Wie sicher ist russische Kaspersky-Software noch?

In den USA und beim EU-Parlament ist die Benutzung von Anti-Viren-Software des russischen Herstellers Kaspersky Lab schon seit ein paar Jahren verboten. Man war bereits 2017 besorgt über mögliche Verbindungen zwischen Firmenvertretern und russischen Geheimdiensten.

International wird die Software aber von 400.000 Nutzer*innen und 240.000 Unternehmen genutzt. In Deutschland, aber auch in Österreich, ist die Software sehr beliebt. Jetzt warnt das deutsche Bundesamt für Sicherheit und Informationstechnik (BSI) vor dem Einsatz der Software, vor allem bei Behörden. Wie sicher ist die russische Software? Die futurezone beantwortet die wichtigsten Fragen.

Warum warnt das BSI vor der Software?
Die Warnung in Deutschland hat mit der aktuellen Kriegssituation zu tun. Man befürchtet, dass russische Behörden,  Militär oder der Geheimdienst Kaspersky dazu zwingen könnten, „offensive Operationen“ gegen bestimmte Ziele in Deutschland durchzuführen oder diese Ziele gegen den Willen von Kaspersky auszuspionieren. Sowohl Behörden, als auch Betreiber kritischer Infrastruktur in Deutschland wurden gezielt gewarnt, dass Cyberangriffe unmittelbar bevorstehen könnten.

Was hat die Kaspersky-Software damit zu tun?
Bei einer Anti-Viren-Software geht es darum, zu verhindern, dass Systeme beschädigt werden, sei es durch Viren, Trojaner oder andere Schadsoftware. Um derartige Gefahren zu erkennen, muss man jeder Software  einen Echtzeit-Zugriff auf die Systeme geben und bestimmte Systemberechtigungen erteilen. Das könnte die gesamte IT-Infrastruktur gefährden.

Ist die Viren-Software von Kaspersky jetzt also noch  zuverlässig?
Mit großer Wahrscheinlichkeit schon. Kaspersky hat den Quellcode seiner Software offengelegt und es wurden keine Auffälligkeiten darin gefunden. Seit 2018 stehen die Server für europäische Kundenanfragen in Zürich. Der Anbieter hat dort Räumlichkeiten bei Interxion, einem niederländischen Rechenzentrumsbetreiber. Aber Kaspersky-Mitarbeiter*innen, die großteils in Russland zu Hause sind und von dort aus arbeiten, könnten vom Staat dazu gezwungen werden, auf die Server in der Schweiz zugreifen. Die aktuelle Warnung des BSI erfolgt daher vor allem aus politischen Gründen. „Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur“, warnt das BSI.

Was bedeutet das jetzt für Privatanwender*innen?
Nutzer*innen, die Kaspersky Software für sich und die Familie auf Privatrechnern installiert haben, brauchen keine Angst haben, plötzlich ins Visier des russischen Geheimdienstes zu geraten. Diese würde Aktionen nicht gegen Privatanwender*innen, sondern gegen bestimmte, bewusst ausgewählte Ziele richten, meinen IT-Expert*innen zur futurezone.

Was sagt Kaspersky selbst dazu?
Kaspersky setzt auf Transparenz und betont seine Rolle als „global geführtes, privates Sicherheitsunternehmen“, das „keine Verbindungen zur russischen oder einer anderen Regierung“ habe. "Bei Kaspersky sind wir der Meinung, dass die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind“, heißt es. Damit ist etwa die Ansiedelung der Server-Infrastruktur in der neutralen Schweiz gemeint.

Wenn die Anti-Viren-Software wirklich Benutzer ausspionieren würde, würde das dem Unternehmen finanziell extrem schaden, so die Einschätzung von IT-Expert*innen.

Was gilt für Behörden und kritische Infrastrukturbetreiber?
Die Warnung des BSI ist für diese Institutionen ernst zu nehmen. Auch in Österreich erging in den vergangenen Tagen eine Warnung wegen „erhöhter Cybergefahr“ des Inlandsgeheimdienstes an Betreiber von kritischer Infrastruktur, so das Innenministerium zur futurezone. Man sei diesbezüglich in „laufendem Austausch“, heißt es. Sollten kritische Infrastrukturbetreiber Kaspersky-Produkte einsetzen, sollten sie sich nach Ersatz umsehen, empfehlen IT-Expert*innen.

Welche Behörden setzen in Österreich die Software ein?
Verschiedene. Das Innenministerium betonte, dass in ihren Einrichtungen aktuell keine Kaspersky-Produkte zum Einsatz kommen. Bei der Justiz dürfte die Software eingesetzt werden, es gab jedoch "aus Sicherheitsüberlegungen" keine offizielle Bestätigung dazu. Es gebe "grundsätzlich keine Auskünfte zu unseren IT-Sicherheitsmaßnahmen", hieß es auf futurezone-Anfrage.

Laut „Mittagsjournal“ dürfte die Kaspersky Software aber neben der Justiz auch beim Bundesheer „in Einzelbereichen“ in Betrieb sein. Das bestätigte Lambert Scharwitzl, Leiter des militärischen Cyberzentrums im Verteidigungsministeriums. Laut Scharwitzl liefere der Hersteller Updates und man gehe davon aus, dass diese "in Ordnung" seien, werde aber bis auf weiteres ein "verstärktes Monitoring" durchführen, heißt es.

Generell soll von „Spezialisten eine gesamtstaatliche Prüfung“ der Software erfolgen. Die futurezone hat auch bei der Bundesbeschaffung nachgefragt, die einen Überblick über öffentliche Aufträge hat. "Nach den uns vorliegenden Informationen wurden aus den diesbezüglichen Rahmenvereinbarungen seit 2019 von öffentlichen Auftraggebern 28 Abrufe durchgeführt und somit von diesen öffentlichen Auftraggebern beauftragt", heißt es dazu. So scheint das Bundesrechenzentrum (BRZ) bei der Vergabestelle etwa als Auftraggeber*in von Kaspersky-Lizenzen auf.

Gab es nicht schon einmal einen Skandal rund um Kaspersky?
Ja, im Jahr 2017. Damals gab es den Vorwurf, dass Kaspersky in seine Programme einen Mechanismus eingebaut haben soll, über den der russische Geheimdienst Daten abzapfen kann. Das Unternehmen reagierte damals und legte den Quellcode der Software offen. Die USA war damals vom israelischen Geheimdienst gewarnt worden und Kaspersky-Software wurde im Behördenumfeld in den USA komplett verboten.

Was ist mit anderer Anti-Viren-Software? Ist diese sicher?
Jede Anti-Viren-Software wird von einem Unternehmen programmiert, das in irgendeinem Land der Welt seinen Hauptsitz hat. Theoretisch kann jedes Unternehmen dazu gezwungen werden, staatliche Befehle auszuführen. Daher bleibt jeder Einsatz von Software am Rechner, der man Systemzugriffe gewährt, eine Abwägungssache.