Das BSI warnt vor Kaspersky: Was das bedeutet und welche Alternativen es gibt

Als Video ansehen
Bereitgestellt über YouTube

Das BSI warnt vor Kaspersky: Was das bedeutet und welche Alternativen es gibt

Am gestrigen Dienstag hat das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) eine Warnmeldung vor Kaspersky herausgegeben. Es wird empfohlen, den russischen Virenschutz von Kaspersky gegen andere Produkte In diesem Beitrag prüfen wir, wovor das BSI konkret warnt, ob diese Szenarien realistisch sind und was ihr nun tun solltet.

Warum das BSI vor Kaspersky warnt

Hintergrund ist – ihr ahnt es sicherlich bereits – der Krieg in der Ukraine: Deutschland und andere Länder sanktionieren Russland auf verschiedene Arten. Beispielsweise ziehen sich Geschäfte aus dem russischen Markt zurück oder es gibt Import/Exportverbote. Insgesamt laufen derzeit tausende Sanktionen. Russland reagiert wiederum mit Drohungen. Aufgrund dieser Konfliktsituation sieht das BSI ein erhebliches Risiko für einen Angriff gegen deutsche IT-Systeme. So weit nichts neues, das habe ich schon in einem eigenen Beitrag zur Lage des „Cyberkriegs“ im Internet erwähnt. Doch was hat Kaspersky damit zutun?

Das Unternehmen sitzt in Russland und ist für Virenschutzsoftware bekannt. Virenscanner sind vom Konzept her grundsätzlich umstritten, aber das würde hier den Rahmen sprengen – dazu werde ich mal noch einen eigenen Beitrag machen. Unumstritten ist:

Virenprogramme laufen mit höchsten Rechten. Sie haben Vollzugriff auf den gesamten Computer, sowohl lesend als auch schreibend, um Schadsoftware überall finden und entfernen zu können – also ein ideales Ziel für Angreifer: Wer den Virenscanner kontrolliert, kann Schadsoftware installieren, den Computer für kriminelle Aktivitäten missbrauchen, Daten stehlen oder manipulieren. Beispielsweise über ein Update des Virenprogramms. Dies könnte Schadsoftware, Das fällt zunächst auch nicht auf, da solche Programme gerne automatisch Aktualisierungen einspielen oder sogar selbstständig Daten in irgendwelche Clouds laden. Das ist keine Besonderheit von Kaspersky, sondern ein grundsätzliches Problem hinter dem Konzept solcher Antivirenprogramme.

Das Problem, welches das BSI hier sieht ist allerdings: Als Russisches Unternehmen könnte Kaspersky theoretisch die eigene Regierung unterstützen und Schaden anrichten. Auch unabsichtlich, etwa wenn die russische Regierung das Unternehmen zwingt oder deren Infrastruktur kompromittiert.

Grundsätzlich können alle Nutzer davon betroffen sein. Besonders gefährdet sieht das BSI kritische Infrastrukturen. Das alles sind nur präventive Warnungen vor mögliche Szenarien. Es gibt derzeit keine ernsten Hinweise, dass Kaspersky tatsächlich plant, seine Produkte zu missbrauchen.

Was sagt Kaspersky zu den Vorwürfen?

Wie immer sollte man sich auch die andere Seite anhören – die hat durchaus eine Überraschung parat. Kaspersky hat bereits in einer Pressemitteilung reagiert. Sie sehen keine technische Grundlage hinter der Entscheidung sondern politische Motivation. Man möchte weiter mit dem BSI zusammen arbeiten, aufklären und Bedenken ausräumen, da Kaspersky keine Verbindung zur russischen oder einer anderen Regierung habe. Angesichts einer guten Zusammenarbeit mit dem BSI in den Jahren davor, in denen Kaspersky teils sogar russische Kampagnen als erster erkannte, scheint das nicht aus der Luft gegriffen. Allerdings befand sich Russland damals im Jahre 2017 auch noch nicht im Krieg.

Weiter verurteilt Kaspersky den Krieg und sieht den friedlichen Dialog als das einzige Mittel zur Lösung von Konflikten. Das ist mutig, denn wie ihr wahrscheinlich bereits erfahren habt, werden Demonstranten und Kriegsgegner festgenommen – es kommt immer wieder zu hunderten bis tausenden Festnahmen. Bereits den Konflikt als „Krieg“ zu bezeichnen ist verboten.

Das Unternehmen weist darauf hin, dass man seine Infrastruktur bereits seit 2018 in die Schweiz verlagert hat und deren Sicherheit von unabhängigen Stellen geprüft wurde – etwa per ISO27001 Zertifizierung. Außerdem bietet man den Kunden zahlreiche Mittel zur Transparenz an: Einsicht in die internen Dokumentationen, den Quellcode und der Viren-Datenbank, Rebuilds und externe Audits.

Damit geht Kaspersky bereits ziemlich weit. Mit Rebuilds kann man beispielsweise prüfen, ob der gebaute Code (die Binary) den man sich installiert auch tatsächlich mit dem Code überein stimmt. Theoretisch könnte Kaspersky ja kurz bevor man sich den Code anschaut manipulieren und Teile verstecken, damit man glaubt alles sei in Ordnung – und in der Anwendung sind trotzdem Hintertüren oder andere unerwünschte Dinge enthalten. Wenn Kaspersky dieses Angebot ernst meint und man das als Kunde in Anspruch nimmt, kann man sich ziemlich sicher sein, dass der Hersteller keine bewusste Manipulation betreibt.

Die Alternativen und deren Probleme

In der Praxis ist das ein größerer Aufwand, den man regelmäßig bei jedem Update neu betreiben müsste – das scheuen viele. Fairer weise muss man auch dazu sagen, dass zumindest privat der Aufwand unverhältnismäßig hoch ist. Selbst wenn man Kaspersky glaubt, Russland nicht freiwillig zu unterstützen: Das theoretische Risiko eines ungewollten Missbrauches durch die Regierung bleibt. Daran ändert auch die Migration der Infrastruktur in die Schweiz nichts, so lange sich dort nicht auch der Unternehmenssitz befindet – ansonsten ist das eher eine Nebelkerze, die auch von Cloudanbietern gerne genutzt wird.

Es scheint einfacher, ein Virenprogramm aus einem anderen Land zu nutzen und dem schlichtweg zu vertrauen. Aber auch in anderen Ländern versucht der Staat, Einfluss auf private Unternehmen in seinem Interesse zu nehmen. Durch die Snowden-Leaks ist dies in den USA gut dokumentiert: 2013 standen der NSA 3-Stellige Millionenbeiträge zur Verfügung, um Schwachstellen in kommerzielle IT-Systeme, Netzwerke und sonstige Kommunikationsgeräte einzubauen. Auch auf Politik und Standards nimmt man gezielt Einfluss.

Quelle: Snowden-Dokumente – New York Times

Und das sind keine abstrakten Theorien: RSA Security, ein Unternehmen für IT-Sicherheit, machte ihre Produkte auf Verlangen der US-Regierung unsicherer. Dafür erhielt das Unternehmen 10 Millionen US-Dollar vom Geheimdienst.

Der Frankfurter Flughafen wurde bereits vor Jahren Opfer der US-Spionage: Er kaufte Überwachungssysteme von einer deutschen Scheinfirma, die manipulierte Kameras mit Hintertür an lohnenswerte Ziele verkaufte. Viele Konzerne kauften die Wanzen als vermeintliche Sicherheitsprodukte, darunter unter anderem VW, die Deutsche Bank, Telekom, öffentliche Einrichtungen und der Deutsche Antivirensoftwarehersteller Avira.

Das sind nur einige Beispiele, bei denen man sich die Frage stellen muss: Sind die USA grundsätzlich vertrauenswürdiger? Wobei diese grundsätzliche Überlegung natürlich auch für andere Software, Unternehmen und Länder gilt: ESET beispielsweise sitzt in der Slovakei. Schon die Übersicht auf Reporter ohne Grenzen ließt sich – zumindest für meinen Geschmack – nicht gerade vertrauenserweckend.

Natürlich kann man argumentieren, dass Russlands Angriffskrieg derzeit schwerwiegender ist und daher zu solchen Anbietern wechseln. Dabei sollte einem aber bewusst sein: Es gibt kein Schwarz-Weiß Denken und dadurch werden nicht alle Probleme automatisch gelöst.

Fazit: Was sollte man tun? Welche Alternativen nutzen?

Auch wenn es derzeit keine konkreten Hinweise dafür gibt, sind die Szenarien vor denen das BSI warnt nicht aus der Luft gegriffen. Wer grundsätzlich ein Antivirenprogramm nutzen möchte, Kaspersky bzw. Russland nicht traut und aus diesen Gründen aber auch nicht zum nächsten ausländischen Anbieter wechseln möchte, der kann – neben deutschen Unternehmen – als Alternative über den Windows Defender nachdenken. Auch der ist nicht perfekt, aber durch seine Integration von Microsoft ist er zumindest in der Theorie weniger anfällig für manche Probleme – etwa jene, die durch Windows Updates entstehen. Laut externen Tests soll die Erkennungsrate nicht schlechter sein wie bei der Konkurrenz. Grundsätzlich muss sich aber jeder selbst überlegen, wem und was er vertraut.

Leave a Reply