Am 15.03.2022 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung vor Sicherheits-Software von Kaspersky ausgesprochen und verweist darin auf den Krieg in der Ukraine und die Drohungen Russlands. Kurz danach hat auch die US-Telekommunikationsaufsichtsbehörde FCC das Unternehmen zu einem „nicht akzeptablen Risiko für die nationale Sicherheit“ der USA erklärt. Es war das erste Mal, dass die FCC eine Sicherheitswarnung für ein nicht-chinesisches Unternehmen herausgab. Anders als das BSI, das seine Sicherheitswarnung rund drei Wochen nach Kriegsbeginn aussprach, hat die FCC nicht den Ukrainekrieg als Grund angeführt.
Der Softwarehersteller Kaspersky erklärt in einer ersten Stellungnahme, dass man enttäuscht sei über den Schritt der US-amerikanischen Behörde: „Diese Entscheidung basiert nicht auf einer technischen Bewertung von Kaspersky-Produkten, sondern wird aus politischen Gründen getroffen.“ Kaspersky erklärt zudem, dass es keine öffentlichen Beweise für ein Fehlverhalten des Unternehmens gebe und geht sogar noch weiter: Kaspersky behauptet, dass die bereits 2017 von der US-Regierung erlassenen Verbote für Bundesbehörden und Bundesauftragnehmer, Kaspersky-Produkte und -Dienstleistungen zu nutzen, verfassungswidrig sind.
Die Vertrauensfrage
Für Unternehmen stellt sich nun die Frage, wie sie tatsächlich mit der Software des russischen Herstellers umgehen sollen. Denn jedem sollte bewusst sein, dass die Nutzung von Security-Software ein großes Vertrauensthema ist, da diese Software tiefen Zugriff in die bestehenden Systemstrukturen, Daten und Prozesse benötigt.
Bereits vor rund zehn Jahren, anlässlich der Diskussion um die Bundestrojaner, gab es Gespräche mit Sicherheitsexperten, die erklärten, dass ein Unternehmen in der IT-Security-Branche nicht zum Spielball von Regierungen und Sicherheitsbehörden einzelner Staaten werden darf.
Spionage
Es lässt sich nur darüber spekulieren, ob Kaspersky-Produkte eine Hintertür für Geheimdienste bekommen werden oder bereits längst enthalten. Auch wenn Gründer und Unternehmensleiter Jewgeni (Eugene) Kaspersky zu Sowjetzeiten für ein sowjetisches Forschungsinstitut im Bereich strategische Operationen und Spionage gearbeitet haben soll, dementierte er beispielsweise 2011 in einem Wired-Artikel stets eine Beziehung zum Kreml. Dass das Unternehmen immer noch seinen Hauptsitz in Moskau hat, sehen Sicherheitsexperten kritisch. Kaspersky betont, man habe nie Regierungen bei Cyberspionage unterstützt und werde dies auch in Zukunft nicht tun. Selbst wenn diese Aussage stimmt, ist der Druck, den der Kreml auf Kaspersky und seine Familie ausüben könnte, nicht wegzudiskutieren.
Seit Jahren versucht Kaspersky im Rahmen einer Transparenzoffensive das Vertrauen von Unternehmen und Endanwendern zu gewinnen. Allerdings wird diese Strategie dem Cybersicherheits-Unternehmen in der derzeitigen Lage nicht viel bringen. Die Stiftung Warentest hatte bereits einige Tage vor dem BSI das ansonsten sehr gute Urteil über die Kaspersky-Security-Lösungen aus dem letzten Test zurückgezogen. Darin heißt es: „Unseren derzeitigen Erkenntnissen zufolge hat sich an der Schutzwirkung der Kaspersky-Programme nichts geändert. Dennoch ist nicht auszuschließen, dass die russische Regierung Druck auf den Anbieter ausübt, um Änderungen an der Software zu erreichen, die sich negativ auf deren Funktionsweise auswirken.“
Strategisch handeln
Unternehmen sollten ihre Sicherheitsstrategie immer langfristig angehen und nicht blind aufgrund diverser Meldungen über Bord werfen. Dass der derzeitige Krieg auch ein Cyber-Krieg ist, steht ebenso außer Frage wie die Erwartung, dass Unternehmen in Zukunft häufiger teils gezielte Cyber-Attacken erleben werden. Um dem vorzubeugen, setzt die LIS AG bei Windows-Systemen seit vielen Jahren auf Sicherheits-Lösungen des deutschen Hersteller G DATA. Was kaum einer weiß – bereits im Jahr 1987 stellte das Unternehmen G DATA das weltweit erste kommerzielle Virenschutzprogramm vor. Gerne erstellt das Team der LIS AG ein maßgeschneidertes Sicherheitskonzept für Ihre IT-Infrastruktur.