Außergewöhnlich
Stand: 08.05.2022 05:00
Im März warnte das Bundesamt für Sicherheit in der Informationstechnik vor Antiviren-Software von Kaspersky. Nun zeigen die Unterlagen, wie schwierig die Entscheidung für die Behörden war und wie eng das Innenministerium eingebunden war.
Nur eine Woche nach dem Einmarsch Russlands in die Ukraine erwägt das Bundesamt für Informationstechnik (BSI) den Umgang mit Kaspersky, dem erfolgreichen russischen Hersteller von Antivirensoftware. BSI erhält daraufhin eine E-Mail mit hoher Priorität von Kaspersky. Offenbar fragen sich die Kunden des Unternehmens, warum „es keine BSI-Aussagen zur Sicherheit von Kaspersky gibt“.
Kaspersky will die eigenen Kunden beruhigen und sich Unterstützung von den Behörden holen. Das BSI sei ein „international anerkanntes und hoch vernetztes technisch-wissenschaftliches“ Gremium, das seit jeher sehr sorgfältig arbeite und „faktenbasierte, nachvollziehbare Entscheidungen“ treffe, die die Cybersicherheit stärke, heißt es in der E-Mail von Kaspersky.
Nur zwei Stunden später antwortete der Präsident der Einrichtung, Arne Schoenbohm, in einer internen E-Mail mit einem knappen und typografischen Fehler zum Umgang mit Kasperskys Schreiben: “Leider glaube ich nicht, dass er überhaupt antworten wird.”
Schließlich warnte das BSI am 15. März, ein Wochenende nach Erhalt der E-Mail, öffentlich vor dem Einsatz von Antiviren-Software von Kaspersky. Kaspersky versucht vergeblich, mit einem Eilantrag gegen diese Abmahnung vorzugehen.
Eine rein technische Begründung gibt es nicht
Der E-Mail-Verkehr ist Teil von fast 370 Seiten Dokumenten, die einen Blick ins Innere des BSI zulassen und zeigen, wie schwierig das für IT-Sicherheit zuständige Bundesamt in seinem Entscheidungsprozess ist. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und das Innenministerium stark involviert war. Der Bayerische Rundfunk hat die Unterlagen per Informationsfreiheitsgesetz-Anfrage beschafft und gemeinsam mit dem Spiegel ausgewertet.
Bereits am 2. März, etwas mehr als eine Woche nach Kriegsbeginn, traf sich das BSI zu einer Führungsrunde, um den “Umgang mit Kaspersky” zu besprechen. Auch der Präsident und sein Stellvertreter sind vertreten. Laut Protokoll eine Entscheidung soll „alle Erkenntnisse/technischen Gründe“ erarbeitet werden, die eine Abmahnung rechtfertigen. Dass eine Abmahnung ausgesprochen werden soll, scheint bereits beschlossene Sache zu sein, es soll auch eine Überprüfung russischer Unternehmen im „IT-Umfeld“ erstellt werden, und dann eine Überprüfung der chinesischen Unternehmen folgt.
Antivirus-Software von Kaspersky kommt in vielen deutschen Unternehmen zum Einsatz, auch zum Schutz kritischer Infrastrukturen. Wenn auf Computern Antivirensoftware installiert ist, kann sie fast alles tun. Experten sprechen von „systemweiten Berechtigungen“. Daher lohnt es sich für Spione, zu versuchen, solche Software zu hacken. Sie haben ein mächtiges Werkzeug, um Unternehmen oder Verwaltungen auszuspionieren.
“drohende Gefahr”
Ein weiteres BSI-Dokument, in dem die Warnung vor Kaspersky Gültigkeit hat, besagt, dass Russland „kein demokratischer Rechtsstaat“ sei und Deutschland wegen der verhängten Sanktionen als Feind sehe. Daher sei „nicht sicher, dass Kaspersky noch die volle Kontrolle über seine Software und IT-Systeme hat oder diese in naher Zukunft nicht verlieren wird“. Es sei mit „drohender Gefahr“ und „feindlichen Angriffen auf deutsche Institutionen, Unternehmen und IT-Infrastruktur“ zu rechnen: „Hacker haben ihre Vorbereitungen möglicherweise bereits abgeschlossen und warten nur noch auf den Befehl, sie einzusetzen.“
Kaspersky habe „keine Möglichkeit, die Risikobewertung durch technische oder andere Maßnahmen positiv zu beeinflussen“. Es sollte daher gewarnt werden.
Dieser erste Entwurf – etwas optimistisch „endgültig“ betitelt – überzeugte nicht alle im Bundesdienst. Ein Abteilungsleiter sagte, Kaspersky habe Server in die Schweiz verlegt und andere Maßnahmen ergriffen, um den Einfluss Russlands in den letzten Jahren zu minimieren. Eine „technische Sicherheitslücke“ kann jedenfalls nicht nachgewiesen werden. Sie möchten den Entwurf nicht in dieser Form zeichnen. Der Vizepräsident greift ein. Das Projekt schürt die „Eskalation im Cyberspace“ und muss neu formuliert werden. Auch Präsident Schoenbom veröffentlichte die Warnung nicht. Interne Differenzen müssen geklärt werden.
Ein neuer Entwurf geht gezielt auf die Kritik ein. Es spielt keine Rolle, wo sich die Server befinden, es ist wichtig, wer Zugriff darauf hat, dh. wer kann Änderungen am Code vornehmen. Darüber hinaus hat Kaspersky verschiedene Verbindungen nach Russland. Einerseits hat das Unternehmen seinen Sitz in Moskau, Kaspersky gehört russischen Staatsbürgern, und viele Mitarbeiter haben Familien im Land. Einer sei, „weil sie dem direkten Einfluss und Druck der Behörden ausgesetzt ist“. Nach dieser Argumentation sollte das BSI nicht abwarten, ob Kaspersky-Software vom russischen Staat missbraucht wird. Sie kommt zu dem Schluss: „Vielmehr ist zum jetzigen Zeitpunkt die Warnung angezeigt, rechtzeitig präventiv zu handeln.“
Mit Unterstützung des Innenministeriums
Diese Option wurde schließlich intern genehmigt, unter anderem durch das Bundesministerium des Innern (BMI). In einer E-Mail heißt es: „Von Seiten des BSI sind wir an einer starken politischen Unterstützung durch das BMI interessiert.“ Das BSI untersteht zwar dem Innenministerium, kann die Warnung aber auch eigenständig veröffentlichen. Bereits im Protokoll des Management Meetings heißt es, dass „zwischen geopolitischer Lage/strategischer Positionierung und technischen Argumenten unterschieden werden muss“.
Bei der strategischen Positionierung sollte „der BMI immer mit einbezogen werden“. Auf die Frage von BR und SPIEGEL, wie das BSI zu diesem Ergebnis komme, sagte er: “Es ist normal, dass in Fällen von hoher politischer Bedeutung (…) die obersten Bundesbehörden in den Entscheidungsprozess eingebunden werden.” Andernfalls könne eine „ganzheitliche und koordinierte (Sicherheits-)Politik der Bundesregierung“ nicht gewährleistet werden.
Der Head of Cyber Security bei BMI schickte alle relevanten Dokumente, sein Abteilungsleiter teilte dem BSI in einer Telefonkonferenz mit, dass die Gründe zu weit weg seien. Die Begründung für die Warnung wird durch einen zentralen Absatz mit politischen Argumenten ergänzt. Alle Vermutungen des BSI zu Kaspersky sind mit dem Krieg obsolet geworden. “Wir gehen jetzt davon aus, dass die russische Regierung das internationale Geschäft und den Ruf von Kaspersky nicht mehr beachten wird.”…
Add Comment