Stand: 08.05.2022 05:00 Uhr
Im März warnte das Bundesamt für Sicherheit in der Informationstechnik vor Antiviren-Software von Kaspersky. Die Unterlagen zeigen nun, wie schwierig die Entscheidung der Behörde war und wie eng das Innenministerium involviert war.
Nur eine Woche nach dem Einmarsch Russlands in die Ukraine erwägt das Bundesamt für Informationstechnik (BSI) den Umgang mit Kaspersky, dem erfolgreichen russischen Hersteller von Antivirensoftware. BSI erhält daraufhin eine E-Mail von Kaspersky mit hoher Priorität. Offenbar fragen sich die Kunden des Unternehmens, warum „keine BSI-Aussagen zur Kaspersky-Sicherheit“ vorliegen.
Kaspersky will seine Kunden beschwichtigen und sich Unterstützung von den Behörden holen. Das BSI sei eine „international anerkannte und hochgradig vernetzte technisch-wissenschaftliche“ Behörde, die seit jeher sehr sorgfältig arbeite und „faktenbasierte, nachvollziehbare Entscheidungen“ treffe, die die Cybersicherheit erhöhen, heißt es in der E-Mail von Kaspersky.
Nur zwei Stunden später antwortete der Vorsitzende der Behörde, Arne Schönbohm, in einer internen E-Mail mit einem knappen Tippfehler zum Umgang mit dem Schreiben von Kaspersky: “Leider glaube ich nicht, dass Sie überhaupt antworten werden.”
Am 15. März, ein Wochenende nach Erhalt der E-Mail, warnte das BSI schließlich öffentlich vor dem Einsatz von Antivirensoftware durch Kaspersky. Kaspersky versucht vergeblich, mit einem Eilantrag gegen diese Abmahnung vorzugehen.
Keine rein technische Begründung
Der E-Mail-Verkehr ist Teil von knapp 370 Seiten Dokumenten, die einen Blick ins Innere des BSI zulassen und zeigen, wie schwierig das für IT-Sicherheit zuständige Bundesamt bei seiner Entscheidungsfindung war. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und das Innenministerium stark involviert war. Der Bayerische Rundfunk hat die Unterlagen durch ein Auskunftsersuchen nach dem Informationsfreiheitsgesetz beschafft und gemeinsam mit dem „Spiegel“ ausgewertet.
Bereits am 2. März, etwas mehr als eine Woche nach Kriegsbeginn, traf sich das BSI zu einer Führungsrunde, um den „Umgang mit Kaspersky“ zu besprechen, auch der Vorsitzende und sein Stellvertreter sind vertreten. Laut Protokoll wird entschieden, „allfällige Feststellungen/technische Gründe“ zu verfassen, die eine Verwarnung rechtfertigen. Dass eine Abmahnung erfolgen soll, scheint bereits beschlossene Sache zu sein. Außerdem soll eine Übersicht über russische Unternehmen im „IT-Umfeld“ erstellt werden, eine Übersicht über chinesische Unternehmen soll folgen.
Antivirus-Software von Kaspersky kommt in vielen deutschen Unternehmen zum Einsatz, auch zum Schutz kritischer Infrastrukturen. Wenn Antivirensoftware auf Computern installiert ist, kann sie fast alles tun. Experten sprechen von „erweiterten Systemlizenzen“. Daher lohnt es sich für Spione, zu versuchen, solche Software zu hacken. Sie hätten ein mächtiges Werkzeug, um Unternehmen oder das Management auszuspionieren.
“drohende Gefahr”
Ein weiteres Dokument des BSI, in dem die Warnung vor Kaspersky begründet wird, besagt, Russland sei “kein demokratischer Rechtsstaat” und sehe Deutschland wegen der verhängten Sanktionen als Feind. Daher sei „nicht sicher, dass Kaspersky noch die volle Kontrolle über seine Software und IT-Systeme hat oder diese in naher Zukunft nicht verlieren wird“. Erwartet werden „unmittelbare Gefahr“ und „feindliche Angriffe auf deutsche Einrichtungen, Unternehmen und IT-Infrastruktur“: „Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und warten nur noch auf einen Befehl zur Nutzung.“
Kaspersky habe „keine Möglichkeit, die Risikobewertung durch technische oder andere Maßnahmen positiv zu beeinflussen“. Daher muss eine Warnung ausgesprochen werden.
Dieser erste Entwurf – etwas optimistisch „endgültig“ betitelt – überzeugt nicht alle im Bundesamt. Ein Abteilungsleiter weist darauf hin, dass Kaspersky in den letzten Jahren Server in die Schweiz verlegt und andere Schritte unternommen habe, um den Einfluss Russlands zu minimieren. Eine „technische Sicherheitslücke“ kann jedenfalls nicht nachgewiesen werden. Sie möchten nicht in diesem Format entwerfen. Der Vizepräsident greift ein. Der Entwurf befeuert eine „Cyber-Eskalation“ und sollte überarbeitet werden. Auch Präsident Schönbohm spricht die Warnung nicht aus. Interne Differenzen müssen geklärt werden.
Ein neuer Plan geht explizit auf die Kritik ein. Dabei spielt es keine Rolle, wo sich die Server befinden, es kommt darauf an, wer darauf Zugriff hat, also Änderungen am Code vornehmen kann. Darüber hinaus hat Kaspersky verschiedene Verbindungen nach Russland. Einerseits hat das Unternehmen seinen Sitz in Moskau, Kaspersky gehört russischen Staatsbürgern, und viele Mitarbeiter haben Familien im Land. Man sei „damit dem direkten Einfluss und Druck der Behörden ausgesetzt“. Mit dieser Argumentation muss BSI nicht abwarten, ob Kaspersky-Software vom russischen Staat missbraucht wird. Abschließend stellt er fest: „Vielmehr ist zum jetzigen Zeitpunkt die Warnung angebracht, frühzeitig vorbeugend einzugreifen.“
Mit Unterstützung des Innenministeriums
Diese Variante wurde schließlich intern genehmigt, unter anderem durch das Bundesinnenministerium (BMI). In einer E-Mail heißt es: „Von Seiten des BSI sind wir an einer starken politischen Unterstützung durch das BMI interessiert.“ Obwohl das BSI dem Innenministerium unterstellt ist, könnte es die Warnung auch eigenständig veröffentlichen. Bereits im Protokoll des Führungstreffens heißt es, dass „zwischen geopolitischer Lage/strategischer Positionierung und fachlichen Argumenten unterschieden werden muss“.
Bei der strategischen Positionierung sollte „der BMI immer mit einbezogen werden“. Auf die Frage von BR und „Spiegel“, wie das BSI zu diesem Ergebnis komme, sagte er: „Es ist normal, dass in Fällen von hoher politischer Bedeutung (…) höchste Bundesbehörden in den Entscheidungsprozess eingebunden werden. Andernfalls könne eine “ganzheitliche und koordinierte (Sicherheits-)Politik der Bundesregierung” nicht gewährleistet werden.
Der Leiter der Cybersicherheit beim BSI schickt alle relevanten Unterlagen, sein Abteilungsleiter teilt dem BSI in einer Telefonkonferenz mit, dass die Begründung weit zurückliegt. Die Begründung der Warnung wird durch einen zentralen Absatz ergänzt, in dem politische Argumente vorgebracht werden. Alle Kaspersky-Fälle des BSI sind mit dem Krieg obsolet geworden. „Wir gehen mittlerweile davon aus, dass die russische Regierung dem internationalen Geschäft und der Reputation von Kaspersky keine Beachtung mehr schenken wird.“ 2017 lobte BSI die…
