Dans un récent rapport, Kaspersky demande au BSI d'adapter l'avertissement du 15 mars 2022 ou de le retirer complètement. A cette époque, le BSI mettait en garde contre l'utilisation des solutions Kaspersky. Depuis, Kaspersky a mis de nombreuses informations à la disposition du BSI, qui n'ont pas encore été prises en compte.
Le 15 mars 2022, le BSI a publié un avertissement concernant le logiciel antivirus Kaspersky. Cet avertissement est juridiquement et techniquement controversé. À ce jour, le BSI n'a pas été en mesure d'identifier de failles de sécurité dans le logiciel AV dans l'avertissement ou à la suite de celui-ci. Il n'a pas non plus fourni de preuves suffisantes d'une menace de cybersécurité. D'après les fichiers originaux du BSI, qui ont été rendus publics par une demande en vertu de la loi sur la liberté d'information (IFG) par Bayerischer Rundfunk, le processus de discussion au sein du BSI devient transparent et il est également clair que l'avertissement a été publié sur la base de considérations géopolitiques. Kaspersky est une entreprise éthique, responsable, indépendante et transparente et a maintenant subi des dommages considérables sur le plan de la réputation et de l'économie à la suite de cet avertissement.
Demande au BSI
Le rôle du BSI a également été débattu et commenté publiquement. De nombreux médias, tels que Netzpolitik.org, Deutschlandfunk, Golem.de, Stern ou WirtschaftsWoche évoquent les différentes normes appliquées chez Kaspersky. D'un point de vue juridique, Prof. Dr. Kipker, spécialiste du droit de l'informatique et du droit de la sécurité informatique, arrive à une conclusion : "Ce dont nous n'avons pas besoin, cependant, ce sont des organes étatiques opérant clandestinement qui prennent des décisions politiques avec des effets juridiques considérables sous le couvert de la cybersécurité, et affectent ainsi à la fois les citoyens et les entreprises de notre pays et ainsi nuire non seulement à la réputation du BSI, mais à la cybersécurité dans son ensemble." (1).
Dans ce contexte, Kaspersky souligne les faits suivants et appelle le BSI à remplir son obligation légale :
- Malgré de nombreuses demandes von Kaspersky, le BSI n'a toujours pas donné de justifications factuelles pour l'avertissement et son maintien au cours des sept derniers mois qui seraient appropriées pour prouver le respect des exigences factuelles pour l'avertissement avec une sécurité juridique.
- Le dossier IGF, que le BSI a remis à Bayerischer Rundfunk et que le BSI a également remis à l'entreprise quatre semaines après la demande de Kaspersky à l'IFG, documente de nombreuses hypothèses et déclarations du BSI qui se sont révélées par la suite incorrectes. Kaspersky souligne que le BSI n'a jusqu'à présent ni ajusté l'avertissement ni informé le public et ne semble donc pas remplir ses obligations immédiates en vertu de la loi BSI.
- Selon § 7 paragraphe 2 phrase 2 BSIG doit informer immédiatement le BSI si les informations fournies au public se révèlent par la suite incorrectes ou si les circonstances sous-jacentes sont signalées comme incorrectes. C'est sans doute le cas ici. D'une part, Kaspersky a fourni au BSI de nombreuses informations sur les mesures techniques et organisationnelles prises depuis février 2022 et a invité l'autorité à vérifier le code source de Kaspersky AV et à vérifier les processus de développement et de distribution du logiciel. D'autre part, Kaspersky a informé le BSI de manière exhaustive sur les certifications et les audits selon les normes internationales reconnues par le BSI et a déjà proposé le 15 mars 2022 de développer un cadre technique et organisationnel qui éliminerait les préoccupations du BSI. Le BSI n'a réagi à aucune de ces suggestions et mesures depuis de nombreux mois. La première rencontre entre le BSI et Kaspersky n'a eu lieu que fin août. Cette discussion se poursuit, bien que Kaspersky souhaite que le BSI agisse beaucoup plus rapidement.
- Près de sept mois après l'avertissement, il n'y a eu aucun cyberincident impliquant le logiciel Kaspersky. L'évaluation du BSI du 14.03.2022 mars XNUMX selon laquelle il y avait un danger imminent s'est avérée rétrospectivement erronée.
- Kaspersky s'était basé sur le Freedom of Information Act (IFG) a demandé l'accès aux informations, "quelles mesures de sécurité/propriétés/critères pour assurer une sécurité suffisante via les produits Kaspersky manquaient ou ont exprimé positivement quelles mesures de sécurité Kaspersky doit mettre en œuvre pour qu'elles soient considérées comme suffisantes par le BSI dans la situation actuelle". réponse Kaspersky ne l'a pas reçu à ce jour.
- Arne Schönbohm, président du BSI dans son rôle de chef de l'agence, fait des déclarations qui ne sont pas vraies et pour lesquelles il n'y a ni base technique ni base juridique. C'est comme ça que c'est arrivé dans son discours du 23 juin 2022 à la Conférence de Potsdam sur la cybersécurité nationale 2022 Sur quoi il a déclaré: "Quiconque continue d'utiliser le logiciel antivirus Kaspersky, par exemple dans des infrastructures critiques ou dans les parlements des États, agit avec négligence.", et "Kaspersky est une menace pour la sécurité nationale".
Constanze Kurz de Netzpolitik.org et porte-parole du Chaos Computer Club demande dans son commentaire du 10 octobre 2022 : « Nous avons besoin de faits fiables du BSI, d'évaluations fondées et d'idées stratégiques sur les questions de sécurité informatique. » Kaspersky n'a rien à ajouter à cela.
"Kaspersky a fourni au BSI des informations détaillées depuis février, a invité le BSI à des évaluations techniques et organisationnelles et a toujours poursuivi de manière constructive l'objectif de renforcer la cybersécurité et la résilience en Allemagne et en Europe, qui est également la tâche du BSI. Indépendamment de son avis juridique selon lequel l'avertissement était illégal et techniquement inapproprié, Kaspersky travaille toujours avec la plus haute priorité pour fournir au BSI toutes les informations afin que le BSI puisse ajuster ou retirer l'avertissement sur la base de ces informations. Kaspersky a nommé de manière constructive et exhaustive toutes les mesures qui tiennent pleinement compte des intérêts légitimes de cybersécurité de la République fédérale d'Allemagne, répondent au mieux aux exigences légales du BSIG et qui renforcent réellement la cybersécurité et la résilience en Allemagne et en Europe. », ont déclaré Jochen Michels, responsable des affaires publiques pour l'Europe chez Kaspersky, et Marco Preuss, directeur adjoint, équipe mondiale de recherche et d'analyse chez Kaspersky.
(1) Le La question de savoir si l'avertissement du BSI contre Kaspersky est illégal ou légal n'a pas encore été clarifiée de manière concluante (Arrêt de la Cour constitutionnelle fédérale du 10 juin 2022).
Plus sur Kaspersky.de
À propos de Kaspersky Kaspersky est une société internationale de cybersécurité fondée en 1997. L'expertise approfondie de Kaspersky en matière de renseignements sur les menaces et de sécurité sert de base à des solutions et des services de sécurité innovants pour protéger les entreprises, les infrastructures critiques, les gouvernements et les consommateurs du monde entier. Le portefeuille de sécurité complet de la société comprend une protection des terminaux de pointe et une gamme de solutions et de services de sécurité spécialisés pour se défendre contre les cybermenaces complexes et évolutives. Plus de 400 millions d'utilisateurs et 250.000 XNUMX entreprises clientes sont protégées par les technologies Kaspersky. Plus d'informations sur Kaspersky sur www.kaspersky.com/
Articles liés au sujet
Plus sur Sophos.com