Nachrichten
Berlin. Im Verteidigungsministerium und in den deutschen Streitkräften werden „aktuell keine Produkte des IT-Unternehmens Kaspersky Lab eingesetzt“. Dies geht aus einer Antwort der Parlamentarischen Staatssekretärin bei der Bundesministerin der Verteidigung Siemtje Möller vom 5. Juli hervor.
Angefragt hatte der CDU-Parlamentarier Armin Schwarz. Schwarz, der unter anderem Mitglied des Verteidigungsausschusses ist, wollte von der Bundesregierung wissen: „Nutzt das Bundesministerium der Verteidigung oder die Bundeswehr Produkte des IT-Unternehmens Kaspersky Lab und falls ja, wie geht die Bundesregierung in diesem Zusammenhang mit der Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor Produkten dieses Unternehmens um?“
Das in Bonn ansässige BSI hatte die entsprechende Warnung (gemäß BSIG § 7) am 15. März, knapp drei Wochen nach dem großangelegten Angriff der russischen Armee auf die Ukraine, veröffentlicht. Darin empfiehlt die nationale Cyber-Sicherheitsbehörde, „Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen“.
Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers
In der Begründung des BSI heißt es unter anderem: „Antivirensoftware – einschließlich der damit verbundenen echtzeitfähigen Cloud-Dienste – verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.“
Die Behörde weist darauf hin, dass „das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs“ verbunden sind. Ein russischer IT-Hersteller könne selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden, so das BSI. Alle Nutzer der Kaspersky-Virenschutzsoftware könnten von solchen Operationen betroffen sein, warnt das Bundesamt: „Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber Kritischer Infrastrukturen sind in besonderem Maße gefährdet.“
Weisung an alle Dienststellen der Bundeswehr und den Ministeriumsbereich
Staatssekretärin Möller teilte dem Unionspolitiker Schwarz in ihrer Antwort mit: „Nach Eingang der Sicherheitswarnung des Bundesamtes für Sicherheit in der Informationstechnik wurden alle Dienststellen angewiesen, auf eine zukünftige Nutzung dieser Produkte zu verzichten. Diese Weisung wurde vollständig umgesetzt, so dass aktuell im Bundesministerium der Verteidigung und in der Bundeswehr keine Produkte des IT-Unternehmens Kaspersky Lab eingesetzt werden.“
Deutsche Kaspersky-Tochter klagte vor Kölner Verwaltungsgericht
Nach Veröffentlichung der BSI-Warnung zog die Firma, die Kaspersky-Produkte in Deutschland vertreibt, vor das Kölner Verwaltungsgericht (VG Köln). Die Firma wollte die Warnung kippen und dem BSI auch künftig solche Wortmeldungen verbieten. Doch das Gericht lehnte den Antrag am 1. April ab.
Die deutsche Kaspersky-Niederlassung hatte die Entscheidung des Bundesamtes „als rein politisch“ dargestellt, bei der es keinen Bezug zur technischen Qualität des Virenschutzes gebe. Ebenso wenig würde eine Sicherheitslücke oder technische Schwachstelle vorliegen. Auch gebe es keine Anhaltspunkte für staatliche russische Einflussnahme.
Der Argumentation folgte das Gericht nicht. In einer Pressemitteilung des VG Köln heißt es nach der Urteilsverkündigung, der Gesetzgeber habe den Begriff der Sicherheitslücke, die das BSI zu einer Warnung berechtige, bewusst weit formuliert. Virenschutzsoftware erfülle aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Sicherheitslücke. Dass ihr Einsatz dennoch empfohlen werde, beruhe allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liege jedenfalls dann eine Sicherheitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet sei. Dies sei bei Kaspersky derzeit der Fall.
Das VG Köln wies darauf hin, dass das Unternehmen Kaspersky seinen Hauptsitz in Moskau habe und dort zahlreiche Mitarbeiter beschäftige. Angesichts des russischen Angriffskrieges auf die Ukraine, der auch als „Cyberkrieg“ geführt werde, sei nicht hinreichend sicher auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzten.
Ebenso wenig könne davon ausgegangen werden, dass sich staatliche Akteure in Russland in rechtstaatlicher Weise an Gesetze halten werden, nach denen Kaspersky nicht zur Weitergabe von Informationen verpflichtet sei. Außerdem habe die massive Beschränkung der Pressefreiheit in Russland im Zuge des Kriegs mit der Ukraine gezeigt, dass entsprechende Rechtsgrundlagen schnell geschaffen werden können.
Die von Kaspersky angeführten Sicherheitsmaßnahmen böten keinen ausreichenden Schutz gegen eine staatliche Einflussnahme, so das Kölner Gericht schließlich. Es könne nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen könnten. Eine permanente Überwachung des Quellcodes und von Updates erscheine demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich.
Oberverwaltungsgericht Münster lehnte Beschwerde des Softwareherstellers ab
Gegen den Beschluss des Verwaltungsgerichts legte die deutsche Tochtergesellschaft von Kaspersky Beschwerde ein. Der 4. Senat des Oberverwaltungsgerichts in Münster (OVG Münster) urteilte am 28. April: „Die Warnung des Bundesamts für Sicherheit in der Informationstechnik vor der Nutzung von Virenschutzsoftware des Unternehmens Kaspersky ist rechtmäßig.“
In der Urteilsbegründung lesen wir unter anderem: „Es liegen nach den vom BSI zusammengetragenen Erkenntnissen […] hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht. Die Annahme des BSI, das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden, beruht auf hinreichenden Erkenntnissen zur aktuellen Cybersicherheitslage.“
Das BSI habe die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt, so das OVG Münster weiter. Das Amt habe daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestünden, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskrieges auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren. Die Sicherheitsvorkehrungen, die Kaspersky getroffen habe, genügten in der aktuellen Situation nicht, um den Bedrohungen hinreichend entgegenzuwirken.
Der 4. Senat kommt zu dem Schluss: „Das BSI hat die Entscheidung, die Warnung herauszugeben, ermessensfehlerfrei getroffen und dabei insbesondere den Grundsatz der Verhältnismäßigkeit gewahrt. Die Warnung ist nicht aufgrund sachfremder Erwägungen oder gar willkürlich herausgegeben worden. Insbesondere war sie nicht politisch motiviert und stellt keine reine Symbolpolitik dar. Angesichts der aufgezeigten Bedrohungslage dient sie allein dazu, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren. Hierzu war sie geeignet und erforderlich.“
Mit der Warnung erhöhe das Bundesamt für Sicherheit in der Informationstechnik signifikant das Bewusstsein für potentiell mögliche Gefahren, die sich aus dem Einsatz der Virenschutzprogramme von Kaspersky aktuell ergeben und empfehle nach individueller Risikobewertung einen Ersatz durch alternative Produkte. Der Beschluss ist unanfechtbar.
Unser Symbolfoto mit dem Kaspersky-Schriftzug wurde bei einer Fachmesse der IT-Branche aufgenommen.
(Bild: nr)
Kleines Beitragsbild: Schriftzug vor Kaspersky-Firmengebäude.
(Bild: Kaspersky)
