Sind Schutzprogramme von Kaspersky noch sicher?

Aufgrund des russischen Angriffskriegs gegen die Ukraine werden Stimmen laut, die behaupten, dass Kaspersky auch auf der Lieferantenliste des Kreml steht, was zu Sicherheitsbedenken führt. Noch ist zwar nichts bewiesen, aber etliche Experten raten zur Vorsicht.

Wer sich für ein professionelles Schutzprogramm vor Viren entscheidet, der will Schaden von seiner IT-Ausstattung und seinen Mitarbeitern fernhalten. Ein wirksames Virenschutzprogramm setzt allerdings voraus, dass die Software tief ins IT-System eindringt und vollständigen Zugriff auf die hier hinterlegten Daten bekommt. Nicht auszudenken, wenn also gerade eine Sicherheitssoftware missbraucht würde. Dieser Verdacht ist nun beim russischen Anbieter Kaspersky aufgekommen. Das russische Unternehmen ist einer der weltgrößten Hersteller von Antivirenprogrammen und weiteren Softwareprodukten, die IT-Systeme der User vor externem Zugriff und Schadsoftware schützen sollen. Seit dem Überfall der russischen Armee auf die Ukraine mehren sich die Stimmen von Zweiflern an der tatsächlichen Sicherheit der Kaspersky-Produkte.

BSI: Lieber auf alternative Anbieter wechseln

Die Beurteilung von Kaspersky als zuverlässigen Dienstleister hat in der Vergangenheit auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschäftigt. Die IT-Experten der Behörde vertreten die Auffassung, dass zwar nicht davon ausgegangen werden kann, dass Kaspersky als Unternehmen selbst zur Gefahr werden könnte. Allerdings ist das BSI der Ansicht, dass die russische Regierung das IT-Unternehmen dazu zwingen könnte, in großem Stil Datenmissbrauch zu betreiben: „Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“, heißt es in der offiziellen Erklärung.

Entsprechend fällt der Rat des BSI aus: Unternehmen, die Produkte des russischen Konzerns im Einsatz haben, sollten mittelfristig prüfen, ob nicht der Wechsel auf andere Hersteller machbar ist. Allerdings warnt die Behörde auch vor dem sofortigen „Abschalten“ beispielsweise eines Virenschutzprogramms aus Angst vor Ausspähung durch den Anbieter Kaspersky. Das könnte nämlich im Extremfall äußerst ärgerliche Folgen haben. Ein Abschalten der IT-Sicherheitssysteme könnte dazu führen, dass sich das Unternehmen beinah schutzlos Angriffen von außen aussetzt.

Kaspersky weist Verdächtigungen zurück

Der Südwestfunk hat zum Thema der Seriosität von Kaspersky intensiv recherchiert und bekam auf Anfrage beim Unternehmen zu hören, dass Kaspersky jeder Verdächtigung vehement widerspricht. Vielmehr wurde darauf hingewiesen, dass Kaspersky als Holding einen Sitz in England habe und man nie mit Regierungen oder ihren Institutionen zusammenarbeiten würde. Außerdem würden die Daten der deutschen Kunden ausnahmslos auf Servern gespeichert und verarbeitet, die in der Schweiz stehen. Eine Zusammenarbeit mit Regierungen habe noch nie stattgefunden, auch nicht mit der Regierung Russlands. Dass Kaspersky die Verdächtigungen auf diese Art zurückweist, ist nachvollziehbar. Gleichwohl lassen sich Risiken, wie in der Einschätzung des BSI skizziert, bei keiner Software völlig ausschließen. In den Vereinigten Staaten ist man bei der Betrachtung von Kaspersky schon einen drastischen Schritt weiter gegangen. Sämtlichen US-Behörden wurde schon im Jahr 2017 untersagt, Produkte des russischen Anbieters einzusetzen.

Fazit: Noch fehlt jeglicher Nachweis dafür, dass Kaspersky mit Behörden oder Geheimdiensten gemeinsame Sache macht. Gleichwohl bleibt ein Restrisiko bestehen, dass es zu einer wie auch immer gearteten Zusammenarbeit zwischen dem IT-Unternehmen und russischen Behörden kommt. Wer auf Nummer sicher gehen will, findet eine ganz Reihe ähnlich guter Produkte, die in Europa entwickelt wurden und werden. Eine Abkehr von Kaspersky und seinen Produkten sollte keinesfalls über Nacht erfolgen. Dennoch sollten IT-Verantwortliche in Erwägung ziehen, generell auf alternative Sicherheits-Systeme umzusatteln.