Kaspersky ist ein führender globaler Cybersicherheitskonzern mit mehr als 4000 Mitarbeitenden, 34 Niederlassungen in 30 Ländern sowie 400 Millionen Privatkunden und 240'000 Unternehmenskunden in 200 Ländern. Der Sitz der Konzernholding ist London und die Nutzerdaten werden überwiegend im «Transparenzzentrum» in Zürich verarbeitet. Aber eben: Das 1997 von Natalja Kasperskaja und Jewgeni Kasperski in Moskau gegründete Unternehmen für Cybersicherheitslösungen hat russische Wurzeln und ist dort immer noch stark verankert. Ergo: Der Ukrainekrieg ist für Kaspersky eine Zerreissprobe.

Erster Rückschlag für Kaspersky im Jahr 2017

2017 berichtete die «New York Times», der russische Geheimdienst habe Software von Kaspersky für die Cyberspionage benutzt. Darauf verboten die USA und weitere Länder wie Grossbritannien und die Niederlande ihrer Regierungsverwaltung, für die Cybersicherheit Kaspersky-Produkte einzusetzen.

Zweiter Rückschlag für Kaspersky im Jahr 2022

Am 15. März 2022 warnt das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI im Zusammenhang mit dem Überfall Russlands auf die Ukraine vor der Nutzung von Kaspersky-Antivirensoftware. Es wird empfohlen, die Kaspersky-Produkte durch Software alternativer Hersteller zu ersetzen. Wörtlich heisst es: „Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die Nato und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbstoffensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyberoperation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.“

Kaspersky antwortet dem BSI

Im «Kaspersky Statement zur Warnung des deutschen Bundesamts für Sicherheit in der Informationstechnik BSI» vom 15. März 2022 ist unter anderem zu lesen: «Wir von Kaspersky sind der Meinung, dass diese Entscheidung nicht auf der technischen Bewertung der Kaspersky-Produkte beruht, für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben, sondern vielmehr aus politischen Gründen getroffen wurde. Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung. Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut. Wir haben unsere Datenverarbeitungsinfrastruktur in die Schweiz verlagert: Seit 2018 werden schädliche und verdächtige Dateien, die von Anwendern von Kaspersky-Produkten in Deutschland freiwillig weitergegeben werden, in zwei Rechenzentren in Zürich verarbeitet. Diese Rechenzentren erfüllen erstklassige Branchenstandards und gewährleisten ein Höchstmass an Sicherheit.»

Unabhängiger Audit der internen Sicherheitskontrollen bei Kaspersky

Am 29. April 2022 hat der Wirtschaftsprüfer Deloitte einen Bericht über einen unabhängigen Audit der internen Sicherheitskontrollen bei Kaspersky abgeliefert. Darin wird umfassend beschrieben, mit welchen genau festgelegten Abläufen Kaspersky einen Missbrauch seiner Software-Produkte durch staatliche Stellen in Russland und überall auf der Welt verhindert.

Fragt sich dennoch: Wie sicher ist Kaspersky eigentlich?

In internationalen Medien ist zum Kaspersky-Risiko zu lesen: «Das Risiko, dass der global agierende Hersteller von Antivirenprogrammen unbemerkt von lokalen Niederlassungen und Teams auf der ganzen Welt seine Sicherheitssoftware zur Cyberwaffe Putins umfunktionieren könnte, gilt in Fachkreisen als gering. Denn eine derartige Aktion würde den Konzern bei Bekanntwerden wirtschaftlich ruinieren. Die Manipulation von Software oder das Ausnützen einer Schwachstelle durch eine einflussreiche Regierung ist theoretisch zwar auch möglich. Das betrifft aber alle Hersteller, egal ob sie aus Russland, den USA oder Israel stammen.»

Das Nationale Zentrum für Cybersicherheit NSCS der Schweiz gibt Entwarnung

Am 17. März 2022 schreibt das Nationale Zentrum für Cybersicherheit NSCS der Schweiz unter dem Titel «Einsatz von IT-Produkten in der Cybersicherheit»: «Aktuell gehen beim NCSC viele Anfragen zum Einsatz von ausländischen IT-Produkten ein. Die Cybersicherheit liegt in der Verantwortung der Unternehmen, Behörden sowie Privatpersonen. Der Entscheid, welche Produkte sie hierzu einsetzen, liegt in deren Kompetenz. Die dazugehörende Risikoeinschätzung in Bezug auf Cybergefahren ist hierbei eine wichtige Aufgabe. (…) Im Zusammenhang mit den aktuellen Ereignissen in der Ukraine ergeben sich Fragen zu IT-Herstellern russischer Herkunft. Grundsätzlich gibt das NCSC keine Empfehlungen zur Verwendung von Produkten ab. Es besteht immer die Möglichkeit, dass Staaten Einfluss auf die Software-Entwicklung oder Manipulation von Produkten nehmen. Dem NCSC wurde bisher kein Missbrauch der Virenschutz-Software Kaspersky in der Schweiz gemeldet. Falls das NCSC gesicherte Informationen über einen Missbrauch erhält, wird die Öffentlichkeit umgehend informiert und gewarnt.»

Diese immer noch gültige Entwarnung des Nationale Zentrum für Cybersicherheit NSCS ist wohl der Grund dafür, dass die Bundesverwaltung die bewährten Produkte von Kaspersky nach wie vor einsetzt.