Die im März vom BSI veröffentlichte Sicherheitswarnung vor der Nutzung von Kaspersky-Software ist umstritten. Eine Recherche des Bayerischen Rundfunk (BR) und des «Spiegel» legt nahe, dass die Begründung des BSI vor allem auf mutmasslichen politischen Annahmen und nicht auf einer technisch-wissenschaftlichen Expertise basierte.
Wie BR und «Spiegel» (am vergangenen Freitag) berichteten, habe sich ein Abteilungsleiter des BSI für das Aussprechen einer Warnung eingesetzt. Dies, weil der russische Staat das Unternehmen bereits instrumentalisiert haben könnte: «Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl warten».
Dieser Schlussfolgerung stellte sich jedoch ein anderer Abteilungsleiter des BSI entgegen und argumentierte, dass das Vorliegen einer Sicherheitslücke – die eine Warnung zweifelsfrei rechtfertigen würde – nicht sauber dargelegt worden sei: «Das scheint mir hier jedoch besonders wichtig, da wir eine technische Sicherheitslücke derzeit nicht nachweisen können», heisst es weiter.
Gleichzeitig wurde auch darauf aufmerksam gemacht, dass Kaspersky seine Server schon vor Jahren in die Schweiz verlegt habe, um einem Zugriff der russischen Regierung zu entgehen.
Die Sicherheitswarnung wurde trotz dieser Bedenken ausgesprochen.
Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen, wirft nun dem BSI den Medienberichten zufolge vor, seine Begründung lediglich auf Vermutungen und reine Spekulation zu stützen.
Das BSI habe «eindeutig vom Ergebnis her» gearbeitet und die Entscheidung gefällt, ohne eine Rechtfertigung oder Begründung zu liefern. Diese sei erst im Nachhinein zustande gekommen. Auf einer technisch-fachlichen Beurteilung beruhe diese infolgedessen nicht, sondern lediglich auf einer politischen Einschätzung der Lage.
Laut Kipker hätte das BSI auch nur allgemein vor russischer Software warnen dürfen und nicht explizit vor Produkten des Unternehmens. Denn würde das BSI die selben Massstäbe auch an nicht-russische Produkte anlegen, müsste laut seiner Einschätzung nach auch vor chinesischen, amerikanischen und israelischen Softwarelösungen gewarnt werden.
Das BSI sieht dies hingegen anders.
Ein BSI-Sprecher teilte dem «Spiegel» mit, dass man sich «durch die bisherigen gerichtlichen Entscheidungen in seiner Einschätzung der aktuellen Gefährdungslage sowie in seinem daraus folgenden Vorgehen der Warnung vor dem Einsatz von Virenschutzsoftware des russischen Herstellers bestätigt» sehe.
Mitte März, knapp zwei Wochen nach Russlands Invasion der Ukraine, hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Sicherheitswarnung in Bezug auf Produkte des russischen Sicherheitsunternehmens Kaspersky veröffentlicht.
Die Vorwürfe lauteten, dass Kaspersky entweder selbst offensive Operationen durchführen könne oder gegen seinen Willen dazu gezwungen werden könnte. Ebenso sah sich das BSI überzeugt in der Annahme, dass Kaspersky-Produkte zur Cyberspionage oder für Cyberangriffe auf Kunden des Unternehmens genutzt werden könnten.
Kaspersky selbst sprach von einer Entscheidung aus politischen Gründen und klagte dagegen. Das Kölner Verwaltungsgericht lehnte allerdings einen Eilantrag des Unternehmens ab und eine Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht blieb erfolglos.
Skandalös: Das Bundesamt für Sicherheit in der Informationstechnik (#BSI) hat den russischen Virenschutz-Hersteller #Kaspersky ganz bewusst vor die Wand laufen lassen - aus politischen Gründen, ohne technische Evidenz.https://t.co/ZfLr9oqMmX
— Peter Borbe (@PeterBorbe) August 7, 2022
(dsc/t-online)