Nach dem Angriff Russlands auf die Ukraine stellt sich die Frage, ob Sicherheitssoftware und Antivirus-Lösungen aus Russland noch einsetzbar sind. Ich hatte die Tage einige Fragen im Zusammenhang mit dem russischen Anbieter Kaspersky aufgeworfen. Aber wie ist eigentlich die Position des Bundesamt für Sicherheit in der Informationstechnik (BSI) in dieser Angelegenheit? Die Behörde müsste doch eigentlich eine Stellungnahme veröffentlichen. Ergänzung: Das BSI hat nun eine eindeutige Empfehlung ausgesprochen – siehe Endlich: Das BSI warnt nun vor dem Einsatz von Kaspersky-Virenschutzprodukten.
Anzeige
Kaspersky in Niederlande und USA gebannt
Das Thema dräut hier im Blog ja bereits seit Jahren in diversen Artikel. Im Mai 2017 gab es den Artikel Kaspersky geht gegen Spionage-Vorwürfe in die Offensive hier im Blog. Verschiedene US-Behörden hatten damals den Einsatz von Sicherheitssoftware der russischen Firma Kaspersky Lab beendet. Hintergrund ist der Verdacht, dass die Software Hintertüren enthält, mit denen Russland die US-Behörden ausspionieren können. Ich hatte damals im Beitrag Theorie: Wie Kaspersky zur Spionage benutzt wurde beleuchtet, was passiert sein könnte. Der Hersteller Kaspersky hat jegliche Spionage und Kooperation mit russischen abgestritten.
Ende 2017 kam in den USA dann der Ukas, dass der Einsatz von Kaspersky-Produkten in US-Behörden verboten wurde. Ich hatte dies im Beitrag Kaspersky in US-Behörden endgültig verboten angesprochen. Die Tage ist mir dann ein weiterer Tweet zum Thema untergekommen.
In den Niederlanden gibt es seit 2018 wohl eine Entscheidung, dass dort Antivirensoftware der Kaspersky Lab B.V. schrittweise verbannt werden soll. Ich hatte diese Informationen und weitere Details kürzlich im Blog-Beitrag Sind Kaspersky & Co. als Sicherheitslösungen noch einsetzbar? angesprochen.
Anzeige
Das BSI schweigt bisher
Eigentlich war für mich das Thema weitgehend durch, denn ich hatte in obigem Artikel auch geschrieben, dass jeder selbst eine Entscheidung bezüglich solcher Produkte treffen muss. Nun bin ich aber bei den Kollegen von heise auf den Beitrag Stell dir vor, nebenan ist Krieg. Und das BSI? Beratschlagt! gestoßen. Sicherheitsredakteur Jürgen Schmidt hat sich ebenfalls mit der Fragestellung befasst, ob der Einsatz russischer (Sicherheits-)Software ein Problem darstellt.
Seine Idee war: Eigentlich müsste das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Behörde doch recht schnell Flagge zeigen. Gefühlt warnen ja der Bundesverfassungsschutz und das BSI täglich vor einer zunehmenden Cyberbedrohung auf Grund des Ukraine-Konflikts. Schmidt hat beim BSI konkret nachgefragt, ob es vertretbar sei, Sicherheits-Software und -Dienste von Kaspersky (weiterhin) zu nutzen?
Bis zur Publikation des verlinkten Artikels gab es vom BSI aber keinerlei Rückmeldungen. Schmidt vermutet, dass beim BSI die Sicherheitsleute und die Juristen sowie die Politik gegenseitig bezüglich einer Stellungnahme blockieren. Kein wirklich gutes Bild, wenn das BSI nur bei Schönwetterbetrieb irgendwelche Binsen veröffentlicht.
Die Bundesregierung vertraute beim Einsatz von ausländischer Software in deutschen Behörden auf eine seit 2015 gültige No-Spy-Klausel (siehe dieses Dokument und diesen heise-Beitrag). Unternehmen müssen bei der Beschaffung von Software versichern, dass sie rechtlich nicht dazu verpflichtet sind, vertrauliche Informationen an ausländische Nachrichtendienste weiterzugeben. Der Bremer Informationsrechtler Dennis-Kenji Kipker hält es laut dem heise-Beitrag Kaspersky & Co.: Politiker fordern Neubewertung russischer Sicherheitssoftware für "mehr als blauäugig, sich auf eine No-Spy-Klausel im Bereich der Hard- und Softwarebeschaffung von ausländischen Anbietern zu verlassen, soweit diese in sicherheitssensiblen Bereichen eingesetzt wird".
Kaspersky hat zwar Teile seiner Firmenkonstruktion in die Schweiz verlegt, aber heise-Redakteur Jürgen Schmidt kommt ebenfalls zum Schluss, dass das Unternehmen sich im Zweifelsfall den Anordnungen der russischen Regierung und dessen Geheimdiensts und Militärs nicht entziehen kann. Alles in allem eine ungute Situation – es bleibt wieder bei den Nutzern zu entscheiden, ob solche Produkte eingesetzt werden.
Ich habe die Kommentierung des Beitrags deaktiviert, um die zu erwartenden Troll-Kommentare zu verhindern.
Anzeige
