von Redaktion IT-A…
Lesezeit
3 Minuten
BSI rät von Kaspersky-Produkten ab
Das Bundesamt für Sicherheit in der Informationstechnik warnt offiziell vor dem Einsatz von Virenschutzsoftware des Herstellers Kaspersky. Demnach sollten vor allen Dingen Organisationen mit erhöhtem Sicherheitsinteresse Kaspersky-Anwendungen durch alternative Produkte ersetzen.
Antiviren-Software, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt laut BSI [1] über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher sei Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestünden, berge Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.
Das Vorgehen militärischer sowie nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und Deutschland sind laut der Behörde mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller könne selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyberoperation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.
Mögliche Gefahr für Kritische Infrastrukturen
Alle Nutzer der Virenschutzsoftware könnten von solchen Operationen betroffen sein. Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber Kritischer Infrastrukturen seien in besonderem Maße gefährdet. Sie hätten die Möglichkeit, sich vom BSI oder von den zuständigen Verfassungsschutzbehörden beraten zu lassen.
Unternehmen und andere Organisationen sollten den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur jedoch sorgfältig planen und umsetzen. Werden IT-Sicherheitsprodukte und insbesondere Virenschutzsoftware ohne Vorbereitung abgeschaltet, sind sie Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert. Der Umstieg auf andere Produkte kann zudem mit vorübergehenden Komfort-, Funktions- und Sicherheitseinbußen verbunden sein. Das BSI empfiehlt daher, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.
Bislang keine Beweise
Die Vertrauenswürdigkeit von Kaspersky-Produkten wurde bereits vor einigen Jahren in Frage gestellt, insbesondere seitens der US-Regierung, woraufhin das Unternehmen 2017 eine Transparenzinitiative [2] gestartet hat. So eröffnete Kaspersky weltweit Transparenzzentren und ließ sich in seinen Quellcode schauen. Auch hat der Security-Anbieter seine Datenverarbeitung für europäische, nordamerikanische sowie asiatisch-pazifische Kunden in die Schweiz verlegt.
Für Aufsehen sorgte jüngst eine Ankündigung auf Twitter [3], dass Hacker den Quellcode von Kaspersky-Produkten leaken wollten und es darin einige "Überraschungen" gebe. Doch dies stellte sich im Nachhinein als leere Behauptung heraus, da offenbar lediglich die Seitenstruktur von Kaspersky-Webservern veröffentlicht wurde. Handfeste Belege für einen Missbrauch vertraulicher Kundendaten durch den Security-Anbieter fehlen also nach wie vor.
Update 14 Uhr: Reaktion von Kaspersky
Als Reaktion auf die Warnung des BSI veröffentlichte Kaspersky das folgende Statement:
"Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben –, sondern dass sie aus politischen Gründen getroffen wurde. Wir werden unsere Partner und Kunden weiterhin von der Qualität und Integrität unserer Produkte überzeugen und mit dem BSI zusammenarbeiten, um die Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.
Bei Kaspersky sind wir der Meinung, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind.
Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung.
Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut.
Wir haben unsere Datenverarbeitungsinfrastruktur in die Schweiz verlagert: Seit 2018 werden schädliche und verdächtige Dateien, die von Anwendern von Kaspersky-Produkten in Deutschland freiwillig weitergegeben werden, in zwei Rechenzentren in Zürich verarbeitet. Diese Rechenzentren erfüllen erstklassige Branchenstandards und gewährleisten ein Höchstmaß an Sicherheit. Neben unseren Datenverarbeitungseinrichtungen in der Schweiz können die von den Nutzern an Kaspersky übermittelten Statistiken über das Kaspersky Security Network in verschiedenen Ländern der Welt, darunter Kanada und Deutschland, verarbeitet werden. Die Sicherheit und Integrität unserer Datendienste und technischen Praktiken wurden durch unabhängige Bewertungen Dritter bestätigt: durch das SOC 2-Audit eines "Big Four"-Auditors und durch die ISO 27001-Zertifizierung und kürzliche Re-Zertifizierung des TÜV Austria.
Kaspersky hat in der Branche Maßstäbe für digitales Vertrauen und Transparenz gesetzt. Unsere Kunden haben die Möglichkeit, eine kostenlose technische und umfassende Prüfung unserer Lösungen durchzuführen:
dr
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/2022/BSI_W-004-220315.html
[2] https://www.kaspersky.com/transparency-center
[3] https://twitter.com/vxunderground/status/1501293778082189315
Das Vorgehen militärischer sowie nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und Deutschland sind laut der Behörde mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT-Hersteller könne selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyberoperation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.
Mögliche Gefahr für Kritische Infrastrukturen
Alle Nutzer der Virenschutzsoftware könnten von solchen Operationen betroffen sein. Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber Kritischer Infrastrukturen seien in besonderem Maße gefährdet. Sie hätten die Möglichkeit, sich vom BSI oder von den zuständigen Verfassungsschutzbehörden beraten zu lassen.
Unternehmen und andere Organisationen sollten den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur jedoch sorgfältig planen und umsetzen. Werden IT-Sicherheitsprodukte und insbesondere Virenschutzsoftware ohne Vorbereitung abgeschaltet, sind sie Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert. Der Umstieg auf andere Produkte kann zudem mit vorübergehenden Komfort-, Funktions- und Sicherheitseinbußen verbunden sein. Das BSI empfiehlt daher, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.
Bislang keine Beweise
Die Vertrauenswürdigkeit von Kaspersky-Produkten wurde bereits vor einigen Jahren in Frage gestellt, insbesondere seitens der US-Regierung, woraufhin das Unternehmen 2017 eine Transparenzinitiative [2] gestartet hat. So eröffnete Kaspersky weltweit Transparenzzentren und ließ sich in seinen Quellcode schauen. Auch hat der Security-Anbieter seine Datenverarbeitung für europäische, nordamerikanische sowie asiatisch-pazifische Kunden in die Schweiz verlegt.
Für Aufsehen sorgte jüngst eine Ankündigung auf Twitter [3], dass Hacker den Quellcode von Kaspersky-Produkten leaken wollten und es darin einige "Überraschungen" gebe. Doch dies stellte sich im Nachhinein als leere Behauptung heraus, da offenbar lediglich die Seitenstruktur von Kaspersky-Webservern veröffentlicht wurde. Handfeste Belege für einen Missbrauch vertraulicher Kundendaten durch den Security-Anbieter fehlen also nach wie vor.
Update 14 Uhr: Reaktion von Kaspersky
Als Reaktion auf die Warnung des BSI veröffentlichte Kaspersky das folgende Statement:
"Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben –, sondern dass sie aus politischen Gründen getroffen wurde. Wir werden unsere Partner und Kunden weiterhin von der Qualität und Integrität unserer Produkte überzeugen und mit dem BSI zusammenarbeiten, um die Entscheidung zu klären und die Bedenken des BSI und anderer Regulierungsbehörden auszuräumen.
Bei Kaspersky sind wir der Meinung, dass Transparenz und die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind.
Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung.
Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut.
Wir haben unsere Datenverarbeitungsinfrastruktur in die Schweiz verlagert: Seit 2018 werden schädliche und verdächtige Dateien, die von Anwendern von Kaspersky-Produkten in Deutschland freiwillig weitergegeben werden, in zwei Rechenzentren in Zürich verarbeitet. Diese Rechenzentren erfüllen erstklassige Branchenstandards und gewährleisten ein Höchstmaß an Sicherheit. Neben unseren Datenverarbeitungseinrichtungen in der Schweiz können die von den Nutzern an Kaspersky übermittelten Statistiken über das Kaspersky Security Network in verschiedenen Ländern der Welt, darunter Kanada und Deutschland, verarbeitet werden. Die Sicherheit und Integrität unserer Datendienste und technischen Praktiken wurden durch unabhängige Bewertungen Dritter bestätigt: durch das SOC 2-Audit eines "Big Four"-Auditors und durch die ISO 27001-Zertifizierung und kürzliche Re-Zertifizierung des TÜV Austria.
Kaspersky hat in der Branche Maßstäbe für digitales Vertrauen und Transparenz gesetzt. Unsere Kunden haben die Möglichkeit, eine kostenlose technische und umfassende Prüfung unserer Lösungen durchzuführen:
- Einsicht in unsere Dokumentation zur sicheren Softwareentwicklung, einschließlich Bedrohungsanalyse, Sicherheitsüberprüfung und Testverfahren zur Anwendungssicherheit;
- Einsicht in den Quellcode unserer führenden Lösungen, darunter: Kaspersky Internet Security (KIS), unser führendes Produkt für Privatanwender; Kaspersky Endpoint Security (KES), unsere führende Lösung für Unternehmen; und Kaspersky Security Center (KSC), eine Kontrollkonsole für unsere Unternehmensprodukte;
- Überprüfung aller Versionen unserer Builds und AV-Datenbank-Updates sowie der Arten von Informationen, die Kaspersky-Produkte im Allgemeinen an das cloudbasierte Kaspersky Security Network (KSN) senden;
- Rebuild des Quellcodes, um sicherzustellen, dass dieser mit öffentlich verfügbaren Modulen übereinstimmt;
- Überprüfung der Ergebnisse eines externen Audits der technischen Praktiken des Unternehmens, das von einer der Big Four Wirtschaftsprüfungsgesellschaften durchgeführt wurde;
- Überprüfung der Software Bill of Materials (SBOM) für Kaspersky Internet Security (KIS), unser Hauptprodukt für Privatanwender, Kaspersky Endpoint Security (KES), unser führende Lösung für Unternehmen, und Kaspersky Security Center (KSC), eine Kontrollkonsole für unsere Unternehmensprodukte."
dr
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/2022/BSI_W-004-220315.html
[2] https://www.kaspersky.com/transparency-center
[3] https://twitter.com/vxunderground/status/1501293778082189315
