Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. In einer heute versendeten Pressemitteilung empfiehlt das BSI, Anwendungen aus dem Portfolio von Kaspersky durch alternative Produkte zu ersetzen.
Hintergrund der Warnung ist der Angriffskrieg Russlands auf die Ukraine und das nach Ansicht des BSI entstandene Bedrohungspotenzial. Das Unternehmen selbst wehrt sich gegen die Darstellung und stuft die Entscheidung des BSI als politisch ein.
In der Mitteilung des BSI heißt es:
Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.
Antivirensoftware und die damit verbundenen Clouddienste verfügten über weitreichende Systemberechtigungen und müssten systembedingt eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher sei Vertrauen in den Hersteller der Software entscheidend, so die Behörde.
Die Warnung richtet sich in erster Linie an Betreiber kritischer Infrastrukturen, staatliche Stellen und Unternehmen. Aber auch normale Nutzer:innen könnten betroffen sein. Das BSI warnt zugleich vor überhastetem Abschalten des Virenschutzes und fordert stattdessen eine sorgfältige Planung beim Umstieg. Den Betreibern kritischer Infrastrukturen wie etwa Energieversorgern und Transportunternehmen bietet die Behörde Beratung an.
Zu den Kund:innen von Kaspersky in Deutschland gehören laut der Unternehmenswebsite unter anderem der Flughafen München, das Medienunternehmen Axel Springer und die Bitburger Brauerei.
Kaspersky: „Politische Gründe“
Deutschland ist nicht das einzige Land, in dem nun vor Kaspersky gewarnt wird. Auch in Italien sollen die Antivirenprogramme nicht mehr in der Verwaltung eingesetzt werden, berichtet der Standard. Schon früher hatten die USA, Litauen und die Niederlande den Einsatz der Software auf Behördenrechnern verboten. Das ist in Deutschland weiterhin nicht der Fall.
Kaspersky wehrt sich auf Anfrage von netzpolitik.org gegen die Maßnahme des BSI. Die Entscheidung beruhe nicht auf einer technischen Bewertung der Kaspersky-Produkte, sondern sei aus politischen Gründen getroffen worden. Man wolle mit dem BSI zusammenarbeiten, um die Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.
„Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung“, heißt es in der Stellungnahme des Herstellers. Das Unternehmen habe 2018 seine Datenverarbeitungsinfrastruktur in die Schweiz verlagert. Die Sicherheit und Integrität der Datendienste und technischen Praktiken seien durch unabhängige Bewertungen Dritter bestätigt: durch das SOC 2-Audit eines „Big Four“-Auditors und durch die ISO 27001-Zertifizierung und kürzliche Re-Zertifizierung des TÜV Austria.
Bei russischen und chinesischen Produkten besteht das Risiko staatlicher Hintertueren und die BRD-Dienste koennen nicht darauf hoffen, da was abzubekommen.
Bei US-amerikanischen Produkten besteht die Sicherheit von staatlichen Hintertueren und die BRD-Dienste hoffen darauf, da was abzubekommen.
Nur rot-gruen ist so dumm, letzteres dann sogar als Atombomber zu mieten 8)
Unter fachlichen Gründen gäbe es da noch so ein Konzept… wie war das noch gleich… ach ja: Fremde nicht reinlassen?
Die BSI Argumentation kann dann aber auf jegliche Software aus Russland angewendet werden, da dort dann immer die Entwickler gezwungen werden können…
…aber nicht „jegliche“ Software aus Russland ist so tief im System verankert, wie Kaspersky. Das Hauptproblem sind die bereits bei der Installation gewährten Rechte.
Auf jede Software, deren Updateinfrastruktur in irgendeiner Weise systematisch Zugriff für irgendeinen Gegenspieler bietet.
Ähnlich ein Staat aber auch mittels MITM-Angriffen auf Schwachstellen abzielen, wenn z.B. ein Hersteller aus dem Inland viele Kunden hat (dezentrale Updateserver vor Ort helfen dagegen natürlich, bis auf das dann ein anderer Staat das gleiche tun könnte).
Der Punkt bei Kaspersky ist:
– Es nutzen viele, also tut es Russland weh, wenn viele abspringen.
– Es läuft in der Regel mit Internetverbindung und automatischen Updates, verfügt über Cloud-Upload-Merkmale u.ä.
– Die Softwareklasse ist notorisch gefahrbelastet.
Weit verbreitete Antivirensoftware ist da schon Kandidat Nr.2 nach Betriebssystemen. Vielleicht eine ähnliche Liga wie Hardware, für die nur ein Anbieter Firmware schreibt o.ä. Naja, genaues Ranking werden Historiker vielleicht mal erstellen müssen.
Die Warnung des BSI halte ich für eine absolute Unverschämtheit. Kaspersky ist bekannt für sein kompromissloses Sicherheitskonzept. Wenn ich Kaspersky wäre, würde ich ab sofort – analog zur Weigerung des CCC gegenüber der CDU – keine Sicherheitslücken mehr an westliche Dienste mehr melden.
Das alles nimmt immer mehr paranoide Züge an.
Kaspersky wurde vom Springer Konzern inkl. aller Töchterfirmen auf ein Microsoft Produkt umgestellt. Ich kann morgen gerne mal nachsehen, wie das auf meinem Rechner heisst. Die Umstellung erfolgte jedoch bereits vor 10 Tagen – ergo vor der BSI Warnung. Man könnte jetzt annehmen, Politik und Medien sind gut vernetzt ;-)
Das dumme daran ist das man nicht sagt wie und sich der Wechsel auf kosten der Kunden beruht. Ich habe für das Produkt für 2 Jahre erst im Januar bezahlt. Ich kenne auch keine Angebote von anderen Herstellern die Lizenzen an Kunden die wechseln wollen kostenlos verteilen. Was soll ich aus Kundensicht nun unternehmen? Mein Geld zurückverlangen ? Im Grunde geht es nur darum das Produkt zu beschädigen, der Erkennungsraten waren den Mitbewerbern immer ein Dorn im Auge. Rechtlich gesehen hat das Produkt keinen Mangel, oder wurde hier eine Hintertür nachgewiesen?
Die Produkte kannst Du sorglos weiterverwenden. Bei den Horrorwarnungen handelt es sich um reine Erfindungen und Schikane getreu dem Motto: Admit nothing, deny anything, make counter-accusations. Auf dem Gebiet der psychologischen Kriegsführung (und nicht nur da) sind die Russen blutige Anfänger.
Und dann überleg‘ mal, ob Du mit Aeroflot fliegts, in Russland Urlaub machst, den Rubel als Zahlungsmittel benutzt, wer am DENIC-Knoten sitzt und alles abschnorchelt, wer auf unserem Markt ein wirtschaftliches, finanzielles und juristisches Durchgriffsrecht hat und Dir jederzeit unverholen drohen und Dein Geschäftsmodell zerbomben kann: Der Russe oder der Ami? Damit dürfte eigentlich geklärt sein, wer gefährlicher ist.
Klasse endlich sagt einer mal was sache ist, nicht Russland sondern Amerika hat das Handy unserer Kanzlerin ausspioniert, deren software will unbedingt auf Platz 1 auf dem kaspersky schon lange steht
Kaspersky ist immer zuverlässig, hat die besten Testwerte.
Es kann nicht sein, was nicht sein darf.
Warum hat der BSI nicht geschrieben, dass die anderen Virenscanner vertrauenswürdig sind und nicht von Staaten „missbraucht“ werden können ?
Inzwischen handelt es sich um einen Wirtschaftsskrieg gegen alles was mit „RUS“ anfängt.
Eigentlich komisch, dass wir noch mit russischem Gas heizen.
Das ist inkonsequent.
Ich hasse es Parolen zu verbreiten ohne Nachweis der Behauptung.
Ich werde Kaspersky erst dann löschen wenn ich überzeugt bin dass es als Spionagesoftware benutzt wird.
Wenn man die Warnung des BSI weiter interpretiert sollte man auch kein China-Handy verwenden oder ein Auto fahren in dem China-Chips eingebaut wurden oder vielleicht ist ja auch das Importöl aus Russland manipuliert.
Für die ganzen Kaspersky-Lobpreiser:innen hier mal ein paar erhellende Links:
https://www.heise.de/security/meldung/Kaspersky-torpediert-SSL-Zertifikatspruefung-3587871.html
https://www.heise.de/security/meldung/Kaspersky-Schutzsoftware-senkt-Sicherheit-von-SSL-Verbindungen-2482344.html
https://www.heise.de/select/ct/archiv/2019/19/seite-54
Kaspersky ist NICHT vertrauenswürdig, und das schon lange.
Du hast aber schon verstanden was in den verlinkten Artikeln drinsteht und sie in den aktuellen Kontext gesetzt ? Ich könnte dir so ziemlich von jedem Hersteller ähnliche Berichte aus vergangenen Zeiten raussuchen. Völlig irrelevantes Zeug und überholt.
Naja, egal auf welcher Seite wer wann effektiv steht, wäre Russland als „Systemfeind“ definitiv ein Grund, die Software zu meiden, zumal das mit der Vertragsbereitschaft Russlands auch erst mal prinzipiell in Frage gestellt ist. Eine informierte Meinung ist dann nett, nützt bzgl. der Physik der Situation allerdings nichts.
Letztlich würde ein ruinöser Kampf, den theoretisch auch die USA führen könnten, bzw. bzgl. der EU fast schon ein bischen mehr als nur angedacht hatten, dazu führen, dass gerade Software als einfachstes Einfallstor, zum prinizipiellen Problem wird. Irgendwann soll der Volkswirtschaft X ein Prozentsatz Y kaputtgemacht werden. Da erschließt sich nicht, warum Russland diesbezüglich besser sein sollte.
Jedes Antivirenprogramm hat grundsätzlich das gleiche Problen, da es ja in den Datenverkehr eingreift. Ein Zertifikat verlangt zwar „Vertrau mir“ aber ob die ausstellende Stelle / Software vertrauenwürdig ist, lässt sich mit diesem Zertifikat nicht überprüfen. Und zu guter Letzt steht auch im letzten Paragraph der ersten verlinkten Textes:
„Kaspersky hat den Fehler behoben, bevor Ormandy die Sicherheitslücke publik machte. Es ist nicht das erste Mal, dass Software der Firma Schwächen beim Umgang mit SSL/TLS zeigt. Aber auch die Software der Konkurrenz hat ähnliche Probleme.“
und
„Wie sich in weiteren Tests zeigte, ist das Installieren einer eigenen Root-CA nicht ungewöhnlich. Die AV- beziehungsweise Internet-Security-Suiten von Avast, AVG, G Data. Kaspersky, Bitdefender und BullGuard machten das ebenfalls. Allerdings ließ außer Esets NOD32 kein anderes Produkt unsere einfachen MitM-Angriffe einfach passieren.“
Beispiel https://www.sslmarket.de/blog/avast-erlaubt-mitm-sowie-superfish
Das BSI hat keine eigenständige Formulierung der Kaspersky-Warnung vorgenommen.
Das BMI hat Einfluss genommen.
https://www.br.de/nachrichten/netzwelt/die-schwierige-warnung-vor-kaspersky-software,TDY0row