Vor einigen Tagen hat bereits das Bundesamt für Sicherheit in der Informationswirtschaft (BSI) eine Warnung vor Sicherheits-Software von Kaspersky ausgesprochen, jetzt hat auch die US-Telekommunikationsaufsichtsbhörde FCC das Unternehmen zu einem „nicht akzeptablen Risiko für die nationale Sicherheit“ in den USA erklärt. Es ist das erste Mal, dass die FCC ein nicht-chinesisches Unternehmen auf dieser 2019 ins Leben gerufenen Liste führt. Außer dem russischen Sicherheitsanbieter stehen dort bisher Huawei und ZTE, seit vergangenem Wochenende auch China Telecom und China Mobile.

Die Maßnahme solle dazu beitragen, erklärt FCC-Mitglied Brendan Carr, dass US-Netzwerke vor Gefahren beschützt werden, die von „staatlich unterstützten Hackern aus China und Russland“ ausgehen. Anders als das BSI, das zwar erst rund drei Wochen nach Kriegsbeginn eine entsprechende Warnung vor Kaspersky-Produkten aussprach, hat die FCC übrigens nicht den Ukrainekrieg als Grund angeführt.

Der Sicherheitssoftwarehersteller Kaspersky erklärt in einer ersten Stellungnahme, man sei enttäuscht über den Schritt der US-amerikanischen Behörde: „Diese Entscheidung basiert nicht auf einer technischen Bewertung von Kaspersky-Produkten, sondern wird aus politischen Gründen getroffen.“ Kaspersky erklärt zudem, dass es keine öffentlichen Beweise für ein Fehlverhalten des Unternehmens gebe und geht sogar noch weiter: „Kaspersky behauptet, dass die 2017 von der US-Regierung erlassenen Verbote für Bundesbehörden und Bundesauftragnehmer, Kaspersky-Produkte und -Dienstleistungen zu nutzen, verfassungswidrig sind.“

Doch sowohl für Endkund:innen als auch für Unternehmen stellt sich nun die Frage, wie sie tatsächlich mit der Software des russischen Unternehmens umgehen sollen. Denn klar ist, dass die Nutzung von Security-Tools ein Vertrauensthema ist. Nicht umsonst haben bereits anlässlich der Diskussion um die Bundestrojaner vor zehn Jahren Vertreter solcher Unternehmen wie der finnische Sicherheitsexperte Mikko Hypponen (damals noch bezogen auf den Anbieter F-Secure) erklärt, ein Unternehmen in der IT-Security-Wirtschaft dürfe nicht zum Spielball von Regierungen und Sicherheitsbehörden einzelner Staaten werden. Denn, egal ob via Virensignaturdatei oder über andere systematische Filtermaßnahmen, eine solche Software hat immer eine Art Gatekeeper-Funktion und unterscheidet, vergleichbar mit einem Türsteher, was reinkommt und was nicht – welcher Code gutartig und welcher bösartig ist.

Und ähnlich wie man schon bei US-Softwarelösungen befürchtet, dass über den US-Privacy Act US-Geheimdienste und Behörden Einfluss und Zugriff auf Daten nehmen können, ist dies umso mehr eine Gefahr bei russischen oder chinesischen Lösungen. Es kommt hierbei auf Vertrauen an – und das zu gewinnen, zu halten und zu rechtfertigen, ist nicht selbstverständlich.

Ob nun Kaspersky-Produkte eine Hintertür für Hacker oder irgendeinen Geheimdienst bekommen werden, darüber lässt sich nur spekulieren. Technisch möglich ist es, wahrscheinlich allerdings ist es nicht. Denn auch wenn Eugene Kaspersky selbst noch zu Sowjetzeiten für ein sowjetisches Forschungsinstitut im Bereich strategische Operationen und Spionage gearbeitet haben soll, dementierte er stets Beziehungen zum Kreml, beispielsweise 2011 resultierend aus einem Wired-Artikel. Umgekehrt betrachtet: Kasperskys Unternehmenserfolg hängt stark davon ab, wie sehr es gelingt, das Vertrauen der Kund:innen zu erhalten. Dass das Unternehmen immer noch seinen Hauptsitz in Moskau hat, könnte den Sicherheitsexperten nun zum Nachteil gereichen, auch wenn die Daten deutscher Nutzer:innen in der Schweiz abgelegt werden und Kaspersky beteuert, man habe nie Regierungen bei Cyberspionage unterstützt und werde das auch nie tun.

Doch insbesondere bei Antivirenlösungen und Sicherheitssoftware für Endanwender:innen kommt noch ein weiterer Faktor dazu: Viele der Pakete sind – das belegen regelmäßig Tests von einschlägigen Unternehmen wie AV-Test oder auch die Tests der Stiftung Warentest – weitgehend ebenbürtig, unterscheiden sich eher in der Handhabung als in der Erkennungsleistung. Und da werden angesichts der Unsicherheit, die sich ja auch aus der BSI-Warnung ableiten lässt, in Zukunft andere Anbieter die Nase vorn haben. Dass Kaspersky im Rahmen einer Transparenzoffensive seit Jahren versucht, das Vertrauen der Unternehmen und Endnutzer:innen, die eine solche Sicherheitsentscheidung zu treffen haben, zu gewinnen, wird in der jetzigen Gemengelage wenig nutzen. Das ist jetzt mehr denn je so, aber eben auch nicht erst seit gestern.

Die Stiftung Warentest hat übrigens bereits ein par Tage vor dem BSI das ansonsten sehr gute Urteil über die Kaspersky-Security-Lösung aus dem letzten Test zurückgezogen. Darin heißt es: „Unseren derzeitigen Erkenntnissen zufolge hat sich an der Schutzwirkung der Kaspersky-Programme nichts geändert. Dennoch ist nicht auszuschließen, dass die russische Regierung Druck auf den Anbieter ausübt, um Änderungen an der Software zu erreichen, die sich negativ auf deren Funktionsweise auswirken.“ Das bringt den Sachverhalt ziemlich gut auf den Punkt und ist aus Sicht eines Endkunden, der jedes Jahr erneut entscheiden muss, welche Sicherheitslösung den eigenen PC schützen soll, gut nachvollziehbar.

Dennoch sollten gerade Unternehmen ihre Sicherheitsstrategie vor allem langfristig angehen und (ab einer gewissen Größe) nicht blind aufgrund einer solchen Meldung über Bord werfen. Gravierender als die Erhöhung der Gefahrenlage resultierend aus der Verwendung einer wie auch immer konfigurierten russischen Software ist nämlich die Gefahr einer im Rahmen des eigenen Sicherheitskonzepts übersehenen Sicherheitslücke. Denn dass der derzeitige Krieg auch ein Cyber-Krieg ist, steht für Expert:innen ebenso außer Frage wie die Tatsache, dass Unternehmen in Zukunft häufiger gravierende und teils gezielte Malware-Attacken erleben werden.