Direkt nach Beginn der russischen Invasion in der Ukraine stellte sich Kunden und Partnern die Frage, wie es mit dem Channel-Geschäft mit russischen Firmen weitergeht. Das betrifft nicht nur die wenigen Firmen, die tatsächlich in Russland ansässig sind und ihren gesamten Betrieb von dort aus steuern, sondern auch Firmen, die einen Teil ihres Geschäfts aus Russland betreiben oder dort Entwicklungs-Ressourcen haben.
Dazu gehörten etwa die Deutsche Telekom und Abbyy, die ihr Entwicklungspersonal inzwischen aus Russland und sogar der Ukraine evakuiert haben. Die Telekom hatte zuvor rund 2.000 Mitarbeiter in Russland, vor allem in St. Petersburg. Davon haben laut Konzern "viele" das Land verlassen und arbeiten inzwischen aus anderen Staaten. Software-Anbieter Abbyy hatte hauptsächlich Entwickler in der Ukraine. Die wurden inzwischen nach Litauen evakuiert. Die wenigen Mitarbeiter in Russland wurden schon früher in Nachbarstaaten versetzt. Im Mittelpunkt der Aufmerksamkeit steht aber Kaspersky - erstens weil es das größte und wichtigste Unternehmen ist, zweitens weil das Unternehmen als IT-Security-Anbieter eben auch an einer wichtigen Stelle sitzt und Kunden in dem Bereich besonders empfindlich sind.
Nachdem in den ersten Tagen und Wochen vor allem eine gefühlte Unsicherheit herrschte und viele Kunden auch ethische und moralische Bedenken vorbrachten, stellte die Warnung des BSI Mitte März einen drastischen Einschnitt dar. Das am 25. März ausgesprochene Verbot der US-Handelsaufsicht FCC, Kaspersky-Produkte in Behörden einzusetzen, weil sie als Risiko für die nationale Sicherheit anzusehen seien, fand vor diesem Hintergrund ebenfalls viel Aufmerksamkeit.
Kunden machen Druck auf Kaspersky-Partner
Selbst langjährige Partner von Kaspersky sehen sich aufgrund des Drucks ihrer Kunden inzwischen genötigt, auf Alternativen auszuweichen. Eine Stellungnahme von Kaspersky ist schon länger verfügbar. Sie wird auch regelmäßig aktualisiert. Dennoch sah sich das Unternehmen gezwungen, jetzt noch einmal etwas weiter auszuholen und seine bisherigen Argumente zu vertiefen. In Deutschland ist das besonders relevant. Denn hier ist Kaspersky vor dem Verwaltungsgericht Köln mit dem Versuch gescheitert, die Entscheidung des BSI aufheben zu lassen.
In einer Mitteilung dazu heißt es: "Kaspersky bedauert die Entscheidung des Verwaltungsgerichts Köln vom 1. April, das dem Antrag des Unternehmens auf Erlass einer einstweiligen Anordnung gegen die Warnung des BSI vom 15. März nicht stattgegeben hat. Kaspersky hat den Beschluss des Gerichts sorgfältig geprüft und wird Beschwerde einlegen." Über die Beschwerde muss nun das Oberverwaltungsgericht Münster entscheiden. Das Unternehmen hofft zudem "auf eine Rückkehr zu einer konstruktiven Zusammenarbeit mit dem BSI, um die Cybersicherheit und Resilienz in Deutschland und Europa zu stärken."
"Bei Kaspersky sind wir überzeugt, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind. Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen. Als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung", betonte der Anbieter.
Aufsichtsbehörden in anderen EU-Ländern sehen keine Gefahr
Dieselbe Argumente brachte er auch in einem Webinar für Partner und Pressevertretern am 6. April vor. Darin wies Ivan Shadrin, Deputy Global PR Director bei Kaspersky, auch darauf hin, dass Regulierungs- und Aufsichtsbehörden in anderen europäischen Ländern derzeit keinen Anlass sehen, vor Kaspersky-Software zu warnen. Shadrin belegte das mit Zitaten des belgischen Centre for Cybersecurity (CCB), des Swiss National Cyber Security Center, des österreichischen CERT, des Digital Trust Center (DTC) in den Niederlanden und der Agency for National Cybersecurity (ACN) in Italien. Außerdem erklärte er, dass die langjährige Zusammenarbeit von Kaspersky mit Europol sowie die Kooperation zwischen Kaspersky und Interpol andauere und mehrere Audits - unter anderem von TÜV Austria und AICPA - keinerlei Anhaltspunkte für eine mögliche Gefährdung gefunden hätten.
Im Mittelpunkt der Vorwürfe gegen den Hersteller steht erstens, dass er ein russisches Unternehmen ist, zweitens, dass ein Großteil der Entwicklung in Russland stattfindet. Der erste Vorwurf stimmt de facto so nicht. Das Unternehmen ist bereits seit 10. Juli 2001 als britische Firma eingetragen. Es sieht sich aber als internationales Unternehmen und untermauert dieses Argument mit den 34 Regionalbüros sowie den inzwischen vier Transparenzzentren in Zürich, Madrid, Sao Paulo und Kuala Lumpur. 65 Prozent der Kunden seine aktuell außerhalb von Russland und den Nachfolgestaaten der Sowjetunion ansässig.
Dass ein wichtiger Teil der Entwicklung nach wie vor in Moskau erbracht wird, lässt sich dagegen nicht abstreiten. Allerdings arbeiten die Entwickler dort eng mit Kollegen aus anderen Ländern zusammen. "An der Entwicklung von Kaspersky-Produkten und der Verteilung von Updates sind auch Experten aus EU-Ländern, der USA und Kanada beteiligt. Im äußersten Ernstfall könnte das Recht, Updates zu verteilen, also an Personen außerhalb von Russland delegiert werden", erklärte Shadrin in der Online-Konferenz.
Die Frage, ob einzelne Mitarbeiter in Russland eine Backdoor einschleusen könnten, sei mit den Audits übrigens auch untersucht worden. Demnach ist diese Gefahr nicht hundertprozentig auszuschließen, aber aufgrund der Struktur des Entwicklungsprozesses sehr gering. Und der Vorgang ließe sich durch die in den Transparenzzentren vorgehaltene Update-Historie nachvollziehen. Shadrin wes auch darauf hin, dass Kaspersky in seiner 25-jährigen Geschichte schon immer unter besonderer Beobachtung stand und bisher kein Beleg für eine staatlich genutzte Funktion oder ein Missbrauch der Software erbracht werden konnte. Angesichts der Integration in zahlreiche OEM-Produkte und der Kooperation mit Experten und Sicherheitsbehörden sowie der langen Historie gewonnener Tests bei anerkannten Testeinrichtungen für Antiviren- und Security-Software sei das ein starkes Indiz für die tatsächlich gegebene Unabhängigkeit des Herstellers.
Falls Partner im Gespräch mit Kunden nicht weiterkommen, bietet der Hersteller an, mit eigenen Kräften vor Ort einzuspringen und fordert Partner ausdrücklich dazu auf, ihre Ansprechpartner zu kontaktieren. Die ebenfalls oft aufgeworfene Frage, was passiere, wenn Russland vom Internet getrennt werde, ließe sich dagegen einfach beantworten: Als in internationales Unternehmen sei Kaspersky bereits seit langem so aufgestellt, dass die erforderlichen Funktionen auch aus Rechenzentren in anderen Ländern erbracht werden können. Und Kundendaten aus der EU werden ohnehin seit längerem schon in der Schweiz verarbeitet.
Folgen der BSI-Warnung für Kaspersky-Kunden und Händler
Auswirkungen des Ukraine-Kriegs auf das Channel-Geschäft
Verzicht auf Russlandgeschäft schmerzt westliche Firmen kaum
Krieg in der Ukraine: Auch chinesische IT-Hersteller geraten unter Druck
Kaspersky-Manager Andrey Dankevich: "Wir bauen auf unsere hohe Erkennungsrate"