Recherche: Wie die BSI-Warnung zu Kaspersky zustande kam

Recherche: Wie die BSI-Warnung zu Kaspersky zustande kam

Beitrag teilen

Der Bayerische Rundfunk und der SPIEGEL haben eine Investigativrecherche zum Entscheidungsprozess des BSI in Bezug auf die Kaspersky-Warnung vom März veröffentlicht. Selbst ein IT-Sicherheitsrechtlers kommt zum Schluss, dass man zuerst das Ergebnis (die Warnung) festgelegt hat und danach die Argumente suchte in Zusammenarbeit mit dem Bundesinnenministerium.

Nach der Warnung vor russischer Kaspersky-Software Mitte März dieses Jahres folgten Stellungnahmen des BSI, offene Briefe von Eugene Kaspersky und diverse Gerichtsverhandlungen. Immer wieder versucht Kaspersky die Beweggründe des BSI für die Warnung zu widerlegen, scheiterte damit aber auch immer wieder vor Gericht. Viele Experten nannten die BSI-Warnung politisch motiviert, da sie sonst auf kein anderes Unternehmen zielte.

Bayrischer Rundfunk und Spiegel berichten

Wie vom Bayerischen Rundfunk (BR) zu erfahren ist, liegen der Redaktion knapp 370 Seiten vor, die einen Blick in das Innere des BSI erlauben und zeigen, wie schwer sich das für IT-Sicherheit zuständige Bundesamt mit der Entscheidungsfindung getan hat. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und dass das Bundesinnenministerium stark eingebunden war. Der BR und der Spiegel stellen für die Recherche eine Anfrage nach dem Informationsfreiheitsgesetz und erhielten so die Dokumente.

Kaspersky hatte 3 Stunden Zeit zu antworten

Der BR berichtet weiter, dass das BSI die Warnung abstimmen wollte. Dazu informierte das BSI dann Kaspersky am 14. März und gab dem Unternehmen drei Stunden Zeit zu reagieren. Die E-Mail soll dann an zwei Funktionspostfächer (Gruppenmailbox) gegangen sein. Von Kaspersky kommt in der vorgegeben Zeit keine Reaktion, was aber auch nicht weiter verwunderlich ist.

Der BR der Spiegel haben die Unterlagen dem Bremer Professor für IT-Sicherheitsrecht Dennis-Kenji Kipker zur Bewertung vorgelegt. Seine Einschätzung: das BSI hat „eindeutig vom Ergebnis her“ gearbeitet. Das widerspreche dem Auftrag des BSI, „auf Grundlage wissenschaftlich-technischer Erkenntnisse“ zu agieren, wie es in Paragraph 1 des BSI-Gesetzes heiße. Diese „Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann überlegt, wie kann ich es herleiten“. Genau das sei aber passiert. Kipker zufolge wäre es besser gewesen, „allgemein vor russischen Produkten“ zu warnen anstatt Kaspersky „als Exempel zu verwenden“.

Kasperskys Kommentar zum Inhalt der Reportagen

Kaspersky hat die Recherchen des BR und des Spiegel wohl mit ein wenig Genugtuung aufgenommen. Schließlich belegt die Auswertung die meisten Gegenargumente von Kaspersky und zeigt, wie man zu der Warnung gekommen ist. Vor allem die Aussage des IT-Sicherheitsrecht Dennis-Kenji Kipker ist sehr interessant: es wurde explizit vor Kaspersky gewarnt und nicht global vor russischer Software.

Hier nun die offizielle Stellungnahme von Kaspersky zur Investigativrecherche des Bayerischem Rundfunk und des SPIEGEL zum Entscheidungsprozess beim BSI in Bezug auf die Kaspersky-Warnung.

Die offizielle Stellungnahme

„Kaspersky schätzt die ausführliche Recherche und Bewertung des Bayerischen Rundfunks und des SPIEGEL zum Entscheidungsprozess des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Warnung vor Kaspersky. Das Unternehmen ist bestrebt, den langjährigen konstruktiven Dialog mit dem BSI fortzusetzen, um gemeinsam auf der Basis faktenbasierter Bewertungen für ein Höchstmaß an Cybersicherheit für unsere deutschen und europäischen Bürger sowie Unternehmen einzutreten.

Kaspersky begrüßt, dass die Medien von den Möglichkeiten des Bundesinformationsfreiheitsgesetzes Gebrauch gemacht haben, auf der Grundlage der 370 Seiten umfassenden BSI-Akten recherchiert und die Öffentlichkeit über ihre Erkenntnisse informiert haben. Zu den Recherchen gehört auch eine Analyse des renommierten IT-Sicherheitsrechtlers Prof. Kipker. Ihm zufolge ist aus den Akten ersichtlich, dass die Veröffentlichung der Warnung von Anfang an feststand und Gründe und Argumente für dieses erst danach zusammengetragen wurden. Auch das Bundesverfassungsgericht hatte festgestellt, dass die Rechtmäßigkeit der BSI-Abmahnung unklar ist und im Hauptsacheverfahren geklärt werden muss.

BSI wurde auch zu Tests und Audits eingeladen, lehnte aber ab

Den gleichen Eindruck gewann Kaspersky beim Studium der Akten für die Eilverfahren; technische Argumente und Fakten spielten keine Rolle. Kaspersky hat dem BSI seit Februar umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen. Auf keines dieser Angebote ist das BSI während der Warnung eingegangen.

Kaspersky ist überzeugt, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, die unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von höchster Bedeutung sind. Bereits 2017 kündigte das Unternehmen seine Globale Transparenzinitiative an und setzt seitdem als Vorreiter für Transparenz in der Cybersicherheitsbranche kontinuierlich konkrete Maßnahmen um, um seine Grundsätze der Vertrauenswürdigkeit, Integrität, des Risikomanagements und der internationalen Zusammenarbeit zu fördern.

Kaspersky versichert seinen Partnern und Kunden weiterhin die Qualität und Integrität seiner Produkte und ist bestrebt, mit dem BSI zusammenzuarbeiten, um dessen Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.“

Mehr bei Kaspersky.com Recherche beim BR.de Spiegel + S+ bei Spiegel.de

 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

BSI: Brute-Force-Angriffe gegen Citrix Netscaler Gateways

Aktuell werden dem BSI verstärkt Brute-Force-Angriffe gegen Citrix Netscaler Gateways aus verschiedenen KRITIS-Sektoren sowie von internationalen Partnern gemeldet. Die aktuellen ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Analyse von BSI gelisteter APT-Gruppe Earth Estries

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries, auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286, ➡ Weiterlesen