Mitte März 2022 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, Virenschutz-Software des Herstellers Kaspersky zu verwenden. Das war ein bis dahin nie dagewesener Vorgang. Zuvor hatte sich das BSI immer darauf beschränkt, auf konkrete Sicherheitslücken hinzuweisen und je nach deren Risikopotenzial mehr oder weniger eindringlich zu Gegenmaßnahmen aufgefordert. Diesmal hieß es dagegen: "Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden."
Begründet wurde das mit der Notwendigkeit, das Risiko russischer Cyberangriffe in Deutschland zu reduzieren. Ein russischer IT-Hersteller könne angesichts der Spannungen zwischen Russland und Deutschland entweder selbst offensive Operationen durchführen, gegen seinen Willen zum Angriff auf bestimmte Systeme gezwungen oder Opfer einer Cyberattacke und als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden. Das für letzteres der Anbieter seinen Sitz nicht im Land des Angreifers haben muss, zeigte allerdings erst 2021 die Attacke auf Kaseya. Auch sonst war die Argumentation des BSI schwach und wie sich später herausstellte, zwar rechtlich offenbar in Ordnung, sachlich aber kaum begründet.
Kaspersky argumentierte unter anderem damit, dass Daten deutscher Kunden seit 2018 in Rechenzentren in der Schweiz verarbeitet werden, mit einem aktuellen SOC 2-Audit eines "Big Four"-Auditors sowie der ISO 27001-Zertifizierung und der kurz zuvor erfolgten Re-Zertifizierung des TÜV Austria sowie seinen diversen Transparenzinitiativen. Ihre Wirkung verfehlte die BSI-Warnung in Deutschland dennoch nicht: Viele Kunden drängten bei ihren IT-Dienstleistern darauf, der Empfehlung des BSI Folge zu leisten. Sechs Monate später hat ChannelPartner bei Waldemar Bergstreiser, Head of Channel Germany bei Kaspersky, nachgefragt, wie das Unternehmen mit der Situation umgegangen ist und wie es Partner unterstützt.
ChannelPartner: Wie hat sich das Geschäft seit der BSI-Warnung entwickelt?
Waldemar Bergstreiser: Unsere Stärke ist, dass wir ein global aufgestelltes Unternehmen sind. Alle Prozesse sind global diversifiziert und wir können uns gegenseitig ergänzen und kompensieren. Die Situation in Deutschland ist europaweit einzigartig. Keine andere europäische Behörde hat vor unseren Produkten gewarnt. Es gibt daher auch keine Änderung an den generellen Plänen von Kaspersky. Die Umsatz- und Wachstumsziele global sind gleich und bleiben gleich. Kaspersky ist weiterhin auf Kurs und auch unsere Roadmap hat weiterhin Bestand.
Aber in Deutschland macht sich die Situation im Umsatz doch sicherlich bemerkbar?
Bergstreiser: Ja, in Deutschland haben wir einen Umsatzrückgang. Dafür, dass die äußeren Einflüsse, auf die wir nicht einwirken können, so überraschend kamen, haben wir uns schnell stabilisiert. Ein großer Vorteil ist dabei, dass wir eigentümergetrieben sind. Eugene Kaspersky ist nicht nur ein toller Unternehmer, sondern auch ein toller Mensch. Er hat sofort verstanden, dass die Mitarbeiter vor Ort nicht für die Lage verantwortlich sind.
Wie hat Kaspersky denn reagiert?
Bergstreiser: Wir konnten schnell einordnen, was eigentlich passiert ist. Dabei hat uns geholfen, dass wir kurze Wege im Management haben. Zum Beispiel kam sehr schnell die Zusage, dass alle Stellen bei Kaspersky in Deutschland sicher sind: Von Firmenseite aus wird es 2022 keine Kündigungen geben.
Für die Vertriebsmitarbeiter ist die Situation aber trotzdem nicht einfach…
Bergstreiser: In einem ersten Schritt wurden Zielvorgaben für den Vertrieb eingefroren. Übertreffen wir diese trotz allem, ist das super. Können die Kolleginnen und Kollegen sie nicht übertreffen, brauchen sie sich keine Sorgen zu machen, denn jedes Ergebnis wird so gewertet, als ob es erreicht wurde. In einem zweiten Schritt wurden für das dritte und vierte Quartal neue Zielvorgaben definiert. Sollte weitere Anpassungen notwendig sein, werden wir auch diese vornehmen.
Hofft man noch auf einen Sinneswandel des BSI?
Bergstreiser: Wir hoffen natürlich, dass die Situation nicht endlos Bestand hat. Und wir sind an einer Lösung interessiert, die gemeinsam erarbeitet wird. Einige juristische Schritte sind bereits unternommen worden. Über die haben die Medien ja berichtet. (Anmerkung der Redaktion: Entscheidungen des Verwaltungsgerichts Köln, des Oberverwaltungsgerichts Münster und des Bundesverfassungsgerichts.) Weitere Schritte sind noch möglich und die werden auch geprüft. Dazu kann ich aber zum aktuellen Zeitpunkt nichts sagen.
Wichtig ist mir, dass das BSI und Kaspersky eine Sache gemeinsam haben: Wir wollen die Cybersicherheit verbessern. Das BSI schaut dabei auf Deutschland, wir natürlich auch und zusätzlich auf alle unsere Kunden und Partner überall in der Welt. Wir sind an einer Lösung interessiert, die allen Seiten hilft und eine größere Cybersicherheit für alle sicherstellt. Die Berichte in den letzten Wochen haben uns gezeigt, dass für die Bewertung, inwieweit jemand zu mehr Cybersicherheit beitragen kann, Standards fehlen. Kaspersky ist bereit, seinen Teil dazu beizutragen.
Daran arbeiten Sie bei Kaspersky ja schon länger.
Bergstreiser: Genau, spätestens seit wir 2017 unsere Transparenzinitiative gestartet haben. Wir brauchen unbedingt Regeln für alle an Cybersicherheit Beteiligten. Diese Regeln sollten allen eine Richtung vorgeben, nach der gehandelt werden muss, ferner sich mit dem Aufbau der Software und der Transparenz der Anbieter beschäftigen und festlegen, wie Prozesse diversifiziert werden müssen. Im Ergebnis sollten Verbraucher und Unternehmen wissen, dass sie ein Produkt einsetzen, dem sie vertrauen können und das Mindestvoraussetzungen erfüllt.
In anderen Bereich hat Kaspersky schon lange mit Behörden zusammengearbeitet. Bestehen diese Kooperationen weiterhin?
Bergstreiser: Ja, zum Beispiel die Initiative "No more ransom", bei der wir mit anderen Herstellern und Polizeibehörden zusammenarbeiten, besteht auch weiterhin. (Anmerkung der Redaktion: Die Initiative wurde 2016 von Europol, der niederländischen Polizei, Kaspersky und McAfee ins Leben gerufen). Sie stellt auch weiterhin kleineren angegriffenen Firmen und Verbrauchern, Entschlüsselungs-Tools kostenlos zur Verfügung. Unsere Expertise, die hilft Entschlüsselungs-Tools bereitzustellen, wird auch weiterhin dort einfließen. Zudem arbeiten wir in anderen Bereichen mit Behörden in Deutschland und Europa zusammen, zum Beispiel im Bereich Anti-Stalkerware und in der Koalition gegen Stalkerware. Da bieten wir das Open Source Tool "TinyCheck" an. Schließlich sind wir ja längst nicht mehr nur ein Antiviren-Anbieter, sondern ein breit aufgestellter Cybersecurity-Hersteller und in vielen Bereichen tätig, die mit Endpoint-Security nichts mehr zu tun haben. Einer davon ist zum Beispiel Threat Intelligence, wo wir auch mit mehreren Polizeibehörden zusammenarbeiten.
Sie haben von der Unterstützung der Firma für die Mitarbeiter gesprochen. Gab es auch für die Partner Anpassungen bei den gegenseitigen Vereinbarungen? Wir haben immer wieder von Partnern gehört, deren Kunden großen Druck ausübten, andere Technologie einzusetzen.
Bergstreiser: Das lässt sich so pauschal nicht beantworten. Wir haben ja ganz unterschiedliche Arten von Partnern mit unterschiedlichen Voraussetzungen. Gewisse spezialisierte Partner waren gezwungen, ihre Partnerschaft zumindest auszusetzen. Wir haben nur selten die Erfahrung gemacht, dass welche gesagt haben, sie wollen auf keinen Fall mehr mit Kaspersky arbeiten. Es gab aber schon welche, die erstmal pausieren. Es hoffen aber die meisten, dass wir wieder zum Normalzustand zurückkehren können. Es gibt auch global oder europaweit agierende Systemintegratoren, die pausieren. Der Gesprächsfaden ist aber auch da nicht abgerissen.
Stolz sind wir auch auf die sehr vertrauensvolle Zusammenarbeit mit den Distributoren. Es gab mit ihnen zahlreiche Gespräche und eine enge Abstimmung. Wir haben aufgezeigt, wie wir arbeiten und was wir tun. Da half uns auch unsere Transparenzinitiative, die alle organisatorischen Abläufe erfasst. Wir sind ein global vernetztes Unternehmen mit vielen Standorten. Da ist Transparenz aus vielen Gründen schon lange wichtig. In Deutschland arbeiten wir weiterhin mit allen Distributoren zusammen. Ich denke, auch das ist ein gutes Zeugnis, das für uns spricht.
Wie ist Kaspersky mit Kündigungswünschen oder Anfragen nach Reduzierung der Anzahl der Lizenzen von MSSPs umgegangen?
Bergstreiser: Es gibt diese Situationen. Bei den klassischen Lizenzen ist das kompliziert. Beim MSP-Modell bietet man einen recht flexiblen Service an und kann die Lizenzmenge reduzieren und erhöhen, meist auf monatlicher Basis. Zudem testen wir gerade mit Partnern ein neues Pay-as-you-go-Modell. Das schlimmste, was in dem Fall passiert ist, dass sie jeweils bis zum Monatsende bezahlen müssen.
Wie sieht es bei Partnern aus, die Kaspersky die Treue halten und damit rechnen, dass das Geschäft irgendwann wieder anzieht: Gibt es für die Sonderregelungen in Bezug auf im Vorjahr in besseren Zeiten vereinbarte Umsatzziele und Zielvereinbarungen?
Bergstreiser: Die Partnerstufen haben für das laufende Jahr Bestand. Die Umsatzziele sind angepasst worden. Damit besteht weiterhin die Möglichkeit, Ziele für Kickback-Zahlungen zu erreichen. Ich bin sehr froh, dass wir auch da sehr flexibel reagieren konnten. Abgewickelt wurde das über unser Partnerportal. Und dann haben wir natürlich weiterhin unsere Channel-Mitarbeiter, die unseren Partnern als Ansprechpartner wie eh und je zur Verfügung stehen.
Wurden für die Partnerstufen auch Anforderungen in Bezug auf die Qualifizierung der Mitarbeiter bei den Resellern reduziert?
Bergstreiser: Bei uns zählt die Anzahl der Zertifizierungen, nicht der zertifizierten Mitarbeiter. Zertifizierungen und Spezialisierungen, etwa für OT-Security oder Threat Intelligence, müssen natürlich weiterhin erworben werden. Schließlich braucht man die Zertifizierungen, um das Geschäft vernünftig betreiben zu können.
Ende August hat Christian Milde das Unternehmen verlassen. Ist die Nachfolge schon geregelt?
Bergstreiser: Christian hat bei einem anderen Unternehmen für sich eine gute Perspektive gesehen. Dann zu wechseln ist ja ein normaler Vorgang. Der Bereich Central Europe, für den er zuletzt verantwortlich war, gehört zu Northern Europe. Unser neuer Chef ist daher vorerst Morten Lehn, Managing Director Northern Europe bei Kaspersky.
Mehr zum Thema:
Kaspersky steht Partnern nach BSI-Warnung Rede und Antwort
Erste Folgen der BSI-Warnung für Kaspersky-Kunden und Händler
Verzicht auf Russlandgeschäft für IT-Fimen oft wenig schmerzhaft