Kaspersky fordert das BSI auf, die Warnung vom 15.3. anzupassen oder zurückzuziehen

Das BSI warnte vor dem Einsatz von Kaspersky-Lösungen. Seitdem haben wir dem BSI umfangreiche Informationen zur Verfügung gestellt, welche aber bis heute nicht berücksichtigt wurden.

Am 15. März 2022 veröffentlichte das BSI eine Warnung vor der Antivirensoftware von Kaspersky. Diese Warnung ist rechtlich und fachlich umstritten. Das BSI hat in der Warnung oder in derem Nachgang bis heute keine Sicherheitslücke in der AV-Software aufzeigen können. Es wurden auch keine ausreichenden Beweise für eine Bedrohung der Cybersicherheit aufgezeigt. Aus den Originalakten des BSI, die durch einen Antrag nach Informationsfreiheitsgesetz (IFG) des Bayerischen Rundfunk öffentlich gemacht wurden, wird der Diskussionsprozess im BSI transparent und zudem deutlich, dass die Warnung auf Basis geopolitischer Überlegungen veröffentlicht wurde. Kaspersky ist ein ethisch agierendes, verantwortungsbewusstes, unabhängiges und transparentes Unternehmen und hat durch diese Warnung inzwischen erheblichen Reputations- und wirtschaftlichen Schaden erlitten. 

Die Rolle des BSI wurde auch öffentlich diskutiert und kommentiert. Netzpolitik.org schreibt: „Technisch ist das [die Warnung vor Kaspersky-AV-Software, Anm.] schwerlich zu begründen, die Warnungen konnten daher nur als politische Wertung verstanden werden.“ Deutschlandfunk, Golem.de, stern und WirtschaftsWoche diskutieren die unterschiedlichen Maßstäbe, die an Kaspersky oder andere Softwareanbieter angelegt wurden – möglicherweise aus Angst vor weiteren Klagen. Aus juristischer Sicht kommt Prof. Dr. Kipker, der sich auf IT-Recht und IT-Sicherheitsrecht spezialisiert hat, zu einem Schluss: „Was wir jedoch nicht brauchen können, sind klandestin operierende Staatsorgane, die unter dem Deckmantel der Cybersicherheit politische Entscheidungen mit erheblichen Rechtswirkungen treffen und dadurch sowohl Bürger wie Unternehmen in unserem Land verunsichern und so nicht nur dem Ruf des BSI, sondern der Cybersicherheit im Ganzen schaden.“

Vor diesem Hintergrund weist Kaspersky auf die nachfolgenden Tatsachen hin und fordert das BSI auf, seiner gesetzlichen Verpflichtung gerecht zu werden: 

  • Trotz zahlreicher Anfragen von Kaspersky hat das BSI in den vergangenen sieben Monaten immer noch keine sachlichen Begründungen für die Warnung und deren Aufrechterhaltung gegeben, die geeignet wären, die Erfüllung der sachlichen Voraussetzungen für die Warnung rechtssicher nachzuweisen. 
  • Die IFG-Akte, die das BSI dem Bayerischen Rundfunk übergeben hat und die das BSI vier Wochen nach Kasperskys IFG-Anfrage auch dem Unternehmen übergeben hat, dokumentiert zahlreiche Annahmen und Aussagen des BSI, die sich im Nachhinein als falsch herausgestellt haben. Kaspersky weist darauf hin, dass das BSI bisher weder die Warnung angepasst, noch die Öffentlichkeit informiert hat und damit seinen unmittelbaren Pflichten aus dem BSI-Gesetz nicht nachzukommen scheint. 
  • Nach § 7 Abs. 2 Satz 2 BSIG hat das BSI unverzüglich zu informieren, wenn sich die der Öffentlichkeit erteilten Informationen nachträglich als unrichtig herausstellen oder die zugrunde liegenden Umstände als unzutreffend gemeldet werden. Dies ist hier zweifelsohne der Fall. Einerseits hat Kaspersky dem BSI seit Februar 2022 zahlreiche Informationen über die getroffenen technischen und organisatorischen Maßnahmen zur Verfügung gestellt und die Behörde eingeladen, den Quellcode der Kaspersky-AV zu prüfen und die Softwareentwicklungs- und -verteilungsprozesse zu prüfen. Andererseits informierte Kaspersky das BSI umfassend über Zertifizierungen und Audits nach den vom BSI anerkannten internationalen Standards und schlug bereits am 15. März 2022 vor, einen technischen und organisatorischen Rahmen zu entwickeln, der die Bedenken des BSI ausräumt. Auf all diese Vorschläge und Maßnahmen hat das BSI über viele Monaten nicht reagiert. Erst Ende August fand ein erstes Treffen dazu zwischen dem BSI und Kaspersky statt. Diese Diskussion wird fortgesetzt, obwohl sich Kaspersky ein deutlich schnelleres Agieren des BSI wünscht.  
  • Fast sieben Monate nach der Warnung hat es keinen Cybervorfall mit Kaspersky-Software gegeben. Die Einschätzung des BSI vom 14.03.2022, es bestehe Gefahr im Verzuge, hat sich im Nachhinein als falsch erwiesen. 
  • Kaspersky hatte auf Basis des Informationsfreiheitsgesetz (IFG) um Informationszugang gebeten, „welche Sicherheitsmaßnahmen/ Eigenschaften/ Kriterien für die Gewährleistung einer ausreichenden Sicherheit durch Kaspersky Produkte gefehlt haben bzw. positiv ausgedrückt, welche Sicherheitsmaßnahmen Kaspersky umzusetzen hat, damit diese vom BSI in der aktuellen Situation als ausreichend angesehen werden.“ Eine ausreichende Antwort hat Kaspersky bis heute nicht erhalten. 
  • Arne Schönbohm, Präsident des BSI stellt in seiner Rolle als Behördenleiter Behauptungen auf, die nicht der Wahrheit entsprechen und für die es weder eine fachliche noch rechtliche Grundlage gibt. So geschehen in seiner Rede vom 23. Juni 2022 auf der Potsdamer Konferenz für Nationale CyberSicherheit 2022 auf der er sagte: „Wer weiterhin Antivirensoftware von Kaspersky zum Beispiel in kritischen Infrastrukturen oder in Landesparlamenten einsetzt, handelt fahrlässig.“, und „Kaspersky ist eine Gefahr für die nationale Sicherheit.“. 

Constanze Kurz von Netzpolitik.org und Sprecherin des Chaos Computer Clubs fordert in ihrem Kommentar vom 10. Oktober 2022: „Wir brauchen vom BSI verlässliche Fakten, fundierte Einschätzungen und strategische Ideen in Fragen der IT-Sicherheit.“ Dem hat Kaspersky nichts hinzuzufügen. 

Kaspersky hat dem BSI seit Februar umfangreiche Informationen zur Verfügung gestellt, das BSI zu technischen und organisatorischen Evaluierungen eingeladen und stets konstruktiv das Ziel verfolgt, die Cybersicherheit und Resilienz in Deutschland und Europa zu stärken, wie es auch Aufgabe des BSI ist. Kaspersky arbeitet unabhängig seiner Rechtsauffassung, dass die Warnung rechtswidrig und fachlich ungeeignet war, weiter mit höchster Priorität daran, dem BSI alle Informationen zur Verfügung zu stellen, damit das BSI auf Basis dieser Informationen die Warnung anpassen oder zurückziehen kann. Kaspersky hat hierzu konstruktiv und umfassend alle Maßnahmen benannt, die die berechtigten Cybersicherheits-Interessen der Bundesrepublik Deutschland voll und ganz berücksichtigen, den rechtlichen Anforderungen des BSIG in bester Weise entsprechen und die die Cybersicherheit und Resilienz in Deutschland und Europa tatsächlich stärkt. 

 

Autoren: Jochen Michels, Head of Public Affairs Europe bei Kaspersky, and Marco Preuß, Deputy Director, Global Research & Analysis Team bei Kaspersky

Tipps