Nachrichten & Themen
Mediathek & TV
Audio & Radio
SachsenSachsen-AnhaltThüringenDeutschlandWeltLeben
Die Warnung durch das BSI, Kaspersky nicht mehr zu nutzen, ist für Bundesbehörden verbindlich. Bildrechte: IMAGO / ITAR-TASS

CybersicherheitNach BSI-Warnung: Behörden nutzen kein Kaspersky mehr

von Marcel Roth, MDR AKTUELL

Stand: 05. August 2022, 05:00 Uhr

Im März hatte das Bundesamt für Sicherheit in der Informationstechnik BSI eine ungewöhnliche Warnung ausgesprochen. Es riet von Produkten der russischen Firma Kaspersky ab, die vor allem für ihre Virenschutzsoftware bekannt ist. Bundeseinrichtungen müssen sich in jedem Fall an die BSI-Warnung halten und die Programme gegebenenfalls austauschen. Wir haben nachgefragt, wie die Behörden in Sachsen, Sachsen-Anhalt und Thüringen reagiert haben.

Seit Monaten haben IT-Sicherheitsexperten mehr als genug zu tun: Es gibt die normalen Bedrohungen durch kriminelle Hacker, es gibt Sorgen vor staatlichen Hackern im Zuge von Russlands Krieg gegen die Ukraine. Und zusätzlich musste in vielen Behörden die Antivirensoftware gewechselt werden.

Denn das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im März offiziell vor den Sicherheitsprodukten von Kaspersky gewarnt. An BSI-Warnungen müssen sich zu allererst die Bundesbehörden halten.

Das Bundesinnenministerium schreibt auf Anfrage von MDR AKTUELL: "Produkte des Herstellers Kaspersky wurden bereits zum Zeitpunkt der Warnung des BSI nur in wenigen Behörden der Bundesverwaltung direkt eingesetzt." Konkrete Auskünfte könne man an dieser Stelle aus Sicherheitsgründen nicht geben.

Landesverwaltungen nutzten Kaspersky kaum

Aber auch die Landesverwaltungen in Mitteldeutschland hätten die Warnung des BSI ernst genommen, schreiben die zuständigen Ministerien auf Anfrage von MDR AKTUELL. In Sachsen-Anhalt sei Kaspersky-Software nur auf wenigen Servern einer Behörde installiert gewesen und wurde bis Ende Juni durch ein anderes Antiviren-Programm ersetzt. In Thüringens Landesverwaltung sei die Software auf einer niedrigen dreistelligen Anzahl von Arbeitsplätzen ersetzt worden. Sachsen teilte keine Zahlen mit, erklärte aber, die empfohlenen Maßnahmen seien umgesetzt worden.

Rahmenverträge für bestimmte Antiviren-Software

Der Chef der Cyberagentur des Bundes, Christian Hummert, sagt, die Antivirensoftware ließe sich schnell austauschen: "Wenn es eine Warnung des BSI es gibt – die sind für Behörden natürlich besonders relevant, für Bundesbehörden sogar verbindlich – dann können jetzt schnell neue Antiviren-Softwares beschafft werden. Und für Antiviren-Softwares gibt es in der Regel auch Rahmenverträge des Bundes, sodass da eine schnelle Ersatzbeschaffung möglich ist."

Kaspersky hat sich gerichtlich gegen die Warnung gewehrt, aber bislang nicht durchgesetzt. Die Firma sagt nur so viel: Der Geschäftsbetrieb laufe stabil weiter. Aus der Branche hört man, dass dem Unternehmen viele öffentliche Kunden davonlaufen würden. Kaspersky könne das finanziell nur durchstehen, weil es weltweit aufgestellt sei.

Experten kritisieren die BSI-Warnung allerdings auch, weil sie ein Grundproblem beschreibt, das auf alle Hersteller von Antiviren-Software zutrifft: Denn staatliche Hacker können jeden Softwarehersteller ins Visier nehmen.

Das BSI sagt, eine Warnung könne "wieder aufgehoben werden, wenn die Gründe, die für die Warnung ursächlich waren, nicht mehr bestehen." Welche das allerdings genau waren, hat das BSI zu keinem Zeitpunkt öffentlich gesagt.

Cyberagenturchef: Misstrauen nachvollziehbar

Alles eine Frage des Vertrauens, ins BSI und die Hersteller von Antiviren-Software, sagt Cyberagenturchef Christian Hummert: "Auf der einen Seite kann man das verstehen, dass jetzt vor einem russischen Produkt gewarnt wird. Auf der anderen Seite müssen wir natürlich sagen, dass ein russischer Code in ganz vielen Software-Produkten drin ist, also gerade auch in der Open-Source-Szene. Ich kann das in gewisser Weise nachvollziehen. Es ist ein generelles Misstrauen, das da unterstellt wird. Und man muss das mittragen oder nicht."

Hummert meint damit nicht nur Antiviren-Softwares, sondern jede Software. Die Cyberagentur hat deshalb Anfang des Jahres einen Forschungsauftrag ausgeschrieben zu sogenannter "formal verifizierte Hardware". Die ferne Grundidee: Ein Computerprozessor soll nur solche Befehle ausführen, die wirklich erlaubt sind. Schadsoftware und Viren könnten so nichts mehr ausrichten.

Dieses Thema im Programm:MDR AKTUELL | Das Nachrichtenradio | 05. August 2022 | 06:00 Uhr