Donnerstag, 17. März 2022

Das BSI warnt vor dem Einsatz von Software des russischen IT-Sicherheitsunternehmens "Kaspersky" - was nun?

Das BSI warnt vor dem Einsatz von Software des russischen IT-Sicherheitsunternehmens "Kaspersky" - was nun? 

Drei Wochen nach Beginne des Krieges in der Ukraine warnt das BSI als deutsche "Cybersicherheitsbehörde" vor Kaspersky Produkten. 

Was tun, wenn Kaspersky eingesetzt wird?




Diese Warnung und die Implikationen für Verantwortliche sind allerdings grundlegend andere im Vergleich zu bisherigen Alarmrufen der Behörde. 


Bei den Ereignissen rundum Hafnium oder auch Log4j lagen jeweils ein oder mehrere Sicherheitslücken in weitverbreiteter Software vor. Zu Kaspersky liegen zum Zeitpunkt der Warnung keine neuen Erkenntnisse vor: 

Die (gute) technische Bewertung hat sich aufgrund des Kriegs NICHT geändert. 

Die rechtliche Situation hat sich aufgrund des Kriegs (unseres Wissens nach) NICHT geändert. 

Was sich VIELLEICHT geändert hat, aufgrund des Kriegs ist die Einschätzung, ob mit in Russland beheimateten Unternehmen eine vertrauensvolle wirtschaftliche Zusammenarbeit (zurzeit) möglich ist.

Damit ist die Warnung des BSIs in erster Linie politisch motiviert - im Gegensatz zu Hafnium und Log4j.

Die technischen und rechtlichen Gründe für die Warnung sind bekannt, valide und sind grundsätzlich auf andere Konstellationen anwendbar - mit und ohne russische Software.

Zur technischen Bewertung - damit Antivirensoftware funktionieren kann, muss sie über weitreichende Systemberechtigungen verfügen und muss eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu den Servern des Herstellers unterhalten, damit die Antivirensoftware aktuell gehalten werden kann. Es gilt: Eine nicht aktuelle Antivirensoftware ist schlichtweg kaputt. Jedwede Antivirensoftware, die das tun will, was sie soll, ist de-facto (auch) eine verschlüsselte und privilegierte Hintertür in das IT-System, das die Software schützen will. Anders formuliert: Wer sich mit Antivirensoftware schützen will, macht sich auf anderer Ebene angreifbar. Wenn man sich also für den Einsatz von Antivirensoftware entscheidet, sollte man sich einen Dienstleister ins Haus holen, dem man vertrauen kann.

Ob man einem Lieferanten trauen kann, hängt nicht nur von Qualitäten ab, die der Lieferant selbst bestimmen kann, sondern auch vom Rechtssystem, in dem er operiert. Und hier kommen wir zur rechtlichen Bewertung: Es geht im Kern darum, dass ein IT-Lieferant gegen seinen Willen gezwungen werden kann, die Systeme seiner eigenen Kunden zu kompromittieren. 

Wenn ein Lieferant in einem solchen Rechtssystem operiert, dann sollte es dem Verantwortlichen deutlich schwerer fallen, Vertrauen aufzubauen. In Russland (aber eben auch in China und den USA) sind einheimische Unternehmen und Staatsangehörige verpflichtet, mit Geheimdiensten zusammenzuarbeiten. Bei international tätigen Unternehmen gilt das auch für jene Teile der Unternehmensgruppe, die nicht in Russland ansässig sind. Erschwerend kommt hinzu, dass in Russland (aber auch China) die Nachrichtendienste den nationalen Kommunikationsraum beinahe vollständig beherrschen, so zumindest die Einschätzung von Prof. Alexander Roßnagel et. al. im Artikel "Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit". Dieser Beitrag erschien im März 2022 in der Zeitschrift "Datenschutz und Datensicherheit" und nimmt noch keinen Bezug auf den Krieg in der Ukraine. Dort gibt es auch eine Übersicht über konkrete Gesetze, die es den Geheimdiensten ermöglichen, tätig zu werden. Hier sei nur auf die russischen Gesetze "Über den Bundessicherheitsdienst“ und „Über den Auslandsnachrichtendienst“ verwiesen. 

Um es nochmals deutlich zu sagen: Auch die USA haben vergleichbare Gesetze. Wir glauben trotzdem, dass man aus einer rechtlichen Perspektive Lieferanten aus den USA "mehr trauen kann" im Vergleich zu Lieferanten aus Russland (oder China). Warum?

1. In den USA haben die Geheimdienste einen geringeren Einfluss auf das staatliche Handeln und die Gesellschaft, u.a. weil es funktionierende rechtliche wie zivilgesellschaftliche Schranken für geheimdienstliche "Allmachtsfantasien" gibt. Dass es diese Allmachtsfantasien gibt, ist bekannt, hier sei nur kurz an die von der NSA formuliert Zielsetzung "owning the internet" erinnert, die bezeichnenderweise durch einen Akteur aus der Zivilgesellschaft bekannt wurde.

2. Lieferanten aus den USA haben die rechtlichen Mittel, sich gegen das Handeln der Geheimdienste zu wehren. Nicht alle tun das - auch wenn alle Dienstleister erkannt haben sollten, dass es nicht im Interesse ihre Kunden ist, wahllos Geheimdiensttätigkeiten zu fördern. Als Beispiel sei hier Microsoft angeführt. Microsoft sichert vertraglich zu, Anfragen von Geheimdiensten zurückzuweisen mit der Bitte, sich direkt an den Verantwortlichen zu wenden und falls das nicht möglich ist, gerichtlich gegen den Bescheid vorzugehen (sozusagen für den von der Anfrage betroffenen Kunden). Dieses Vorgehen lässt übrigens auch Rückschlüsse darauf zu, wie häufig (oder selten) solche Anfragen sind.

Beide Argumente lassen sich zusammenfassen als: Es ist gerechtfertigt US-amerikanischen Unternehmen mehr zu vertrauen als anderen Nicht-EU Unternehmen, weil sie Regelungen eines funktionierenden Rechtstaats unterworfen sind, der auf dem Papier (Gesetzestext) und im staatlichen Handeln mehr individuelle Freiheitsrechte umsetzt als Russland oder China. Der Unterscheid zwischen den USA und Russland ist nicht die Gesetzeslage, sondern das Rechtssystem.

Doch zurück zu Kaspersky: Was soll der Verantwortliche tun? Das BSI sagt: "Jeder Anwender von Kaspersky-Software muss selbst eine Risikoeinschätzung vornehmen - die können wir ihm nicht abnehmen". Dem können wir uns anschließen. Was die Risikoeinschätzung so schwer macht, ist, dass sie nicht auf harten Fakten beruht - sondern letztlich zu einer "Vertrauenseinschätzung" mutiert. Stand heute: Kaspersky hat sich Nichts zu Schulden kommen lassen. Außer, dass es ein russisches Unternehmen ist. Anfang Februar war diese Nachricht dem BSI keine Warnung wert.

Radikaler als eine Vertrauenseinschätzung zu Gunsten oder zu Ungunsten von Kaspersky oder irgendeinem anderen Antivirenanbieter ist der Ansatz, keine Antivirensoftware einzusetzen - damit werden zumindest die technischen Probleme dieser Situation umgangen. Solche Entscheidungen aber bitte nicht ohne vorherige und gründliche Risikoeinschätzung  treffen - ausnahmsweise basierend auf Fakten.


Wir unterstützen Sie gerne bei weiteren Fragen!