Cybersicherheit Nach BSI-Warnung: Behörden nutzen kein Kaspersky mehr

• Weder in Bundesbehörden noch in Landesverwaltungen wurden Produkte der Sicherheitssoftware-Firma Kaspersky verbreitet genutzt.
• Kaspersky hat sich gegen die Warnung durch das BSI rechtlich gewehrt, dennoch verliert das Unternehmen zunehmend Geschäftskunden.
• Die Cyberagentur des Bundes kann das entstandene Misstrauen gegenüber der russischen Firma durchaus nachvollziehen.

Seit Monaten haben IT-Sicherheitsexperten mehr als genug zu tun: Es gibt die normalen Bedrohungen durch kriminelle Hacker, es gibt Sorgen vor staatlichen Hackern im Zuge von Russlands Krieg gegen die Ukraine. Und zusätzlich musste in vielen Behörden die Antivirensoftware gewechselt werden.

Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im März offiziell vor den Sicherheitsprodukten von Kaspersky gewarnt. An BSI-Warnungen müssen sich zu allererst die Bundesbehörden halten.

Das Bundesinnenministerium schreibt auf Anfrage von MDR AKTUELL: "Produkte des Herstellers Kaspersky wurden bereits zum Zeitpunkt der Warnung des BSI nur in wenigen Behörden der Bundesverwaltung direkt eingesetzt." Konkrete Auskünfte könne man an dieser Stelle aus Sicherheitsgründen nicht geben.

Aber auch die Landesverwaltungen in Mitteldeutschland hätten die Warnung des BSI ernst genommen, schreiben die zuständigen Ministerien auf Anfrage von MDR AKTUELL. In Sachsen-Anhalt sei Kaspersky-Software nur auf wenigen Servern einer Behörde installiert gewesen und wurde bis Ende Juni durch ein anderes Antiviren-Programm ersetzt. In Thüringens Landesverwaltung sei die Software auf einer niedrigen dreistelligen Anzahl von Arbeitsplätzen ersetzt worden. Sachsen teilte keine Zahlen mit, erklärte aber, die empfohlenen Maßnahmen seien umgesetzt worden.

Der Chef der Cyberagentur des Bundes, Christian Hummert, sagt, die Antivirensoftware ließe sich schnell austauschen: "Wenn es eine Warnung des BSI es gibt – die sind für Behörden natürlich besonders relevant, für Bundesbehörden sogar verbindlich – dann können jetzt schnell neue Antiviren-Softwares beschafft werden. Und für Antiviren-Softwares gibt es in der Regel auch Rahmenverträge des Bundes, sodass da eine schnelle Ersatzbeschaffung möglich ist."

Kaspersky hat sich gerichtlich gegen die Warnung gewehrt, aber bislang nicht durchgesetzt. Die Firma sagt nur so viel: Der Geschäftsbetrieb laufe stabil weiter. Aus der Branche hört man, dass dem Unternehmen viele öffentliche Kunden davonlaufen würden. Kaspersky könne das finanziell nur durchstehen, weil es weltweit aufgestellt sei.

Experten kritisieren die BSI-Warnung allerdings auch, weil sie ein Grundproblem beschreibt, das auf alle Hersteller von Antiviren-Software zutrifft: Denn staatliche Hacker können jeden Softwarehersteller ins Visier nehmen.

Das BSI sagt, eine Warnung könne "wieder aufgehoben werden, wenn die Gründe, die für die Warnung ursächlich waren, nicht mehr bestehen." Welche das allerdings genau waren, hat das BSI zu keinem Zeitpunkt öffentlich gesagt.

Alles eine Frage des Vertrauens, ins BSI und die Hersteller von Antiviren-Software, sagt Cyberagenturchef Christian Hummert: "Auf der einen Seite kann man das verstehen, dass jetzt vor einem russischen Produkt gewarnt wird. Auf der anderen Seite müssen wir natürlich sagen, dass ein russischer Code in ganz vielen Software-Produkten drin ist, also gerade auch in der Open-Source-Szene. Ich kann das in gewisser Weise nachvollziehen. Es ist ein generelles Misstrauen, das da unterstellt wird. Und man muss das mittragen oder nicht."

Hummert meint damit nicht nur Antiviren-Softwares, sondern jede Software. Die Cyberagentur hat deshalb Anfang des Jahres einen Forschungsauftrag ausgeschrieben zu sogenannter "formal verifizierte Hardware". Die ferne Grundidee: Ein Computerprozessor soll nur solche Befehle ausführen, die wirklich erlaubt sind. Schadsoftware und Viren könnten so nichts mehr ausrichten.