BSI-Warnung vor Kaspersky: Weniger technisch, sondern politisch begründet
Als das BSI nach der russischen Invasion in der Ukraine vor dem Einsatz von Kasperskys Anti-Viren-Software warnte, erfolgte das vor allem aus politischen Überlegungen. Das geht aus internen Dokumenten hervor, die der Bayerische Rundfunk und der Spiegel über eine Anfrage nach dem Informationsfreiheitsgesetz erhalten haben.
Die Dokumente zeigen laut den Berichten, wie langwierig die internen Diskussionen waren und wie stark das Bundesinnenministerium involviert war. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist als IT-Sicherheitsbehörde dem Innenministerium unterstellt. Eines der Probleme: Die Warnung erfolgte demnach weniger aus technischen, sondern vor allem politischen Gründen.
Am 2. März, also bereits gut eine Woche nach Start der russischen Invasion, traf sich innerhalb des BSI eine Leitungsrunde, an der auch BSI-Präsident Arne Schönbohm beteiligt war. Zu diesem Zeitpunkt existierte offenbar der Wille, die Öffentlichkeit vor Kaspersky zu warnen. Beschlossen wurde bei diesem Treffen, „etwaige Erkenntnisse/technische Gründe" zusammenzustellen, die so einen Schritt rechtfertigen.
Russischer Staat als Risiko
Die Gründe – die später auch in der Warnung stehen – sind die weitreichenden Möglichkeiten für Angreifer, die sich durch Anti-Viren-Software bieten. Diese ist grundsätzlich tiefgreifend im System verwurzelt und hat weitreichende Berechtigungen. Es sei daher „Gefahr in Verzug“, mit Angriffen zu rechnen und Kaspersky habe auch keine Chance, die Risikoeinschätzung durch „technische oder sonstige Maßnahmen“ positiv zu beeinflussen – so die bis dato bestehende Einschätzung des BSI. Das war der interne Auftakt. Einfach verlief der Prozess aber nicht, der schlussendlich zur Warnung führte.
Vielfach wurde abgestimmt, wie aus den Dokumenten hervorgeht. So wurde etwa intern darauf verwiesen, dass Kaspersky Server in die Schweiz verlegt habe. Zudem konnte man bislang keine technische Sicherheitslücke nachweisen. Konkrete Hinweise auf Schwachstellen wie eine Hintertür in der Kaspersky-Software lagen also dem BSI nicht vor.
Problematisch bleibt aber das fehlende Vertrauen in die Staatsferne. Der Standort der Server sei irrelevant, entscheidend sei, wer Code einschleusen kann. Und Kaspersky gehöre russischen Staatsbürgern, Mitarbeiter hätten zudem Familie in Russland. Die Firma sei daher „dem direkten Einfluss und Druck der Behörden ausgesetzt“, heißt es in dem Bericht des Bayerischen Rundfunks. Die russische Regierung können also die Software kapern und so ein mächtiges Angriffswerkzeug erhalten.
So erklärt ein Krypto-Techniker in dem internen Schriftverkehr, die Aufgabe des BSI sei, die deutsche IT-Infrastruktur vor Angriffen zu schützen. „Wir müssen dazu nicht erst den möglichen und wahrscheinlichen Eintritt eines solchen Ereignisse abwarten“, zitiert der Spiegel aus dem internen Schreiben. Weil es sich um eine „strategische Positionierung“ handele, wurde das weitere Vorgehen scheinbar eng mit dem Innenministerium abgestimmt. Am 15. März erfolgte dann die öffentliche Warnung, die vor allem für Unternehmen und die Betreiber kritischer Infrastrukturen relevant ist. Kaspersky – das selbst zuvor an das BSI herangetreten war – hatte im Vorfeld kaum Zeit für eine Stellungnahme.
Womöglich hätte das BSI allgemein vor russischer Software warnen müssen
Unklar bleibt aber, inwieweit das BSI so überhaupt vorgehen darf. Erst wurde die Warnung beschlossen, dann startete die Suche nach Gründen. So habe das BSI vom Ergebnis her gearbeitet, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen, im Spiegel. Seiner Ansicht nach widerspreche das aber dem Auftrag des BSI, das laut BSI-Gesetz auf Grundlage von wissenschaftlich-technischen Erkenntnissen arbeiten muss. Das bedeutet: Erst die Analyse, dann die Entscheidung, ob eine Warnung erfolgt.
Laut Kipker hätte das BSI daher nur generell vor russischen Produkten warnen dürfen, weil technische Anhaltspunkte fehlten. In einem Beitrag auf dem juristischen Portal LTO präzisiert er die Kritik. Grundsätzlich stelle sich demnach – erneut – die Frage, inwieweit das BSI als IT-Sicherheitsbehörde objektiv genug ist. Erfolgen Warnungen in Abstimmung mit dem Bundesinnenministerium aus geopolitischen Gründen, schwächt es das Vertrauen in die technischen Analysen der Behörde. Das gilt etwa auch mit dem Umgang von gemeldeten Sicherheitslücken im Hinblick auf den Staatstrojaner.
Mit den Erkenntnissen aus den nun veröffentlichen Dokumenten sei laut Kipker nun auch offen, ob die Warnung in einem Hauptsacheverfahren bestehen bleibe. Das BSI selbst erklärte auf Anfrage des Spiegel, man sehe sich im Recht. Die Behörde verweist dabei auch auf das bestehende Gerichtsurteil.