Der EU-Kommission liegen keinerlei Beweise vor, dass es in Unternehmen oder Behörden durch die Nutzung von Produkten des russischen Anbieters Kaspersky Lab irgendwelche Sicherheitsprobleme gibt. Das teilte das Gremium am 12. April mit. Die Stellungnahme erfolgte als Antwort auf eine Anfrage des aus Belgien stammenden EU-Parlamentariers Gerolf Annemans vom 6. März 2019.
Die Kommisssion beobachte sehr aufmerksam Diskussionen und Entwicklungen im Zusammenhang mit IT-Produkten und IT-Geräten generell, darunter auch Diskussionen, die den Zugang zum europäischen Markt dafür regeln. Allerdings sei die EU ein offener Markt, an dem ausländische Firmen in Übereinstimmung mit den in der EU geltenden Regeln teilhaben könnten.
Zusätzlich hätten Mitgliedsstaaten die Berechtigung darüber zu entscheiden, ob sie Firmen aus Gründen der nationalen Sicherheit innerhalb ihrer Grenzen vom Markt ausschließen können. In Hinblick auf die von Annemans angeschnittene Frage zur Vertrauenswürdigkeit von Kaspersky-Produkten sei von der EU-Kommission keine Untersuchung in Auftrag gegeben worden.
Probleme von Kaspersky begannen in den USA
Kaspersky Lab ist in den vergangenen Jahren als Sitz mit Unternehmen in Russland verstärkt in die Kritik geraten. Der Druck durch Politiker und Behörden wurde zunächst in den USA immer größer, weil man dort fürchtete, der Anbieter arbeite mit russischen Geheimdiensten zusammen oder habe in seinen Produkten Hintertüren für diese eingebaut. Seit Anfang 2017 spekulierten US-Geheimdienste über mögliche Verbindungen des Sicherheitsanbieters zu russischen Geheimdiensten. Bereits damals dementierte Kaspersky dies vehement. Nachdem im Sommer 2017 zuerst die US-Regierung den Anbieter von der Liste der zugelassenen Lieferanten gestrichen und kurz darauf das FBI auch Firmen aufgefordert hatte, keine Software von Kaspersky mehr zu nutzen, verbot die US-Regierung im September 2017 Bundesbehörden formell die Benutzung von Software des russischen Unternehmens.
Das Heimatschutzministerium begründete den Schritt damit, dass es über mögliche Verbindungen zwischen Firmenvertretern und russischen Geheimdiensten besorgt sei und das Risiko bestehe, dass die russische Regierung den Zugang über Kaspersky-Produkte ausnutze, um Informationssysteme der US-Behörden zu kompromittieren. Die Firmenzentrale von Kaspersky in Moskau wies diese Vorwürfe empört zurück. Sie reichte einige Monate später eine Klage gegen das Verbot ein. Auf ein vorangegangenes Angebot des Firmengründers Eugene Kaspersky, den Quellcode der beanstandeten Software offenzulegen, gingen die US-Behörden nicht ein. Auch der Hinweis, dass man als russisches Software-Unternehmen mehr Malware russischer Herkunft identifiziert habe als jedes andere Unternehmen, stieß auf taube Ohren.
Manche Beobachter sahen in den Verdächtigungen von US-Offiziellen eine späte Rache dafür, dass Kaspersky 2015 eine Verbindung zwischen der Spionage-Software "Regin" und der NSA nachgewiesen hatte. Andere mutmaßten einfach, dass der Anbieter den alteingesessenen US-Anbietern unbequem geworden sei und die daher die Gerüchte gestreut hätten. Belastet wurde das Verhältnis im Frühjahr 2018 zusätzlich als herauskam, dass eine von Kaspersky enttarnte und als "Slingshot" bezeichnete Malware von Spezialeinheiten der US-Armee entwickelt und für die Ausspähung von Terroristen genutzt wurde.
Die Malware wurde eingesetzt, um Rechner in Internetcafés zu überwachen, in denen Personen verkehrten, die dem Unterstützerumfeld zugerechnet wurden. Samples der Malware fand Kaspersky unter anderem in Afghanistan, Jemen, Irak, Jordanien, Türkei, Libyen, Sudan, Kenia und der Republik Kongo. Nach der Veröffentlichung von Details zu der Malware durch Kaspersky brachen die US-Behörden ihre Operation ab.
Bemühungen um mehr Transparenz in Europa
In Litauen darf Software von Kaspersky seit Dezember 2017 von Behörden und bestimmten privatwirtschaftlichen Firmen nicht mehr eingesetzt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte dagegen in einer Stellungnahme im Oktober 2017 mitgeteilt, dass dem Amt "keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen." Bereits einige Monate vorher hatte das BSI Medien gegenüber erklärt, dass es mit Kaspersky "seit Jahren andauernde enge Beziehungen und eine gute und vertrauensvolle Zusammenarbeit im Sinne der IT- und Cyber-Sicherheit pflegt". Auch der französischen und der belgischen Regierung liegen Stellungnahmen zufolge keine Anhaltspunkte vor, die das Misstrauen gegenüber dem Anbieter rechtfrtigten.
Dennoch haben die Vorwürfe dem Unternehmen offenbar erheblich geschadet. Um seine Glaubwürdigkeit wiederherzustellen, richtete es im Mai 2018 ein Transparenzzentrum in der Schweiz ein. Dort sollen dann ab Ende alle Daten von Kunden aus zahlreichen Regionen verarbeitet werden. Auch Updates sollen dann über die Schweiz ausausgeliefert werden. Ein zweites Transparenzzentrum befindet sich derzeit in Madrid im Aufbau. Dort sollen dann ab Juni 2018 Vertreter von Unternehmen und Behörden den Quellcode der Kaspersky-Produkte in Augenschein nehmen und sich generell über das Unternehmen und seien Arbeitsweise informieren können.