Der Bayerische Rundfunk und der SPIEGEL haben eine Investigativrecherche zum Entscheidungsprozess des BSI in Bezug auf die Kaspersky-Warnung vom März veröffentlicht. Selbst ein IT-Sicherheitsrechtlers kommt zum Schluss, dass man zuerst das Ergebnis (die Warnung) festgelegt hat und danach die Argumente suchte in Zusammenarbeit mit dem Bundesinnenministerium.
Nach der Warnung vor russischer Kaspersky-Software Mitte März dieses Jahres folgten Stellungnahmen des BSI, offene Briefe von Eugene Kaspersky und diverse Gerichtsverhandlungen. Immer wieder versucht Kaspersky die Beweggründe des BSI für die Warnung zu widerlegen, scheiterte damit aber auch immer wieder vor Gericht. Viele Experten nannten die BSI-Warnung politisch motiviert, da sie sonst auf kein anderes Unternehmen zielte.
Bayrischer Rundfunk und Spiegel berichten
Wie vom Bayerischen Rundfunk (BR) zu erfahren ist, liegen der Redaktion knapp 370 Seiten vor, die einen Blick in das Innere des BSI erlauben und zeigen, wie schwer sich das für IT-Sicherheit zuständige Bundesamt mit der Entscheidungsfindung getan hat. Die Dokumente zeigen auch, dass politische Aspekte eine wichtige Rolle spielten und dass das Bundesinnenministerium stark eingebunden war. Der BR und der Spiegel stellen für die Recherche eine Anfrage nach dem Informationsfreiheitsgesetz und erhielten so die Dokumente.
Kaspersky hatte 3 Stunden Zeit zu antworten
Der BR berichtet weiter, dass das BSI die Warnung abstimmen wollte. Dazu informierte das BSI dann Kaspersky am 14. März und gab dem Unternehmen drei Stunden Zeit zu reagieren. Die E-Mail soll dann an zwei Funktionspostfächer (Gruppenmailbox) gegangen sein. Von Kaspersky kommt in der vorgegeben Zeit keine Reaktion, was aber auch nicht weiter verwunderlich ist.
Der BR der Spiegel haben die Unterlagen dem Bremer Professor für IT-Sicherheitsrecht Dennis-Kenji Kipker zur Bewertung vorgelegt. Seine Einschätzung: das BSI hat “eindeutig vom Ergebnis her” gearbeitet. Das widerspreche dem Auftrag des BSI, “auf Grundlage wissenschaftlich-technischer Erkenntnisse” zu agieren, wie es in Paragraph 1 des BSI-Gesetzes heiße. Diese “Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann überlegt, wie kann ich es herleiten”. Genau das sei aber passiert. Kipker zufolge wäre es besser gewesen, “allgemein vor russischen Produkten” zu warnen anstatt Kaspersky “als Exempel zu verwenden”.
Kasperskys Kommentar zum Inhalt der Reportagen
Kaspersky hat die Recherchen des BR und des Spiegel wohl mit ein wenig Genugtuung aufgenommen. Schließlich belegt die Auswertung die meisten Gegenargumente von Kaspersky und zeigt, wie man zu der Warnung gekommen ist. Vor allem die Aussage des IT-Sicherheitsrecht Dennis-Kenji Kipker ist sehr interessant: es wurde explizit vor Kaspersky gewarnt und nicht global vor russischer Software.
Hier nun die offizielle Stellungnahme von Kaspersky zur Investigativrecherche des Bayerischem Rundfunk und des SPIEGEL zum Entscheidungsprozess beim BSI in Bezug auf die Kaspersky-Warnung.
Die offizielle Stellungnahme
“Kaspersky schätzt die ausführliche Recherche und Bewertung des Bayerischen Rundfunks und des SPIEGEL zum Entscheidungsprozess des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bezüglich der Warnung vor Kaspersky. Das Unternehmen ist bestrebt, den langjährigen konstruktiven Dialog mit dem BSI fortzusetzen, um gemeinsam auf der Basis faktenbasierter Bewertungen für ein Höchstmaß an Cybersicherheit für unsere deutschen und europäischen Bürger sowie Unternehmen einzutreten.
Kaspersky begrüßt, dass die Medien von den Möglichkeiten des Bundesinformationsfreiheitsgesetzes Gebrauch gemacht haben, auf der Grundlage der 370 Seiten umfassenden BSI-Akten recherchiert und die Öffentlichkeit über ihre Erkenntnisse informiert haben. Zu den Recherchen gehört auch eine Analyse des renommierten IT-Sicherheitsrechtlers Prof. Kipker. Ihm zufolge ist aus den Akten ersichtlich, dass die Veröffentlichung der Warnung von Anfang an feststand und Gründe und Argumente für dieses erst danach zusammengetragen wurden. Auch das Bundesverfassungsgericht hatte festgestellt, dass die Rechtmäßigkeit der BSI-Abmahnung unklar ist und im Hauptsacheverfahren geklärt werden muss.
BSI wurde auch zu Tests und Audits eingeladen, lehnte aber ab
Den gleichen Eindruck gewann Kaspersky beim Studium der Akten für die Eilverfahren; technische Argumente und Fakten spielten keine Rolle. Kaspersky hat dem BSI seit Februar umfangreiche Informationsangebote gemacht und es zu Tests und Audits eingeladen. Auf keines dieser Angebote ist das BSI während der Warnung eingegangen.
Kaspersky ist überzeugt, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, die unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von höchster Bedeutung sind. Bereits 2017 kündigte das Unternehmen seine Globale Transparenzinitiative an und setzt seitdem als Vorreiter für Transparenz in der Cybersicherheitsbranche kontinuierlich konkrete Maßnahmen um, um seine Grundsätze der Vertrauenswürdigkeit, Integrität, des Risikomanagements und der internationalen Zusammenarbeit zu fördern.
Kaspersky versichert seinen Partnern und Kunden weiterhin die Qualität und Integrität seiner Produkte und ist bestrebt, mit dem BSI zusammenzuarbeiten, um dessen Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.”
Mehr bei Kaspersky.com Recherche beim BR.de Spiegel + S+ bei Spiegel.de