Im März 2022 hatte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Verwendung der Antiviren-Software von Kaspersky gewarnt. Auch wir griffen das hier im Blog auf. Allerdings gibt es nun im Nachhinein von mehreren Stellen Kritik am Vorgehen des BSI. Das Problem sei, dass das BSI die ganze Sache falsch herum aufgezogen habe. Statt die Lage zu prüfen, um dann zu entscheiden, ob eine Warnung gerechtfertigt ist, entschloss man sich eine Warnung herauszugeben und suchte dann offenbar nach den passenden Begründungen, wie Tagesschau berichtet.
Diese Vorgehensweise kritisiert etwa der Professor für IT-Sicherheitsrecht in Bremen, Dennis-Kenji Kipker. Laut ihm habe das BSI „eindeutig vom Ergebnis her“ gearbeitet. Damit habe man aber gegen seinen eigenen Auftrag verstoßen, der im Paragraf 1 des BSI-Gesetzes anderes vorgibt. Dort ist festgehalten, das BSI solle „auf Grundlage wissenschaftlich-technischer Erkenntnisse“ agieren. Besser wäre es bei so einer Warnung gewesen, sich allgemein auf russische Software zu beziehen, als an Kaspersky ein Exempel zu statuieren.
Pikant: Eigentlich trat Kaspersky präventiv an das BSI heran und wünschte sich eine Stellungnahme, um die eigenen Kunden zu beschwichtigen. Die Behörde ließ die E-Mail offenbar unbeantwortet und warnte wenig später direkt vor der Verwendung der Kaspersky-Tools. Kaspersky versuchte dann vergeblich, per Eilantrag gegen diese Warnung vorzugehen. Woher die Tagesschau all diese Informationen kennt? Über eine Anfrage nach dem Informationsfreiheitsgesetz kam man an allerlei Unterlagen und wertete sie gemeinsam mit dem Spiegel aus.
Die Unterlagen zeigen auch, dass die Formulierung der Warnung intern viel diskutiert und mehrfach geändert worden ist. Auch das Bundesinnenministerium (BMI) wurde eingebunden. Erste Warnungen waren dabei noch deutlich drastischer ausformuliert und beschrieben, dass Kaspersky als russischer Anbieter quasi keine Chance habe, als dem Einfluss der russischen Machthaber nachzugeben. Dies gefiel einigen Mitarbeitern nicht, denn man erinnerte, dass Kaspersky in den vergangenen Jahren bereits Maßnahmen getroffen habe, um den Einfluss des Kremls einzuschränken – etwa die Verlagerung von Servern in die Schweiz.
Auch das BMI mischte sich schließlich in die Formulierung der Warnung ein und ergänzte einen zentralen Absatz, in dem ebenfalls eher politisch als technisch argumentiert wurde. Nachdem die finale Version der Warnung beschlossen wurde, erhielt Kaspersky am 14. März 2022 drei Stunden Zeit zu reagieren – eine Antwort blieb aus. Deswegen erschien die Warnung dann am 15. März 2022.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.