Seit dem 24. Februar 2022 ist unsere Welt eine andere. In der Nacht zu diesem Tag fielen russische Soldaten über die Grenze zur Ukraine ein und begannen einen fürchterlichen Angriffskrieg, welcher seit nunmehr zwei Wochen andauert. Mit dem Ukraine-Krieg steht nicht nur Präsident Wladimir Putin in einem gänzlichen neuen Licht da, welches sein wahres Gesicht zeigt. Auch andere staatliche Organe des russischen Machtapparates muss man nun mit anderen Augen sehen. Dabei spielt insbesondere das Thema Cyber-Sicherheit eine große Rolle. Dementsprechend werden nun seitens der Politik zunehmend Forderungen laut, dass man Sicherheitssoftware made in Russia gänzlich neu bewerten muss. Es steht die Vermutung im Raum, dass Anwendungen wie das namhafte Antivirus von Kaspersky womöglich ein Risiko für russische Cyberattacken in sich bergen könnten.
Viele Fragezeichen
Der andauernde Angriffskrieg Russlands gegen die Ukraine hat weitreichende Auswirkungen, die Politik und Gesellschaft bewegen. Das gilt keineswegs nur für das Verhältnis zwischen Russland und Ukraine, sondern betrifft den gesamten Globus. Schließlich hat das Vorgehen Russlands für eine allgemeine Unsicherheit nicht nur gegenüber dem russischen Machtapparat, sondern auch im Bezug auf Unternehmen in Russland gesorgt. Dies gilt insbesondere für Sicherheitssoftware wie beispielsweise Antivirus vom namhaften Entwickler Kaspersky Lab. Wenn man den Aussagen der Politik Glauben schenken mag, muss man sich als Nutzer dieser Anwendung keine Sorgen machen. Derzeit bestehen keine ernstzunehmenden Sicherheitsbedenken. Dennoch sei es wichtig, vorsichtig zu sein, da sich die Lage schnell ändern könnte.
Dies unterstrich unter anderem der auf Digitalpolitik spezialisierte Bundestagsabgeordnete Jens Zimmermann (SPD) gegenüber den Kollegen von heise online:
„Auch wenn es bislang keinen Anlass gegeben hat, vor Kaspersky-Produkten in Deutschland zu warnen, so hat der völkerrechtswidrige Krieg von Russland gegen die Ukraine nahezu alle Sicherheiten in Frage gestellt“
Kann man Kaspersky vertrauen?
Offensichtlich scheinen auch die anderen Fraktionen des Bundestags die Meinung von Zimmermann zu teilen. So machte auch Manuel Höferlin (FDP), innenpolitischer Sprecher der Bundestagsfraktion, klar, dass man nur absolut sichere Anwendungen auch wirklich nutzen dürfe. Insbesondere gilt es, eine Absicherung einzuholen, dass die Entwickler
„nicht von außen, beispielsweise durch Regierungen oder Geheimdienste, kompromittiert…“
werden. Diese Sicherheit kann man bei Programmen aus Russland gefühlt seit Jahren nicht mehr wirklich haben. Schließlich war es stets ein offenes Geheimnis, dass regelmäßig vom Kreml aus gesteuerte Cyberattacken auf den Westen stattfanden. Davon war unter anderem auch der Bundestag, aber auch andere hochrangige Ministerien und Behörden betroffen. Dementsprechend sei es unerlässlich, dass man
„ein großes Fragezeichen hinter Kaspersky und andere aus Russland stammende Unternehmen…“
setzt. Um eine entsprechende Sicherheit zu erlangen, müssten die Anwendungen von Experten auf ihre Sicherheit untersucht werden. Hier soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Einsatz kommen. Bis dahin zeigt sich Höferlin emphatisch mit jedem Nutzer von Kaspersky und Co., der die Software nur noch mit Bauchschmerzen nutzt.
IT-Sicherheit ist wichtig
Da das Problem der Cyber-Sicherheit auch in Deutschland zunehmend wichtig wird, möchten die Regierungsfraktion um SPD, Grüne und FDP dieser fortan einen größeren Stellenwert beimessen. Ein Instrument dafür könnte beispielsweise die Verpflichtung für Behörden sein, mit regelmäßigen Abständen an entsprechenden Weiterbildungen zur IT-Sicherheit teilzunehmen. Weiterhin sollen laut Höferlin im Rahmen sogenannter Sicherheitsaudits mögliche Schwachstellen ausgemacht werden. Allein schon, um dieses Prozedere zu erleichtern, sei es ratsam, einheitliche Software einzusetzen. Ob man sich dabei auf Kaspersky verständigt, dürfte angesichts der gegenwärtigen Lage mehr als fraglich sein.
Europäische IT muss autark werden
Wenn der Ukraine-Krieg uns Deutschen eines vor Augen führt, dann ist es unsere Abhängigkeit von Russland. Dafür genügt derzeit bereits der Blick auf die in die Höhe schnellenden Preisschilder der Zapfsäulen. Wenn in ein paar Monaten die nächste Heizkosten-Abrechnung ins Haus steht, dürfte für viele dann der nächste Schock kommen. Da verwundert es auch kaum, dass Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck (Grüne) erst letzte Woche betont hat, wie wichtig eine autarke Energieerzeugung für Deutschland ist.
Während die Unabhängigkeit von russischem Öl und Gas sehr schwer werden könnte, dürfte ein Verzicht auf russische Sicherheitssoftware wohl kein allzu großes Hindernis darstellen. Zu einer souveränen Entwicklung von Sicherheitssoftware rät auch der IT-Rechtler Dennis-Kenji Kipker aus Bremen. Dies sei der beste Weg für die Zukunft. Dennoch wäre es gegenwärtig unverhältnismäßig einen
„Einsatz von Kaspersky-Produkten per se und unreflektiert auszuschließen“.
Dafür fehlen nach seiner Ansicht schlichtweg Beweise dafür, dass russische Sicherheitssoftware als Einfallstor für russische Cyberattacken herhält.
No-Spy-Klausel ist quasi nutzlos
Entwarnung kommt auch von Matthias Schulze, der bei der Stiftung für Wissenschaft und Politik tätig ist. Der Experte für Sicherheitspolitik betont, dass man derzeit über keine kriminellen Machenschaften durch russische Sicherheitssoftware Bescheid wisse. In der Theorie hätte ein Spionage-Akt von Kaspersky Lab oder anderen russischen Software-Herstellern auch schwerwiegende juristische Folgen. Dafür sorgt die sogenannte „No-Spy-Klausel“, welche im Jahre 2015 ins Leben gerufen wurde. Im Rahmen dieser müssen Software-Entwickler garantieren, dass keine Zusammenarbeit mit einem Geheimdienst aus dem Ausland besteht. Allerdings handelt es sich bei dieser Zusicherung wohl eher um einen symbolischen Akt. Dessen ist sich wohl auch die Politik bewusst. So bezweifelte 2018 das Bundesinnenministerium selbst die Wirksamkeit der Klausel.
„…dass deutsche Personendaten oder Daten deutscher Sicherheitsbehörden mittels ausländischer Software nicht ins Ausland gelangen…“
lässt sich nämlich nur schwer beweisen.
Daran hat offensichtlich nicht nur die schwere Nachvollziehbarkeit einer Weitergabe von Daten Schuld. Obendrein hat der Bund es bis zum Jahr 2018 sträflich vernachlässigt, entsprechende Software zu überprüfen. Wie bekannt geworden ist, hat das BSI bis zu diesem Zeitpunkt nämlich lediglich Windows 10 auf Sicherheit überprüft. Als im selben Jahr eine Überprüfung von Kaspersky folgte, fiel das Urteil positiv aus:
„Dem BSI liegen nach wie vor keine Erkenntnisse vor, die eine Manipulation von Kaspersky-Software belegen.“
Unbeantwortete Fragen von heise online
Da sich in diesem Bereich natürlich viele Fragen rund um das Thema Cybersicherheit geradezu aufdrängen, haben die Kollegen von heise online sowohl beim Innenministerium als auch bei BSI nachgehakt. Antworten auf ihren umfangreichen Katalog gab es bislang offensichtlich noch nicht. Da diese eine gewisse Brisanz haben und beispielsweise die Wirksamkeit der „No-Spy-Klausel“ betreffen, kann man das durchaus nachvollziehen. Eine Frage danach, welches Programm denn die Ministerien selbst nutzen, hat heise online ganz bestimmt unterlassen. Schließlich ist es ein großes Geheimnis, auf welche Programme BMI und BSI setzen.
Einsichtnahme in Quellcode ist alternativlos
Auch IT-Rechtler Kipker erachtet die No-Spy-Klausel als quasi nutzlos und bezeichnet ein Vertrauen auf diese als
„mehr als blauäugig“
Dabei stellt er klar, dass die Klausel zwar juristische Folgen für die Unternehmen mitbringen könnten, diese allerdings in der Regel auch ihrem Herkunftsland zu einem gewissen Handeln verpflichtet sind. Im Falle von Kaspersky mit Sitz in Russland wäre es sicherlich ratsam für das Unternehmen, lieber im Sinne des russischen Machtapparates zu handeln als sich an die No-Spy-Klausel zu halten. Schließlich dürften die Folgen der russischen Justiz weit schwerwiegender sein. Umso wichtiger ist es, dass eine Behörde wie das BSI in entsprechende Quellcodes derartiger Programme Einsicht nehmen darf. Kipker betont dabei noch einmal die besondere Rolle Russlands. Schließlich ist dieses bereits in der Vergangenheit immer wieder mit mutmaßlichen Cyber-Attacken aufgefallen.
Kasperskys Nähe zum russischen Geheimdienst
Wenn man sich einmal die Firmengeschichte von Kaspersky anschaut, wird schnell deutlich, dass das Unternehmen seine Nähe zum russischen Geheimdienst keineswegs leugnen kann. So machte der Gründer Eugene Kaspersky Ende der 80er seinen Abschluss an der Hochschule des KGB – dem damaligen Geheimdienst der Sowjetunion. Als wäre das noch nicht genug, war er im Anschluss an sein Studium an einem wissenschaftlichen Institut tätig, welches sich auf Spionage konzentriert hat. Trotzdem bestreitet Kaspersky bis heute vehement, dass er ein Werkzeug des Kremls sei.
Stattdessen scheint das russische Unternehmen ein echter Vorreiter im Bereich der Sicherheitssoftware zu sein, wenn es um Transparenz geht. Kaspersky Lab macht seine eigenen Quellcodes nämlich seit 2018 offen zugänglich für staatliche Institutionen weltweit. Dies gilt auch für nachgereichte Updates, um für maximale Sicherheit zu sorgen. Abgerundet wird die sogenannte „globale Tranzparenzinitiative“ mit dem Serverstandort von Kaspersky. Die gesammelten Daten sollen nämlich allesamt in der Schweiz gespeichert sein – ein neutraleres Land gibt es wohl kaum.
Kaspersky gibt kein Statement zum Ukraine-Krieg ab
Wie viele andere namhafte russische Unternehmen, gerät nun natürlich auch Kaspersky Lab ins Kreuzfeuer vieler Medien. So hakte zum Beispiel die Zeitschrift „Motherboard“ bei dem Entwickler nach. Dieser antwortete auf die Frage nach einer Stellungnahme zum Krieg eher neutral:
„Als Technologie- und Cybersicherheitsdienstleister ist das Unternehmen nicht in der Lage, geopolitische Entwicklungen außerhalb seines Fachgebiets zu kommentieren oder darüber zu spekulieren“
Dabei stellt Kaspersky ganz offensichtlich sein Licht unter den Scheffel, wenn das Unternehmen behauptet, gegenwärtig nichts mit dem Krieg zu tun zu haben. Beispielsweise sorgt der Dienstleister gerade dafür, dass die Webseite des russischen Verteidigungsministeriums nicht aus dem Ausland erreichbar ist. Aus strategischer Sicht der Russen ist dies durchaus nachvollziehbar. Schließlich könnte dies ein Einfallstor für ausländische Hacker bieten.