Am 15. März 2022 veröffentlichte das BSI eine Warnung vor Antivirensoftware von Kaspersky. Für die Behörde war das ein ungewöhnlicher Schritt, sie hatte zuvor immer nur vor konkreten Sicherheitslücken gewarnt, nie aber vor ganzen Produktfamilien eines Unternehmens. Kaspersky klagte unmittelbar danach gegen die Warnung. Obwohl der Hersteller in mehreren Instanzen unterlag, ist rechtlich noch nicht abschließend geklärt, ob sie in der Form gerechtfertigt war.
Auch fachlich wurden Zweifel geäußert. "Das BSI hat in der Warnung oder in derem Nachgang bis heute keine Sicherheitslücke in der AV-Software aufzeigen können. Es wurden auch keine ausreichenden Beweise für eine Bedrohung der Cybersicherheit aufgezeigt", fassen Jochen Michels, Head of Public Affairs Europe bei Kaspersky, und Marco Preuß, Deputy Director, Global Research & Analysis Team bei Kaspersky, in ihrem Blog-Beitrag zusammen.
Auch das Angebot, eine der in den Transparenzzentren von Kaspersky möglichen Prüfungen der Software vorzunehmen, habe das BSI bisher nicht angenommen, wie der Hersteller ChannelPartner auf Anfrage mitgeteilt hat. Aus den Akten zum Entscheidungsprozess im Vorfeld der Warnung geht zudem hervor, dass die Warnung auf Grundlage geopolitischer und nicht IT-sicherheitstechnischer Überlegungen veröffentlicht wurde. Dem BSI vergleichbare Behörden in anderen Ländern, etwa der Schweiz, Frankreich oder den Niederlanden, sahen keinen Anlass für eine entsprechende Warnung.
Kaspersky verweist auf das BSI-Gesetz
Kaspersky, dass sich mit Sitz in Großbritannien und Server-Standorten unter anderem in der Schweiz als globales Unternehmen sieht, fordert das BSI daher auf, seine Entscheidung zurückzuziehen oder zumindest anzupassen. Der Hersteller verweist dazu § 7 Abs. 2 Satz 2 des BSIG (BSI-Gesetz).
Demnach "kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes vor Sicherheitslücken in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen", stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies dem Gesetz zufolge "unverzüglich öffentlich bekannt zu machen."
Kaspersky bedauert, dass das BSI in den vergangenen sieben Monaten keine sachlichen Begründungen für die Warnung und deren Aufrechterhaltung gegeben hat, "die geeignet wären, die Erfüllung der sachlichen Voraussetzungen für die Warnung rechtssicher nachzuweisen." Kaspersky dagegen habe das BSI "umfassend über Zertifizierungen und Audits nach den vom BSI anerkannten internationalen Standards" informiert. Bereits am 15. März 2022 habe man vorgeschlagen, "einen technischen und organisatorischen Rahmen zu entwickeln, der die Bedenken des BSI ausräumt." Auf keinen dieser Schritte habe das BSI reagiert. Erst Ende August habe ein Treffen zwischen BSI und Kaspersky stattgefunden.
Sieben Monate ohne Cybervorfall mit Kaspersky-Software
"Fast sieben Monate nach der Warnung hat es keinen Cybervorfall mit Kaspersky-Software gegeben. Die Einschätzung des BSI vom 14.03.2022, es bestehe Gefahr im Verzuge, hat sich im Nachhinein als falsch erwiesen", argumentieren die Kaspersky-Mitarbeiter in dem Blog-Post.
Den im Augenblick ohnehin stark unter Druck stehenden BSI-Präsidenten Arne Schönbohm greifen sie ebenfalls an: "Arne Schönbohm, Präsident des BSI stellt in seiner Rolle als Behördenleiter Behauptungen auf, die nicht der Wahrheit entsprechen und für die es weder eine fachliche noch rechtliche Grundlage gibt."
Die beiden Kaspersky-Mitarbeiter beziehen sich dabei auf eine Rede von Schönbohm vom 23. Juni 2022 auf der vom Hasso-Plattner-Institut veranstalteten "Potsdamer Konferenz für Nationale CyberSicherheit 2022" Dort habe Schönbohm gesagt: "Wer weiterhin Antivirensoftware von Kaspersky zum Beispiel in kritischen Infrastrukturen oder in Landesparlamenten einsetzt, handelt fahrlässig." Zudem habe er Kaspersky als "eine Gefahr für die nationale Sicherheit" bezeichnet.
Kaspersky-Manager Bergstreiser über die Zeit seit der BSI-Warnung
Kaspersky eröffnet weitere Transparenzzentren in Europa