Recherche: Wie die BSI-Warnung zu Kaspersky zustande kam

Recherche: Wie die BSI-Warnung zu Kaspersky zustande kam

Beitrag teilen

Der Bayerische Rundfunk und der SPIEGEL haben eine Investigativrecherche zum Entscheidungsprozess des BSI in Bezug auf die Kaspersky-Warnung vom März veröffentlicht. Selbst ein IT-Sicherheitsrechtlers kommt zum Schluss, dass man zuerst das Ergebnis (die Warnung) festgelegt hat und danach die Argumente suchte in Zusammenarbeit mit dem Bundesinnenministerium.

Nach der Warnung vor russischer Kaspersky-Software Mitte März dieses Jahres folgten Stellungnahmen des BSI, offene Briefe von Eugene Kaspersky und diverse Gerichtsverhandlungen. Immer wieder versucht Kaspersky die Beweggründe des BSI für die Warnung zu widerlegen, scheiterte damit aber auch immer wieder vor Gericht. Viele Experten nannten die BSI-Warnung politisch motiviert, da sie sonst auf kein anderes Unternehmen zielte.

Bayrischer Rundfunk und Spiegel berichten

Wie vom Bayerischen Rundfunk (BR) zu erfahren ist, liegen der Redaktion knapp 370 Seiten vor, die einen Blick in das Innere des BSI erlauben und zeigen, wie schwer sich das für IT-Sicherheit zuständige Bundesamt mit der Entscheidungsfindung getan hat. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und dass das Bundesinnenministerium stark eingebunden war. Der BR und der Spiegel stellen für die Recherche eine Anfrage nach dem Informationsfreiheitsgesetz und erhielten so die Dokumente.

Kaspersky hatte 3 Stunden Zeit zu antworten

Der BR berichtet weiter, dass das BSI die Warnung abstimmen wollte. Dazu informierte das BSI dann Kaspersky am 14. März und gab dem Unternehmen drei Stunden Zeit zu reagieren. Die E-Mail soll dann an zwei Funktionspostfächer (Gruppenmailbox) gegangen sein. Von Kaspersky kommt in der vorgegeben Zeit keine Reaktion, was aber auch nicht weiter verwunderlich ist.

Der BR der Spiegel haben die Unterlagen dem Bremer Professor für IT-Sicherheitsrecht Dennis-Kenji Kipker zur Bewertung vorgelegt. Seine Einschätzung: das BSI hat „eindeutig vom Ergebnis her“ gearbeitet. Das widerspreche dem Auftrag des BSI, „auf Grundlage wissenschaftlich-technischer Erkenntnisse“ zu agieren, wie es in Paragraph 1 des BSI-Gesetzes heiße. Diese „Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann überlegt, wie kann ich es herleiten“. Genau das sei aber passiert. Kipker zufolge wäre es besser gewesen, „allgemein vor russischen Produkten“ zu warnen anstatt Kaspersky „als Exempel zu verwenden“.

Kasperskys Kommentar zum Inhalt der Reportagen

Kaspersky hat die Recherchen des BR und des Spiegel wohl mit ein wenig Genugtuung aufgenommen. Schließlich belegt die Auswertung die meisten Gegenargumente von Kaspersky und zeigt, wie man zu der Warnung gekommen ist. Vor allem die Aussage des IT-Sicherheitsrecht Dennis-Kenji Kipker ist sehr interessant: es wurde explizit vor Kaspersky gewarnt und nicht global vor russischer Software.

Hier nun die offizielle Stellungnahme von Kaspersky zur Investigativrecherche des Bayerischem Rundfunk und des SPIEGEL zum Entscheidungsprozess beim BSI in Bezug auf die Kaspersky-Warnung.

Die offizielle Stellungnahme

„Kaspersky schätzt die ausführliche Recherche und Bewertung des Bayerischen Rundfunks und des SPIEGEL zum Entscheidungsprozess des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Warnung vor Kaspersky. Das Unternehmen ist bestrebt, den langjährigen konstruktiven Dialog mit dem BSI fortzusetzen, um gemeinsam auf der Basis faktenbasierter Bewertungen für ein Höchstmaß an Cybersicherheit für unsere deutschen und europäischen Bürger sowie Unternehmen einzutreten.

Kaspersky begrüßt, dass die Medien von den Möglichkeiten des Bundesinformationsfreiheitsgesetzes Gebrauch gemacht haben, auf der Grundlage der 370 Seiten umfassenden BSI-Akten recherchiert und die Öffentlichkeit über ihre Erkenntnisse informiert haben. Zu den Recherchen gehört auch eine Analyse des renommierten IT-Sicherheitsrechtlers Prof. Kipker. Ihm zufolge ist aus den Akten ersichtlich, dass die Veröffentlichung der Warnung von Anfang an feststand und Gründe und Argumente für dieses erst danach zusammengetragen wurden. Auch das Bundesverfassungsgericht hatte festgestellt, dass die Rechtmäßigkeit der BSI-Abmahnung unklar ist und im Hauptsacheverfahren geklärt werden muss.

BSI wurde auch zu Tests und Audits eingeladen, lehnte aber ab

Den gleichen Eindruck gewann Kaspersky beim Studium der Akten für die Eilverfahren; technische Argumente und Fakten spielten keine Rolle. Kaspersky hat dem BSI seit Februar umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen. Auf keines dieser Angebote ist das BSI während der Warnung eingegangen.

Kaspersky ist überzeugt, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, die unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von höchster Bedeutung sind. Bereits 2017 kündigte das Unternehmen seine Globale Transparenzinitiative an und setzt seitdem als Vorreiter für Transparenz in der Cybersicherheitsbranche kontinuierlich konkrete Maßnahmen um, um seine Grundsätze der Vertrauenswürdigkeit, Integrität, des Risikomanagements und der internationalen Zusammenarbeit zu fördern.

Kaspersky versichert seinen Partnern und Kunden weiterhin die Qualität und Integrität seiner Produkte und ist bestrebt, mit dem BSI zusammenzuarbeiten, um dessen Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.“

Mehr bei Kaspersky.com Recherche beim BR.de Spiegel + S+ bei Spiegel.de

 

Passende Artikel zum Thema

FBI und CISA warnen vor MedusaLocker-Ransomware

Das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA), das Department of the Treasury und das ➡ Weiterlesen

BSI erneuert Warnung gegen Kaspersky auf Cybersicherheits-Konferenz

Das BSI liegt schon länger im Streit mit Kaspersky, da es bereits vor Monaten vor dem Einsatz der russischen Software ➡ Weiterlesen

Kaspersky vs. BSI: Bundesverfassungsgericht urteilt

Die Klage von Kaspersky gegen das BSI und seine Warnung gegenüber Kaspersky-Produkten und Services geht wohl bald in eine neue ➡ Weiterlesen

FBI, CISA und NSA warnen vor Hacker-Angriffen auf MSPs

Mitglieder der Geheimdienstallianz Five Eyes (FVEY) haben Managed Service Provider (MSP) und ihre Kunden davor gewarnt, dass sie zunehmend Angriffen ➡ Weiterlesen

Kaspersky vs. BSI: Oberverwaltungsgerichts bestätigt „Warnung war rechtmäßig“

Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware des Unternehmens Kaspersky ist rechtmäßig. ➡ Weiterlesen

Malware zielt auf industrielle Steuerungssysteme

Experten von Tenable warnen vor Übernahme von Zugangsdaten: Warnung vor Angriffen auf industrielle Steuerungssysteme mit moderner Malware. Als Reaktion auf ➡ Weiterlesen

Gericht urteilt: BSI-Warnung vor Kaspersky ist rechtens

Das Verwaltungsgericht Köln hat entschieden: Das Bundesamt für Sicherheit in der Informationstechnik - BSI - darf vor Virenschutzsoftware der Firma Kaspersky ➡ Weiterlesen

Neuer Schlag für Kaspersky – auf FCC-Verbotsliste

Nachdem Mitte März 2022 das BSI - Bundesamt für Sicherheit in der Informationstechnik (BSI) §7 BSI-Gesetz vor dem Einsatz der ➡ Weiterlesen