Reaktion von Kaspersky auf die BSI-Warnung und offener Brief

Als Reaktion auf die Warnung des BSI vor Kaspersky-Software hat sich nun der Firmengründer und CEO persönlich zu Wort gemeldet.

7 Min. Lesezeit
Foto: © Adobe Stock/ZinetroN

Als Reaktion auf die Warnung des BSI vor Kaspersky-Software hat sich nun der Firmengründer und CEO persönlich zu Wort gemeldet. In einem offenen Brief erklärt er, warum er die Warnung des BSI für unbegründet hält und wie er und sein Unternehmen künftig dennoch mit dem BSI weiter zusammenarbeiten wollen. Hier der Wortlaut.

„In den letzten drei Wochen hat der Krieg in der Ukraine die Welt, wie wir sie kannten, dramatisch verändert. Familien, Beziehungen und Partnerschaften wurden in der Ukraine, in Russland, in Europa und in der ganzen Welt auf dramatische Weise erschüttert. Die Lawine dieser tragischen Ereignisse hat uns alle erfasst.

Auch mein Unternehmen, das weltweit größte private Cybersicherheitsunternehmen, das mit Stolz meinen Namen trägt, ist davon betroffen. In dieser Woche hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Warnung vor Kaspersky-Produkten herausgegeben, in der auf potenzielle Risiken der Nutzung von Kaspersky-Produkten und -Lösungen hingewiesen wird. Ohne auf Details einzugehen kann ich sagen, dass diese Behauptungen reine Spekulationen sind, die durch keine objektiven Beweise oder technischen Details gestützt werden. Der Grund dafür ist einfach. In der fünfundzwanzigjährigen Geschichte Kasperskys gab es nie einen Beweis für einen Missbrauch unserer Software zu schädlichen Zwecken. Und das trotz unzähliger Versuche, einen Beweis dafür zu finden.

Ohne Beweise kann ich nur zu dem Schluss kommen, dass die Entscheidung des BSI allein aus politischen Gründen getroffen wurde. Ich empfinde es als traurig, ja ironisch, dass die Organisation, die sich für Objektivität, Transparenz und technische Kompetenz einsetzt – im Übrigen dieselben Werte, die Kaspersky seit Jahren ebenso wie das BSI und andere europäischen Regulierungsbehörden und Branchenverbände unterstützt –, sich buchstäblich über Nacht dazu entschlossen hat oder gezwungen wurde, diese Prinzipien aufzugeben. Kaspersky, langjähriger vertrauensvoller Partner und Unterstützer des BSI und der deutschen Cybersicherheitsindustrie, hatte lediglich wenige Stunden Zeit, um sich zu diesen falschen und unbegründeten Anschuldigungen zu äußern. Dies ist keine Einladung zum Dialog – es ist eine Beleidigung.

Trotz vieler Angebote seitens Kaspersky, unseren Quellcode, unsere Updates, unsere Architektur und unsere Prozesse in den Transparenzzentren Kasperskys in Europa eingehend zu prüfen, hat das BSI dies bisher nie getan. Die Warnung lässt praktischerweise die Tatsache außer Acht, dass Kaspersky seit Jahren Pionierarbeit für mehr Transparenz leistet, indem es im Rahmen seiner Globalen Transparenzinitiative Bedrohungsdaten seiner europäischen Kunden in die Schweiz verlagert hat. Bei allem Respekt, ich betrachte die Entscheidung des BSI als einen ungerechtfertigten Angriff auf mein Unternehmen und insbesondere auf die Kaspersky-Mitarbeiter in Deutschland und Europa. Vor allem aber ist dies auch ein Angriff auf die große Zahl der Verbraucher in Deutschland, die Kaspersky – in den letzten zwei Wochen als bestes Sicherheitsangebot ausgezeichnet (AV-TEST) – ihr Vertrauen schenken. Es ist auch ein Angriff auf die Arbeitsplätze tausender deutscher IT-Sicherheitsexperten, auf Strafverfolgungsbeamte, die wir für die Bekämpfung fortschrittlichster Cyberkriminalität trainiert haben, auf deutsche Informatikstudenten, denen wir bei ihrer Ausbildung geholfen haben, auf unsere Partner in Forschungsprojekten in den kritischsten Bereichen der Cybersicherheit und auf zehntausende deutsche und europäische Unternehmen aller Größenordnungen, die wir vor dem gesamten Spektrum von Cyberangriffen geschützt haben.

Der Schaden für unsere Reputation und unser Geschäft, der durch die Warnung des BSI entstanden ist, ist bereits erheblich. Mich beschäftigt eine Frage: Was ist der Zweck? Kaspersky nicht in Deutschland zu haben, wird Deutschland oder Europa nicht sicherer machen. Ganz im Gegenteil. Die BSI-Entscheidung bedeutet, dass deutschen Nutzern empfohlen wird, das einzige Antivirenprogramm zu deinstallieren, das laut dem unabhängigen deutschen IT-Sicherheitsinstitut AV-Test, den besten Schutz vor Ransomware garantiert. Sie bedeutet, dass die führenden deutschen Industrieunternehmen keine Informationen mehr über kritische Schwachstellen in ihrer Software und Hardware von Kaspersky ICS-CERT erhalten werden – einer Organisation, die von eben diesen Herstellern für ihre verantwortungsvolle Aufklärungsarbeit gelobt wird. Sie bedeutet, dass deutsche Automobilkonzerne nicht über die Fehler informiert werden, die es einem Angreifer ermöglichen könnten, das gesamte Bordcomputersystem zu übernehmen und dessen Logik zu verändern. Sie bedeutet einen riesigen blinden Fleck auf der Angriffsfläche für europäische Incident Response-Experten und SOC-Betreiber, die nicht mehr in der Lage sein werden, Bedrohungsdaten aus der ganzen Welt – und insbesondere aus Russland – zu empfangen.

Meine Botschaft an das BSI, das leider den Kontakt zu meinem Team in Deutschland seit kurzer Zeit zu meiden scheint, ist einfach: Wir halten diese Entscheidung für ungerecht und grundfalsch. Nichtsdestotrotz sind wir nach wie vor offen dafür, alle Bedenken, die das BSI hat, auf objektive, technische und ehrliche Weise auszuräumen. Wir sind den europäischen Regulierungsbehörden und Branchenexperten dankbar, die einen ausgewogeneren Ansatz gewählt haben, indem sie eine zusätzliche technische Analyse und Prüfung von Sicherheitslösungen und der IT-Lieferkette gefordert haben, und ich verpflichte mich, dass Kaspersky während dieses Prozesses alle erforderlichen Informationen zur Verfügung stellen und gerne kooperieren wird. Unseren deutschen und europäischen Kunden möchte ich sagen: Wir sind sehr dankbar, dass Sie sich für Kaspersky entschieden haben, und dass wir weiterhin das tun werden, was wir am besten können – Sie vor allen Cyberbedrohungen zu schützen, ganz gleich, woher sie kommen, und dabei unsere Technologie und unsere Tätigkeit völlig transparent zu machen.

Der Krieg in der Ukraine kann nur auf diplomatischem Wege beendet werden, und wir alle hoffen auf die Einstellung der Kampfhandlungen und eine Fortsetzung des Dialogs. Dieser Krieg ist eine Tragödie, die bereits Leid über unschuldige Menschen gebracht hat und sich auf unsere hypervernetzte Welt auswirkt. Die globale Cybersicherheitsindustrie, die auf der Grundlage von Vertrauen und Zusammenarbeit zum Schutz der digitalen Verbindungen zwischen uns allen aufgebaut wurde, könnte einen kollateralen Schaden erleiden – und damit alle weniger sicher machen.

Zunächst reagierte Kaspersky auf die Warnung des BSI mit folgendem offiziellen Statement:

„Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben –, sondern dass sie aus politischen Gründen getroffen wurde. Wir werden unsere Partner und Kunden weiterhin von der Qualität und Integrität unserer Produkte überzeugen und mit dem BSI zusammenarbeiten, um die Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.

Bei Kaspersky sind wir der Meinung, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind.

Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung.

Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut.

Wir haben unsere Datenverarbeitungsinfrastruktur in die Schweiz verlagert: Seit 2018 werden schädliche und verdächtige Dateien, die von Anwendern von Kaspersky-Produkten in Deutschland freiwillig weitergegeben werden, in zwei Rechenzentren in Zürich verarbeitet. Diese Rechenzentren erfüllen erstklassige Branchenstandards und gewährleisten ein Höchstmaß an Sicherheit. Neben unseren Datenverarbeitungseinrichtungen in der Schweiz können die von den Nutzern an Kaspersky übermittelten Statistiken über das Kaspersky Security Network in verschiedenen Ländern der Welt, darunter Kanada und Deutschland, verarbeitet werden. Die Sicherheit und Integrität unserer Datendienste und technischen Praktiken wurden durch unabhängige Bewertungen Dritter bestätigt: durch das SOC 2-Audit eines ´Big Four´-Auditors und durch die ISO 27001-Zertifizierung und kürzliche Re-Zertifizierung des TÜV Austria.

Kaspersky hat in der Branche Maßstäbe für digitales Vertrauen und Transparenz gesetzt. Unsere Kunden haben die Möglichkeit, eine kostenlose technische und umfassende Prüfung unserer Lösungen durchzuführen:

  •     Einsicht in unsere Dokumentation zur sicheren Softwareentwicklung, einschließlich Bedrohungsanalyse, Sicherheitsüberprüfung und Testverfahren zur Anwendungssicherheit;
  •     Einsicht in den Quellcode unserer führenden Lösungen, darunter: Kaspersky Internet Security (KIS), unser führendes Produkt für Privatanwender; Kaspersky Endpoint Security (KES), unsere führende Lösung für Unternehmen; und Kaspersky Security Center (KSC), eine Kontrollkonsole für unsere Unternehmensprodukte;
  •     Überprüfung aller Versionen unserer Builds und AV-Datenbank-Updates sowie der Arten von Informationen, die Kaspersky-Produkte im Allgemeinen an das cloudbasierte Kaspersky Security Network (KSN) senden;
  •     Rebuild des Quellcodes, um sicherzustellen, dass dieser mit öffentlich verfügbaren Modulen übereinstimmt;
  •     Überprüfung der Ergebnisse eines externen Audits der technischen Praktiken des Unternehmens, das von einer der Big Four Wirtschaftsprüfungsgesellschaften durchgeführt wurde;
  •     Überprüfung der Software Bill of Materials (SBOM) für Kaspersky Internet Security (KIS), unser Hauptprodukt für Privatanwender, Kaspersky Endpoint Security (KES), unser führende Lösung für Unternehmen, und Kaspersky Security Center (KSC), eine Kontrollkonsole für unsere Unternehmensprodukte.“

Eugene Kaspersky, Firmengründer und Chief Executive Officer (CEO), Kaspersky (Foto: Kaspersky)

Andere interessante News

Wie ein DDoS-Angriff am besten zu verteidigen ist

Während DDoS früher in erster Linie für politisch-soziale Proteste oder zur Eigenwerbung eingesetzt wurden, sind die Angriffe jetzt hauptsächlich erpresserischer Natur. Aber egal welches Motiv, für die erfolgreiche Verteidigung sind einige Grundregeln dringend zu beachten.

Funktion im Microsoft Virenschutz öffnet Ransomware die Türen

Fast jeder aktuelle Windows-Rechner hat den Microsoft Windows Defender vorinstalliert. Doch das Programm bietet nicht nur Schutz: Das darin enthaltene Befehlszeilentool bietet Angriffspunkte für kriminelle Akteure der „LockBit“-Gruppe.

SEMIKRON Gruppe Opfer eines Ransomware-Angriffs

Die Nürnberger SEMIKRON Gruppe wurde von einer bisher unbekannten Hackergruppe angegriffen. Infolge des Angriffs seien IT-Systeme und Dateien teilweise verschlüsselt worden. Den Angreifern zufolge sollen zudem Unternehmensdaten gestohlen worden sein.