IT-Sicherheit Schwierige Warnung vor Kaspersky
Im März hatte das für IT-Sicherheit zuständige Bundesamt vor Antiviren-Software von Kaspersky gewarnt. Dokumente zeigen nun, wie schwer sich die Behörde bei der Entscheidungsfindung tat und wie eng das Innenministerium involviert war.
Knapp eine Woche nachdem Russland die Ukraine überfallen hat, überlegt das Bundesamt für Sicherheit in der Informationstechnik (BSI), wie man mit Kaspersky umgehen soll, dem erfolgreichen russischen Hersteller von Antiviren-Software. Da bekommt das BSI eine E-Mail von Kaspersky, Priorität hoch. Anscheinend fragen sich die Kunden des Unternehmens, warum es "keine Stellungnahmen des BSI zur Sicherheit von Kaspersky gibt".
Kaspersky will die eigenen Kunden beschwichtigen und dafür Rückendeckung von der Behörde. Das BSI sei eine "international anerkannte und hervorragend vernetzte technisch-wissenschaftliche" Behörde, die immer sehr sorgfältig gearbeitet und "faktenbasierte, nachvollziehbare Entscheidungen" getroffen habe, die die Cybersicherheit stärken, heißt es in der E-Mail von Kaspersky.
Nur zwei Stunden später reagiert der Präsident der Behörde, Arne Schönbohm, in einer internen E-Mail knapp und mit Tippfehler, wie man mit dem Schreiben von Kaspersky umgehen soll: "Glaube leider gar nicht antwortem".
Am 15. März, ein Wochenende nach Erhalt der E-Mail, warnt das BSI schließlich öffentlich davor, Antiviren-Software von Kaspersky einzusetzen. Kaspersky versucht vergeblich, per Eilantrag gegen diese Warnung vorzugehen.
Keine rein technische Begründung
Der E-Mail-Verkehr ist Teil von Unterlagen, knapp 370 Seiten, die einen Blick in das Innere des BSI erlauben und zeigen, wie schwer sich das für IT-Sicherheit zuständige Bundesamt mit der Entscheidungsfindung getan hat. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und dass das Innenministerium stark eingebunden war. Die Dokumente hat der Bayerische Rundfunk über eine Anfrage nach dem Informationsfreiheitsgesetz erhalten und gemeinsam mit dem "Spiegel" ausgewertet.
Bereits am 2. März, etwas mehr als eine Woche nach Kriegsbeginn, trifft man sich im BSI zu einer Leitungsrunde, um den "Umgang mit Kaspersky" zu diskutieren, auch der Präsident und sein Vize sind vertreten. Beschlossen wird, so geht es aus dem Protokoll hervor, "etwaige Erkenntnisse/technische Gründe" zusammenzustellen, die eine Warnung begründen. Dass gewarnt werden soll, scheint bereits beschlossene Sache. Erstellt werden solle außerdem eine Übersicht über russische Unternehmen im "IT-Umfeld", eine Übersicht über chinesische Unternehmen solle folgen.
Die Antiviren-Software von Kaspersky wird in vielen deutschen Unternehmen eingesetzt, auch in solchen, die kritische Infrastruktur absichern. Wird Antiviren-Software auf Rechnern installiert, darf sie fast alles. Experten sprechen von "weitreichenden Systemberechtigungen". Für Spione lohnt sich deshalb der Versuch, so eine Software zu hacken. Sie hätten ein mächtiges Werkzeug zum Ausspähen von Firmen oder der Verwaltung.
"Gefahr im Verzug"
In einem weiteren Dokument des BSI, in dem die Warnung vor Kaspersky begründet wird, steht, dass Russland "kein demokratischer Rechtsstaat" sei und Deutschland als Feind ansehe, wegen der verhängten Sanktionen. Es sei daher "nicht sicher, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat bzw. diese nicht in Kürze verlieren wird". Es sei "Gefahr im Verzug" und mit "feindlichen Übergriffen auf deutsche Institutionen, Unternehmen und IT-Infrastrukturen" zu rechnen: "Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl warten."
Kaspersky habe "keine Möglichkeit, durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen". Deshalb müsse gewarnt werden.
Dieser erste Entwurf - etwas optimistisch mit "final" betitelt - überzeugt nicht alle im Bundesamt. Ein Abteilungsleiter weist daraufhin, dass Kaspersky in den vergangenen Jahren Server in die Schweiz verlegt und andere Maßnahmen getroffen habe, um den Einfluss Russlands zu minimieren. Eine "technische Sicherheitslücke" könne man jedenfalls nicht nachweisen. In dieser Form wolle man den Entwurf nicht mitzeichnen. Der Vizepräsident schaltet sich ein. Der Entwurf heize eine "Eskalation im Cyberraum" an, man solle ihn umformulieren. Auch Präsident Schönbohm gibt die Warnung nicht frei. Die internen Differenzen sollen geklärt werden.
Ein neuer Entwurf geht explizit auf die Kritik ein. Es sei unerheblich, wo sich die Server befinden, wichtig sei, wer Zugriff darauf habe, also Änderungen am Code vornehmen könne. Außerdem habe Kaspersky diverse Verbindungen nach Russland. Zum einen sei der Firmensitz in Moskau, Kaspersky gehöre russischen Staatsbürgern und viele Mitarbeiter hätten Familie im Land. Man sei "daher dem direkten Einfluss und Druck der Behörden ausgesetzt". Das BSI muss dieser Argumentation zufolge nicht erst abwarten, ob Kaspersky-Software zweckentfremdet wird durch den russischen Staat. Im Fazit heißt es: "Vielmehr ist die Warnung zum jetzigen Zeitpunkt angezeigt, um rechtzeitig präventiv zu handeln."
Flankierung durch Innenministerium
Diese Variante wird im Haus schließlich freigegeben, das Bundesinnenministerium (BMI) einbezogen. In einer E-Mail heißt es: "Seitens des BSI sind wir an einer starken politischen Flankierung durch das BMI interessiert." Das BSI untersteht zwar dem Innenministerium, könnte die Warnung aber auch eigenständig veröffentlichen. Schon im Protokoll der Leitungsrunde heißt es, dass "zwischen geopolitischer Lage/strategischer Positionierung und fachlichen Argumenten unterschieden werden" müsse.
Bei strategischer Positionierung sei "grundsätzlich das BMI miteinzubeziehen". Auf Anfrage von BR und "Spiegel", wie das BSI zu diesem Schluss kommt, heißt es: "Es ist ein üblicher Vorgang, dass die obersten Bundesbehörden in solchen Fällen mit hoher politischer Bedeutung (…) in den Entscheidungsprozess eingebunden werden." Andernfalls ließe sich eine "ganzheitliche und abgestimmte (Sicherheits-)Politik der Bundesregierung nicht gewährleisten."
Der Abteilungsleiter für Cybersicherheit im BMI lässt sich alle relevanten Dokumente zukommen, seine Referatsleiterin teilt dem BSI in einer Telefonkonferenz mit, dass die Begründung sich zu sehr auf die Vergangenheit beziehe. Die Begründung zur Warnung wird um einen zentralen Absatz ergänzt, in dem politisch argumentiert wird. Sämtliche Annahmen, die das BSI über Kaspersky getroffen habe, seien mit dem Krieg hinfällig. "Wir gehen jetzt davon aus, dass die russische Regierung jetzt keine Rücksicht mehr auf das internationale Geschäft und die Reputation von Kaspersky nehmen würde." Noch 2017 lobte das BSI die "vertrauensvolle Zusammenarbeit" mit Kaspersky, damals hatten die USA gewarnt.
Drei Stunden Frist
Damit ist die Warnung abgestimmt und kann veröffentlicht werden. Das BSI informiert Kaspersky am 14. März und gibt dem Unternehmen drei Stunden Zeit, zu reagieren. Von Kaspersky kommt keine Antwort.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und hat die Dokumente durchgesehen. Er kommt zum Schluss, dass das BSI "eindeutig vom Ergebnis her" gearbeitet habe. Das widerspreche dem Auftrag des BSI, "auf Grundlage wissenschaftlich-technischer Erkenntnisse" zu agieren, wie es in Paragraph 1 des BSI-Gesetzes heiße. Diese "Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann überlegt, wie kann ich es herleiten". Genau das sei aber passiert. Kipker zufolge wäre es besser gewesen, "allgemein vor russischen Produkten" zu warnen anstatt Kaspersky "als Exempel zu verwenden".
Das Bundesinnenministerium ließ eine Anfrage unbeantwortet.