Stolz lacht Eugene Kaspersky in die Kamera, ein neuer Auftrag, wohl Millionen wert: Ferrari will seine Formel-1-Wagen vor Cyberangriffen schützen, 150 Sensoren stecken in den Boliden, 500 Gigabyte Daten werden pro Fahrt genutzt. Es geht um Technik, Taktik und teure Teile – und Kaspersky soll sie mit seinem Unternehmen schützen.
Seit 2010 arbeiten der russische IT-Konzern und der italienische Rennstall zusammen. Die Programme laufen nach Kasperskys Angaben im Werk in Maranello wie im Ingenieurscomputer an die Strecke, nun geht die Partnerschaft in die Verlängerung. „Hurra“, schreibt Kaspersky unter das Foto, das er Ende Dezember auf Instagram veröffentlicht hat. Inzwischen dürfte dem Unternehmer vom Schwarzen Meer allerdings nicht mehr zum Jubeln zumute sein.
Studium an der KGB-Hochschule
Kaspersky, der an der Moskauer KGB-Hochschule Mathematik, Kryptographie und Computertechnologie studierte und 1997 sein IT-Sicherheitsunternehmen Kaspersky-Lab gegründet hat, gerät im Zuge des russischen Kriegs gegen die Ukraine zunehmend unter Druck.
Denn Putin setzt auf hybride Kriegsführung – und könnte Kaspersky nun womöglich für Cyberangriffe nutzen. Das fürchten zumindest deutsche Sicherheitsbehörden, die seit Dienstag vor den Antiviren-Programmen des Unternehmens warnen.
Ein russischer IT-Hersteller könne „selbst offensive Operationen durchführen“, aber auch „gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Er könne aber „ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“. Es gebe das „erhebliche Risiko eines erfolgreichen IT-Angriffs.“ Deshalb warnt das BSI, Kasperskys Virenschutzsoftware einzusetzen.
„In besonderem Maße gefährdet“
Zwar könnten alle Nutzerinnen und Nutzer der Virenschutzsoftware von solchen Angriffen betroffen sein, „in besonderem Maße gefährdet“ seien jedoch Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber Kritischer Infrastrukturen. Sie könnten sich deshalb vom BSI oder von den zuständigen Verfassungsschutzbehörden beraten lassen. Allen Nutzern sei eine Umstellung auf „alternative Produkte“ empfohlen.
Mit seiner Warnung ist das BSI allerdings teils im Blindflug unterwegs – denn unklar ist, wie viele Kritis-Betreiber Kaspersky überhaupt nutzen. Sein Deutschland-Geschäft konzentriere sich zu etwa 70 Prozent auf den B2C-Bereich und zu etwa 30 Prozent auf den B2B-Bereich, erklärt Kaspersky selbst – doch wie viele Kunden beispielsweise Wasser-, Energie oder Gesundheitsversorger sind, weiß das BSI nicht, da die genutzten Antiviren-Programme nicht angezeigt werden müssen.
Fest steht allerdings: Auch in Bundesbehörden werden Kaspersky-Produkte „direkt eingesetzt“, wie ein Sprecher des Bundesinnenministerium erklärt, ohne Details zu nennen. Diese „wenigen Behörden“ seien aber „zeitnah und eingehend sensibilisiert“ worden, aktuell werde geprüft, ob „alternative Lösungen“ in Betracht kommen würden.
Unsichere Sicherheitssoftware
Dass das Antiviren-Programm nun im Fokus der Sicherheitsbehörden ist, liegt aber nicht allein an der russischen Herkunft, sondern auch an ihrer möglichen Macht über die Systeme. Um zuverlässig zu funktionieren, müsse Antiviren-Software „tief ins System eindringen“, erklärt Manuel Atug, IT-Sicherheitsexperte und Sprecher der AG Kritis, einer Arbeitsgemeinschaft unabhängiger Fachexpertinnen mit Fokus auf die Sicherheit kritischer Infrastrukturen.
Das Programm bekomme quasi den Vollzugriff mit allen administrativen Rechten, so könnten Zusatzfunktionen für manipulative Zwecke unbemerkt integriert werden. „Jede Sicherheitssoftware ist deshalb automatisch auch eine Unsicherheitssoftware, denn wo es einen Weg rein gibt, gibt es auch einen Weg raus“, sagt Atug.
Und diese Wege sind eben verschlüsselt und „nicht prüfbar“, erklärt das BSI. Würden Zweifel „an der Zuverlässigkeit des Herstellers bestehen“, gebe es „ein besonderes Risiko für eine zu schützende IT-Infrastruktur“.
Rückendeckung aus der Cybersicherheits-Community
In der deutschen Cybersicherheits-Community bekommt das BSI Rückhalt für seine Warnung vor Kaspersky. „Die gegenwärtige Bedrohungslage ist als kritisch zu betrachten“, sagt Ralf Wintergerst, Vorstandschef des Sicherheitskonzerns Giesecke+Devrient und Beiratsvorsitzender der deutschen Allianz für Cybersicherheit, der 5911 Unternehmen und Institutionen angehören, auch Kaspersky.
Cyberattacken vorzubeugen, spiele eine enorm wichtige Rolle, betont Wintergerst. „Denn viele Attacken erkennt man erst, wenn es zu spät ist; beispielsweise, wenn sich ein Trojaner im System versteckt.“ Um gut vorbereitet zu sein, müssten Unternehmen zwischen 15 und 20 Prozent ihres IT-Budgets für die Cybersicherheit ausgeben. „Da sind noch nicht alle Unternehmen“, sagt Wintergerst. Aktuell seien Unternehmen nun gefordert, „ihre individuelle Bedrohungslage schnell zu prüfen und im Rahmen ihres Risikomanagements zu reagieren“.
Kommunen nutzen teils veraltete Systeme
Atug warnt jedoch vor Panik. Wer das Programm sofort deaktiviere, mache das schutzlose System damit womöglich erst recht zum leichten Ziel von Angreifern. Privatnutzern rät Atug, sich erst schlau zu machen, ob und welche Alternative nutzbar ist, diese solle dann gleich im Zuge der Deinstallation aufgespielt werden. Ohnehin seien Privatnutzer aber wohl nicht Ziel von staatlichen Stellen wie Geheimdiensten, „die sich eher weniger für private Urlaubsbilder interessieren“, sagt Atug.
Größeren Unternehmen oder Betreiber kritischer Infrastrukturen rät Atug hingegen zum zügigen und strukturierten Handeln, nicht nur mit Blick auf die BSI-Warnung, sondern auch um grundsätzlich besser gegen Angriffe geschützt zu sein. Insbesondere Kommunen und Landkreise würden oft veraltete Systeme nutzen und damit anfällig sein für Ransomware-Angriffe, wie etwa zuletzt in Anhalt-Bitterfeld und Schwerin. „Was dort teilweise genutzt wird, mag für Archäologen interessant sein, aber ein aktueller und sicherer IT-Betrieb ist das nicht“, kritisiert Atug.
Unternehmen müssen „die langweiligen Basics“ erledigen
Statt nun wild Programme anderer Anbieter einzukaufen, sollte Unternehmen oder Kritis-Betreiber aber zunächst „die langweiligen Basics“ erledigen: „Beispielsweise Backups erstellen, sie offline vorhalten und durchspielen, wie schnell sich Daten wiederherstellen lassen – wer das bisher noch nicht getan hat, handelt aus meiner Sicht schon fast grob fahrlässig.“
Hausaufgaben, die Kritis-Betreiber eigentlich erledigt haben sollten – gerade, weil die Sicherheitsbehörden zuletzt vor Angriffen auf „Hochschutzziele“ gewarnt haben. Doch was teils nach dem großen Blackout für die Bundesrepublik klingt, ist aus Atugs Sicht „ein passendes Szenario für Hollywood, nicht aber für die Realität.“
Blackout könnte Bündnisfall auslösen
Denn ein solcher gezielter, langhaltender Ausfall in der kritischen Infrastruktur sei erstens ein „hochkomplexer“ Angriff, den es so bisher weltweit nur sehr selten gegeben habe. Und zweitens könnte ein solcher erfolgreicher Angriff „womöglich den Bündnisfall der Nato auslösen, wenn Menschen zu Schaden kommen würden“, sagt Atug. Putin dürfte jedoch weiter auf „Desinformation und Propaganda, Spionage und Aufklärung“ setzen – und diese hybride Kriegsführung womöglich weiter ausweiten.
Dass Kaspersky ein Teil dieser Strategie sein könnte, weist das Unternehmen zurück. „Wir haben niemals irgendeiner Regierung bei Cyberspionage geholfen und werden dies nie tun“, teilt eine Sprecherin mit.
Kaspersky verweist auf „ein Höchstmaß an Sicherheit“
Kaspersky sei ein privat geführtes globales Cybersicherheitsunternehmen, und habe „keine Verbindungen zur russischen oder einer anderen Regierung“. Daten würden in zwei Rechenzentren in Zürich verarbeitet, die „ein Höchstmaß an Sicherheit“ gewährleisten würden.
Das Unternehmen wolle mit dem BSI zusammenarbeiten, um Bedenken auszuräumen. Die Warnung vor Kaspersky sei wohl „aus politischen Gründen getroffen“ worden, erklärt die Sprecherin.
Ferrari hat seine Partnerschaft mit dem Unternehmen am Dienstag vorerst beendet. Auch der deutsche Fußballverein Eintracht Frankfurt hat das Sponsoring durch die Firma gekündigt. Ob das Unternehmen in Deutschland trotz der Warnung durchs BSI weiterhin Mitglied der Allianz für Cybersicherheit bleiben kann, wird derzeit geprüft. Der Bundesverband für den Schutz kritischer Infrastrukturen lässt Kasperskys Mitgliedschaft bereits ruhen.
Unternehmensgründer Eugene Kaspersky selbst hatte sich am 1. März auf Twitter zum Krieg geäußert. „Wie der Rest der Welt stehen auch wir angesichts der jüngsten Ereignisse unter Schock“, schrieb er auf dem Kurznachrichtendienst. Er hoffe, dass die beginnenden Verhandlungen „zu einer Einstellung der Feindseligkeiten und einem Kompromiss führen werden“. Der „friedliche Dialog“ sei das „einzig mögliche Instrument zur Lösung von Konflikten“: „Krieg ist für niemanden gut“, betonte Kaspersky – wer den Krieg führt, erwähnte er allerdings nicht.
Lesen Sie auch: Wie aus dem Lehrbuch der hybriden Kriegsführung.