Behörden, Software von Kaspersky zu nutzen - wegen Sicherheitsbedenken. Im Jahr darauf zog die niederländische Regierung nach. Kaspersky startete eine "globale Transparenzinitiative", verlegte einen Knoten seiner Datenverarbeitung aus Russland in die Schweiz und gewährte Einblicke in seine Quellcodes. Der britische Auslandsgeheimdienst untersuchte Kaspersky und fand keine Hinweise darauf, dass dessen Software für Spionage benutzt wurde, gab aber trotzdem eine Warnung an die Behörden heraus.
Die Bundesregierung hingegen vertraute bislang auf die 2015 eingeführte "No-Spy-Klausel". Mit der versichern ausländische Unternehmen, dass sie rechtlich nicht dazu verpflichtet sind, vertrauliche Informationen an Nachrichtendienste weiterzugeben. Als die US-Behörden sich von Kaspersky verabschiedeten, lobte das BSI die "vertrauensvolle Zusammenarbeit" mit den Russen. Die Software des Unternehmens sei derzeit in der kommunalen Verwaltung und auf Länderebene im Einsatz, zudem in Forschungseinrichtungen, teilt das BSI mit.
"Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland", heißt es in der Warnung, hat nun offenbar zum Umdenken bei den Cyberwächtern geführt. Die russische Virenschutzsoftware sei durch alternative Produkte zu ersetzen, ein überstürzter Wechsel oder ein Abschalten allerdings nicht angebracht. Sonst seien die Systeme Angriffen aus dem Internet möglicherweise plötzlich schutzlos ausgesetzt. Ein Virenschutz aus Russland wäre demzufolge immer noch besser als gar keiner.