Das Bundesamt für Sicherheit in der Informationstechnik hat im Hinblick auf den Krieg Russlands in der Ukraine vor der Verwendung des russischen Antiviren-Programms Kaspersky gewarnt, seit Jahren einer der Top-Player auf dem Markt. Warum die Empfehlung ernst zu nehmen ist.
Wo immer ich mich hinbewegte, hin traute: Kaspersky war schon da und erzählte von seiner Sicht der Lage. Verteidigte mein digitales Ich – das datengetragene Ich, das jeder von uns hat, das überall auf der Welt sein kann – im Cyberspace. Doch Kasperskys Heimatstaat exerziert aktuell eine unberechenbare Politik, vor allem gegenüber seinem zuvor friedlichen Nachbarland. So kommt es, dass ich und viele andere den guten Schutzgeist an unserer Seite verlieren. Den Software-Wall, dem wir bislang vertrauten, dass er uns vor dem Bösen im Internet und in unserer elektronischen Post beschützt.
Deinstallation kein Akt der Hysterie
Obwohl Kaspersky technisch einer der Top-Player ist, erfordert es die politische Lage, sein Schutzpaket von unseren IT-Geräten zu entfernen, weil die Arbeit des Unternehmens mit Russland noch vielfach verwoben ist. Auch wenn Kaspersky inzwischen mit mehreren Füßen in der Schweiz steht. Deinstallieren der Antivirensoftware – was bereits gekaufte Lizenzen nicht ungültig macht – ist kein Akt der Hysterie, die von Social Media Bubbles geschürt worden ist. Und bedeutet auch nicht, dass Kaspersky für immer auf der persönlichen Blacklist steht. Vielmehr geht es um vorsorgliches Handeln. Wie bei einer Reisewarnung in Krisenzeiten. Denn das BSI warnt von behördlicher Seite.
„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) … empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen." In der Begründung seiner Warnung vom 15. März schreibt das BSI: „Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden. Alle Nutzerinnen und Nutzer der Virenschutzsoftware können von solchen Operationen betroffen sein." Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen seien „in besonderem Maße gefährdet", weshalb ihnen die Möglichkeit der Beratung durch BSI und Verfassungsschutzbehörden angeboten wird.
In einem offenen Brief auf der Unternehmenswebsite reagierte CEO Eugene Kaspersky mit Unverständnis auf die Entscheidung: „In der 25-jährigen Geschichte Kasperskys gab es nie einen Beweis für einen Missbrauch unserer Software zu schädlichen Zwecken. Und das trotz unzähliger Versuche, einen Beweis dafür zu finden." Der Gründer und Chief Executive Officer von Kaspersky betonte in seiner unmittelbaren Stellungnahme, „dass Kaspersky seit Jahren Pionierarbeit für mehr Transparenz leistet, indem es im Rahmen seiner globalen Transparenzinitiative Bedrohungsdaten seiner europäischen Kunden in die Schweiz verlagert" habe. Er verweist auf die Schutz-Aktivitäten beispielsweise gegen Ransomware.
„Kein Schutz ist keine Alternative"
Cybersecurity ist ein sehr weites und sehr tiefes Feld. In diesen Tagen noch mehr als sonst. Deshalb fragte ich nach. Diplom-Informatiker Sebastian Schreiber ist ein „guter" Hacker. Mit seinem IT-Sicherheitsunternehmen SySS GmbH in Tübingen führt er seit 1998 Sicherheitsprüfungen bei einer Vielzahl von Unternehmen in deren Auftrag durch. Bei Messen und Kongressen zeigt er als Live-Hacker, wie IT-Netze übernommen, Passwörter geknackt und Daten abgezogen werden können. Seine Antwort auf meine Nachfrage, ob Nutzer die vom BSI benannte Software direkt deinstallieren und durch eine andere Lösung ersetzen sollten, lautet klar: „Ja".
Jede Antivirenschutz-Software laufe mit hohen Privilegien und kommuniziere verdeckt mit den Cloud-Systemen des Anbieters. „Das heißt, mein AV-Anbieter verfügt über privilegierten Zugriff auf all meine Systeme", sagt der Sicherheitsexperte. Diese Konstellation sei nur dann akzeptabel, wenn ich dem Anbieter absolut vertraue. „Kaspersky ist ein russisches Unternehmen – und unterliegt sicherlich dem Zugriff der russischen Regierung. Aufgrund des aktuellen Konflikts schließe ich mich der Aussage des BSI an – ein Einsatz von sicherheitskritischer russischer Software ist nicht mehr tragbar", so die Einschätzung von Sebastian Schreiber auf meine Nachfrage. Und er ergänzt: „Russische Software ist bei uns ja sehr selten – wir setzen amerikanische Software (Windows, iOS, Android) und chinesische Produkte (Huawei) ein, und sind und bleiben hier in einer kompletten Abhängigkeit. Einen Konflikt mit China oder den USA können wir uns daher schlichtweg nicht leisten." Keine Schutzsoftware ist allerdings keine Alternative.
„Auf AV-Produkte können wir aktuell nicht verzichten", sagt Schreiber. Fast jeder in unserer Gesellschaft agiert über Smartphones, Tablets oder auch heimische Router, die Tore zu Streamingdiensten und zu Smart-Home-Technologie öffnen, im weltweiten Datennetz. Unternehmen, Infrastruktur, vernetzte Autos: Angreifbar ist potenziell jeder. Der Digitalverband Bitkom hat nach dem Angriff auf die Ukraine eine Umfrage in Auftrag gegeben. Aus den Antworten der repräsentativ Befragten über 16 Jahren ergibt sich, dass drei Viertel (75 Prozent) der Deutschen aktuell Angst vor einem Cyberkrieg gegen die Bundesrepublik haben.
Häufig zu große Sorglosigkeit
„Die weit verbreiteten Sorgen vor einem Cyberkrieg gegen Deutschland müssen wir ernst nehmen", sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. „Von den kritischen Infrastrukturen bis zu den PCs und Smartphones in den Haushalten müssen wir Deutschland widerstandsfähiger gegenüber Angriffen von außen machen."
Auch wenn das Internet in diesen Tagen „wie ein neuer Wilder Westen" erscheine, in dem sich Staaten, Hackergruppen und selbst ernannte Cyber-Armeen tummeln, ändere der Ukrainekrieg wenig an den schon länger beobachteten Bedrohungen, so Rohleder. „Seien es sogenannte Ransomware-Gruppen oder staatliche Spionage-Aktivitäten: Die Angriffsarten und Einfallstore sind bekannt. Der Faktor Mensch wird dabei weiterhin eine entscheidende Rolle spielen."
Den Antworten der 1.000 Befragten zufolge sind 59 Prozent besorgt, indirekt durch Angriffe auf kritische Infrastrukturen betroffen zu sein. 25 Prozent fürchten sogar direkte Attacken auf ihre persönlichen Geräte. 40 Prozent der Befragten machen sich vor Cyberangriffen indes keine Sorgen.
Seit Beginn des Krieges in der Ukraine Ende Februar haben allerdings nur 33 Prozent der Befragten zusätzliche Sicherheitsmaßnahmen getroffen, um private Endgeräte zu schützen. Die Hälfte (49 Prozent) will grundsätzlich keine zusätzlichen Vorkehrungen treffen, zwölf Prozent planen dies noch.
Avast, ein weltweit führender Anbieter von digitaler Sicherheit und Privatsphäre, veröffentlichte jüngst eine Liste der verbreitetsten Malware-Typen in Deutschland. Zu den größten Desktop-Bedrohungen, mit denen deutsche Nutzer im Jahr 2021 konfrontiert wurden, gehören demzufolge Trojaner, Adware, File Infectors, Dropper, Scams, Hack-Tools, Würmer, RAT und Coinminer. Was unappetitlich und unangenehm klingt, verhält sich auch so. Dropper können beispielsweise auf Desktop-PCs zusätzliche Malware herunterladen und File Infectors bösartigen Code in Dateien schreiben, um diese zu beschädigen oder um sich weiter im System zu verbreiten. „Trojaner sind seit Langem eine der am häufigsten auftretenden Bedrohungen in Deutschland. Sie verbreiten sich oft über E-Mails, File-Sharing-Seiten oder illegale Software", sagt Michal Salat, Threat Intelligence Director bei Avast.
Für Unternehmen stellen kompromittierte Daten häufig ein Problem dar. „Die Cyberbedrohungen von heute sind schneller, intelligenter und gefährlicher", sagt Joseph Carson, Advisory CISO und Chief Security Scientist bei Delinea, einem führenden Anbieter von Privileged Access Management (PAM)-Lösungen, die nach Unternehmensangaben eine nahtlose Sicherheit für moderne, hybride Unternehmen ermöglichen sollen. „Um Sicherheitsprobleme zu vermeiden und in der heutigen unvorhersehbaren Landschaft zu überleben, bleibt Unternehmen kaum ein anderer Weg, als sich stark auf die Automatisierung zu stützen und Best Practices wie Least Privilege und Zero Trust auf Schritt und Tritt umzusetzen", erklärt Carson.