{"id":271247,"date":"2022-08-06T00:01:00","date_gmt":"2022-08-05T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=271247"},"modified":"2022-10-12T18:17:49","modified_gmt":"2022-10-12T16:17:49","slug":"nachbetrachtung-die-bsi-warnung-vor-kaspersky-produkten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/08\/06\/nachbetrachtung-die-bsi-warnung-vor-kaspersky-produkten\/","title":{"rendered":"Nachbetrachtung: Die BSI-Warnung vor Kaspersky-Produkten"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=26085\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ich greife nochmals in einer Nachbetrachtung ein schwieriges Thema auf, was hier im Blog zahlreiche Diskussionen ausl\u00f6ste. Es geht um die Warnung des BSI vor den Produkten des russischen Anbieters Kaspersky. Inzwischen ist vom OLG gekl\u00e4rt, dass das BSI warnen durfte und dies auch in dessen Bereich f\u00e4llt. Dass die Entscheidung auch politisch motiviert war, sollte jedem klar sein. Nun hat der BR in einem Artikel f\u00fcr die Tagesschau nachgezeichnet, wie schwer sich das BSI mit der Bewertung tat.<\/p>\n<p><!--more--><\/p>\n<h2>Die BSI-Warnung vor Kasperky<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/9c3f1ffc01c94f4b9a5fa4fca806eeb0\" alt=\"\" width=\"1\" height=\"1\" \/>Angesichts des russischen Einmarschs in die Ukraine und durch die anhaltenden Kriegshandlungen stand im Februar 2022 auch die Frage im Raum, ob Software von russischen Unternehmen in Deutschland \u2013 speziell im Bereich Computersicherheit \u2013 noch eingesetzt werden kann und soll. Ich hatte das Thema im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/05\/sind-kaspersky-co-als-sicherheitslsungen-noch-einsetzbar\/\">Sind Kaspersky &amp; Co. als Sicherheitsl\u00f6sungen noch einsetzbar?<\/a> aufgeworfen.<\/p>\n<p>Nach Bewertung der Lage kam zum 15. M\u00e4rz 2022 vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) die <a href=\"https:\/\/web.archive.org\/web\/20220927222139\/https:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Presse\/Pressemitteilungen\/Presse2022\/220315_Kaspersky-Warnung.html\" target=\"_blank\" rel=\"noopener\">Warnung<\/a> vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Das BSI empfahl, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen (siehe auch meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/15\/endlich-das-bsi-warnt-nun-vor-dem-einsatz-von-kaspersky-virenschutzprodukten\/\">Das BSI warnt nun vor dem Einsatz von Kaspersky-Virenschutzprodukten<\/a>).<\/p>\n<p>Unter dem Strich ist das eine politische Entscheidung, die aber begr\u00fcndet wurde. Vom Unternehmen Kaspersky wurde die BSI-Warnung dann \u00fcber den deutschen Firmenableger angegriffen und vor einem Landgericht sowie anschlie\u00dfend vor einer Kammer eines Oberlandesgericht verhandelt. In beiden F\u00e4lle wurde die Warnung des BSI als zul\u00e4ssig erachtet (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2022\/04\/29\/olg-urteil-bsi-durfte-vor-virenschutzsoftware-von-kaspersky-warnen\/\">OLG-Urteil: BSI durfte vor Virenschutzsoftware von Kaspersky warnen<\/a> in der Linkliste am Artikelende).<\/p>\n<h2>Wie es zur Warnung kam<\/h2>\n<p>Interessant ist es, die Hintergr\u00fcnde zu erfahren, wie es zur Warnung kam und wie schwer das BSI sich mit dem Sachverhalt tat &#8211; die sa\u00dfen wohl zwischen allen St\u00fchlen und wollten das politisch brisante Eisen nicht anfassen. Redakteure des Bayrischen Rundfunks haben in <a href=\"https:\/\/www.tagesschau.de\/investigativ\/br-recherche\/software-kaspersky-sicherheit-warnungen-101.html\" target=\"_blank\" rel=\"noopener\">diesem Tagesschau -Artikel<\/a> (danke an den Leser f\u00fcr den Hinweis) die Ereignisse, die zur Warnung des BSI f\u00fchrten, nachgezeichnet. Die Redakteure waren \u00fcber eine Anfrage nach dem Informationsfreiheitsgesetz an die internen Dokumente der Kommunikation des BSI mit Kaspersky und weiteren Stellen heran gekommen (insgesamt wohl knapp 370 Seiten, hei\u00dft es). Die Kurzfakten:<\/p>\n<ul>\n<li>Das BSI begann knapp eine Woche nach dem russischen Einmarsch in die Ukraine mit \u00dcberlegungen, wie man mit den Antivirus-Produkten des russischen Herstellers umgehen sollte.<\/li>\n<li>Pl\u00f6tzlich trudelte eine E-Mail des Anbieters Kaspersky beim BSI ein, in der sich das Unternehmen eine R\u00fcckendeckung des BSI erhoffte, da die Kunden ebenfalls vor der Frage standen \"wie mit Kaspersky-Produkten umgehen?\" und den Anbieter l\u00f6cherten.<\/li>\n<\/ul>\n<p>Die Redakteure zitieren aus dem internen E-Mail-Verkehr des BSI, den sie offenbar einsehen konnten, ein Zitat von Kaspersky &#8211; die in der Anfrage das BSI als eine \"international anerkannte und hervorragend vernetzte technisch-wissenschaftliche\" Beh\u00f6rde einstufte, die immer sehr sorgf\u00e4ltig gearbeitet und \"faktenbasierte, nachvollziehbare Entscheidungen\" getroffen habe, um die Cybersicherheit zu st\u00e4rken. Kaspersky erhoffte sich, platt ausgedr\u00fcckt, einen Persilschein des BSI &#8211; was legitim ist, aber vom BSI imho nicht geleistet werden konnte.<\/p>\n<p>Damit stand das BSI unter Zugzwang und dessen Pr\u00e4sident Arne Sch\u00f6nbohm antwortete in einer internen Mail, dass sein Haus nicht auf diese Anfrage antworten solle. Die \u00f6ffentliche Warnung des BSI kam dann schlie\u00dflich ein Wochenende nach Erhalt der Kaspersky-Anfrage per E-Mail, n\u00e4mlich am 15. M\u00e4rz 2022. Der von den Redakteuren des BR ausgewertete E-Mail-Austausch des BSI mit anderen deutschen Stellen zeige, laut Tagesschau-Bericht, dass es keine, ausschlie\u00dflich auf technischen \u00dcberlegungen basierende Entscheidung als Basis f\u00fcr diese Warnung gegeben habe.<\/p>\n<p>Wer das aber annahm, muss schon naiv sein. Nat\u00fcrlich ist es eine politische Bewertung. Das BSI hatte die Einsch\u00e4tzung (Kaspersky hat den Firmensitz in Moskau, viele ggf. erpressbare Mitarbeiter oder Familienangeh\u00f6rige leben in Russland, die M\u00f6glichkeit der Einflussnahme der russischen Regierung) in seiner Warnung angef\u00fchrt und begr\u00fcndet, was auch nochmals im Tagesschau-Beitrag reflektiert wird.<\/p>\n<p>Im Tagesschau-Artikel wird dann die Entwicklung bis zur Warnung auf Basis der internen Kommunikation nachgezeichnet. Es finden sich Hinweise zur Einstufung, dass \"Gefahr im Verzug\" sei, weil nicht sicher sei, ob Kaspersky noch Herr \u00fcber seine Software sei, weil Russland kein Rechtsstaat w\u00e4re. Auch wurde die Gefahr gesehen, dass Angriffe aus Russland \u00fcber solche Software auf deutsche Unternehmen, Nutzer und Organisationen erfolgen und sich der Kaspersky-Software bedienen k\u00f6nnte. Dem gegen\u00fcber stand, dass Kaspersky 2017 eine Initiative gestartet und mehrere Transparenzzentren er\u00f6ffnet habe (eine in der Schweiz). Man k\u00f6nnte daher Kaspersky auch als \"nicht\" russisches Unternehmen betrachten &#8211; die Einsch\u00e4tzung muss aber jeder selbst treffen.<\/p>\n<p>Im Verlaufe der Abstimmung wurde das Deutsche Innenministerium (BMI) einbezogen, welches wohl auf eine Warnung dr\u00e4ngte. Wer sich die Ereignisse kurz nach Einmarsch Russlands nochmals ins Ged\u00e4chtnis ruft, und solche Entscheidungsprozesse kennt, wird diese Diskussionen, die Einbeziehung des BMI und dann die Entscheidung zur Warnung nachvollziehen k\u00f6nnen (wir erleben ja gerade die Diskussion um \"Einsch\u00e4tzungen\" im Bereich russisches Erdgas, die jahrelang politisch eine andere war, sich aber seit Feb. 2022 fundamental gewandelt hat). Was ungeschickt war, sind die 3 Stunden Reaktionszeit f\u00fcr Kaspersky, um auf den Entwurf der BSI-Warnung zu reagieren.<\/p>\n<p>Im Tagesschau-Artikel kann man die m\u00e4andernde Entwicklung der Entscheidungsfindung des BSI mit einiger Prosa verziert, nachlesen. Dennis-Kenji Kipker Professor f\u00fcr IT-Sicherheitsrecht in Bremen, der die Dokumente sichtete, kommt laut Artikel zum Schluss, dass das BSI \"eindeutig vom Ergebnis her\" gearbeitet habe. Das widerspreche dem Auftrag des BSI, \"auf Grundlage wissenschaftlich-technischer Erkenntnisse\" zu agieren, wie es in Paragraph 1 des BSI-Gesetzes hei\u00dfe, so der Professor. Diese \"Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann \u00fcberlegt, wie kann ich es herleiten\". Kipker sagt, es w\u00e4re besser gewesen, \"allgemein vor russischen Produkten\" zu warnen anstatt Kaspersky \"als Exempel zu verwenden\". Kann man so sehen, aber das BSI ist auch gehalten, Risiken zu bewerten &#8211; was es gemacht hat &#8211; und diese Vorgehensweise wurde vor Gericht in zwei Instanzen best\u00e4tigt.<\/p>\n<p>Wie dem auch immer sei &#8211; dass auch eine politische Bewertung da mit hineinspielt, musste jedem Beobachter klar sein. Die Entscheidung Pro oder Kontra Einsatz von Kaspersky war eh von jedem Nutzer oder Administrator bzw. IT-Entscheider zu treffen (denn es gab ja kein Verbot der Produkte).<\/p>\n<p>Dass es f\u00fcr die Firma Kaspersky unsch\u00f6n ist, steht auf einem anderen Blatt. Aber ich m\u00f6chte nicht wissen, wie der Meinungssturm auss\u00e4he, wenn das BSI nichts oder eine \"weichgesp\u00fclte allgemeine Warnung\" verteilt h\u00e4tte und es danach zu einem Cyber-Vorfall in diesem Umfeld gekommen w\u00e4re.<\/p>\n<p>Ich sehe den Vorgang als eine schwierige Sachabw\u00e4gung &#8211; was auch in den Kommentaren hier im Blog zum Vorschein kam. Juristisch wurde best\u00e4tigt, dass das BSI die Warnung so aussprechen durfte. Ad hoc ist meine Position \"Vorsicht ist die Mutter Porzellankiste\". Daher teile ich ausdr\u00fccklich nicht die <a href=\"https:\/\/blog.fefe.de\/?ts=9c120a58\" target=\"_blank\" rel=\"noopener\">hier ausgedr\u00fcckte<\/a> Meinung von Fefe &#8211; und tue mich mit manchen Ausf\u00fchrungen <a href=\"https:\/\/www.inside-it.ch\/wie-es-zur-warnung-vor-kaspersky-kam-20220805\" target=\"_blank\" rel=\"noopener\">dieses Schweizer Mediums<\/a> schwer (beide Links waren von Lesern und Leserinnen gepostet worden &#8211; ein Kommentar enthielt die Bitte, diesen nicht zu ver\u00f6ffentlichen).<\/p>\n<p>M\u00f6ge jeder Blog-Leser zu seiner eigenen Einsch\u00e4tzung \/Bewertung gelangen, wobei ich denke, dass rational handelnde Menschen ihre Bewertung schon vorher getroffen haben.<\/p>\n<blockquote><p>PS: Ich lasse die Kommentierung hier zum Beitrag zu. W\u00e4re aber super, wenn es nicht sofort ins Weltpolitische abgleitet und Weltrevolution ausgerufen wird.<\/p>\n<p>PPS: Klar sein sollte auch, dass nach dem Informationsfreiheitsgesetz nur Dokumente freigegeben werden, die keine Verschlusssachen sind. Und in den freigegebenen Dokumenten sind Teile geschw\u00e4rzt. Es ist also nur ein Teil der \"Wahrheit\", die die Redakteure des BR zu sehen bekamen.<\/p><\/blockquote>\n<p><strong>Erg\u00e4nzung:<\/strong> Die Stellungnahme von Kaspersky zum BR- und Spiegel-Artikel l\u00e4sst sich \u00fcbrigens <a href=\"https:\/\/www.kaspersky.de\/blog\/kaspersky-stellungnahme-zur-investigativrecherche-des-bayerischem-rundfunk-und-des-spiegel\/29104\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> nachlesen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/05\/sind-kaspersky-co-als-sicherheitslsungen-noch-einsetzbar\/\">Sind Kaspersky &amp; Co. als Sicherheitsl\u00f6sungen noch einsetzbar?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/15\/endlich-das-bsi-warnt-nun-vor-dem-einsatz-von-kaspersky-virenschutzprodukten\/\">Das BSI warnt nun vor dem Einsatz von Kaspersky-Virenschutzprodukten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/10\/kaspersky-einsatz-in-deutschland-das-bsi-schweigt\/\">Kaspersky-Einsatz in Deutschland \u2013 das BSI schweigt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/12\/14\/kaspersky-in-us-behrden-endgltig-verboten\/\">Kaspersky in US-Beh\u00f6rden endg\u00fcltig verboten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/26\/kaspersky-kommt-auf-us-fcc-liste-und-fliegt-aus-dem-hackerone-bug-bounty-programm\/\">Kaspersky kommt auf US-FCC-Liste und fliegt aus dem HackerOne Bug-Bounty-Programm<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/04\/01\/usa-sanktionen-gegen-kaspersky-knnte-cyberrisiko-aus-russland-erhhen\/\">USA: Sanktionen gegen Kaspersky k\u00f6nnte Cyberrisiko aus Russland erh\u00f6hen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/04\/02\/vg-kln-bsi-darf-zu-recht-vor-dem-einsatz-von-kaspersky-virenschutz-warnen\/\">VG K\u00f6ln: BSI darf zu Recht vor dem Einsatz von Kaspersky-Virenschutz warnen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/04\/29\/olg-urteil-bsi-durfte-vor-virenschutzsoftware-von-kaspersky-warnen\/\">OLG-Urteil: BSI durfte vor Virenschutzsoftware von Kaspersky warnen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ich greife nochmals in einer Nachbetrachtung ein schwieriges Thema auf, was hier im Blog zahlreiche Diskussionen ausl\u00f6ste. Es geht um die Warnung des BSI vor den Produkten des russischen Anbieters Kaspersky. Inzwischen ist vom OLG gekl\u00e4rt, dass das BSI warnen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/08\/06\/nachbetrachtung-die-bsi-warnung-vor-kaspersky-produkten\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-271247","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271247","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=271247"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/271247\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=271247"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=271247"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=271247"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}