"Vermutungen, reine Spekulation" Darum wurde Kaspersky vom BSI zum deutschen Staatsfeind erklärt
Die Sicherheitswarnung des BSI vor dem Softwareunternehmen Kaspersky beruht laut einem Experten auf Spekulationen. Das BSI sieht das anders.
Die im März vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Sicherheitswarnung vor der Nutzung von Kaspersky-Software ist umstritten. Eine Recherche des Bayerischen Rundfunks (BR) und des "Spiegel" legt nahe, dass die Begründung des BSI vor allem auf mutmaßlichen politischen Annahmen und nicht auf einer technisch-wissenschaftlichen Expertise basiert.
Wie die beiden Medien berichten, habe sich ein Abteilungsleiter des BSI für das Aussprechen einer Warnung eingesetzt, weil der russische Staat das Unternehmen bereits instrumentalisiert haben könnte: "Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl warten".
Dieser Schlussfolgerung stellte sich jedoch ein anderer Abteilungsleiter des BSI entgegen und argumentierte, dass das Vorliegen einer Sicherheitslücke – die eine Warnung zweifelsfrei rechtfertigen würde – nicht sauber dargelegt worden sei: "Das scheint mir hier jedoch besonders wichtig, da wir eine technische Sicherheitslücke derzeit nicht nachweisen können", heißt es weiter.
Gleichzeitig wurde auch darauf aufmerksam gemacht, dass Kaspersky seine Server schon vor Jahren in die Schweiz verlegt habe, um einem Zugriff der russischen Regierung zu entgehen. Die Sicherheitswarnung wurde trotz dieser Bedenken ausgesprochen.
Das Ergebnis stand von vornherein fest
Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen, wirft dem "Spiegel" zufolge dem BSI vor, seine Begründung lediglich auf Vermutungen und reine Spekulation zu stützen.
Das BSI habe "eindeutig vom Ergebnis her" gearbeitet und die Entscheidung gefällt, ohne eine Rechtfertigung oder Begründung zu liefern. Diese sei erst im Nachhinein zustande gekommen. Auf einer technisch-fachlichen Beurteilung beruhe diese infolgedessen nicht, sondern lediglich auf einer politischen Einschätzung der Lage.
Laut Kipker hätte das BSI auch nur allgemein vor russischer Software warnen dürfen und nicht explizit vor Produkten des Unternehmens. Denn würde das BSI dieselben Maßstäbe auch an nicht-russische Produkte anlegen, müsste seiner Einschätzung nach auch vor chinesischen, amerikanischen und israelischen Softwarelösungen gewarnt werden.
Das BSI sieht dies hingegen anders. Ein Sprecher teilte dem "Spiegel" mit, dass man sich "durch die bisherigen gerichtlichen Entscheidungen in seiner Einschätzung der aktuellen Gefährdungslage sowie in seinem daraus folgenden Vorgehen der Warnung vor dem Einsatz von Virenschutzsoftware des russischen Herstellers bestätigt" sehe.
Sicherheitswarnung wurde im März ausgesprochen
Mitte März, knapp zwei Wochen nach Russlands Invasion der Ukraine, veröffentlichte das BSI eine Sicherheitswarnung in Bezug auf Produkte des russischen Sicherheitsunternehmens Kaspersky.
Die Vorwürfe lauteten, dass Kaspersky entweder selbst offensive Operationen durchführen könne oder gegen seinen Willen dazu gezwungen werden könnte. Ebenso sah sich das BSI überzeugt in der Annahme, dass Kaspersky-Produkte zur Cyberspionage oder für Cyberangriffe auf Kunden des Unternehmens genutzt werden könnten.
- spiegel.de: "Wie Kaspersky offiziell zur Bedrohung erklärt wurde" (kostenpflichtig)