BSI-Warnung Kaspersky-Virenschutz: Worauf sollte man beim Umstieg achten?

Das Bundesamt für Sicherheit (BSI) warnt vor Kaspersky-Produkten. Software der russischen Firma könnte zum Einfallstor für Schadsoftware werden. Informatik-Experte Dr. Ewan Fleischmann erklärt, wie man sich jetzt schützt. Er berät Unternehmen, wie man Cyberangriffe abwehrt.

Hauptquartier der Computersicherheitsfirma Kaspersky in Moskau
Kaspersky hat nach eigenen Angaben mehr als 400 Millionen Nutzer weltweit. Bildrechte: dpa

Darum warnt das BSI vor Kaspersky-Virenschutzsoftware

Das Bundesamt für Sicherheit in der Informationstechnik warnt vor der Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach gebe es ein erhebliches Risiko eines erfolgreichen IT-Angriffs von russischer Seite. Ein russischer IT-Hersteller könne auch gegen seinen Willen gezwungen werden, Systeme anzugreifen. Er könne aber auch selbst Opfer einer Cyberattacke werden, ohne davon zu wissen.

Dem Bundesamt zufolge verfügt gerade eine Antivirensoftware über weitreichende Systemberechtigungen bei den Computern der Nutzer. Die Software dieses Anbieters solle deshalb durch alternative Produkte ersetzt werden.

Kaspersky kritisiert Einschätzung "als politisch motiviert"

Kaspersky reagierte mit einer öffentlichen Stellungnahme auf die Warnung des BSI und wies diese als nicht technisch begründet zurück. Das Unternehmen kritisiert das Urteil "als politisch motiviert". Als privates Unternehmen habe Kaspersky "keine Verbindungen zur russischen oder einer anderen Regierung", heißt es in einem Statement auf der Homepage des Softwareherstellers. Man wolle mit dem Bundesamt für Sicherheit in der Informationstechnik zusammenarbeiten, um die vorhandenen Bedenken auszuräumen. "Wir haben niemals irgendeiner Regierung bei Cyberspionage geholfen und werden dies nie tun", betont Kaspersky.

Herr Dr. Fleischmann, wie schätzen Sie die Warnung des BSI vor Kaspersky-Software ein?

Dr. Ewan Fleischmann: Informationen, dass Kaspersky mit staatlichen Stellen im Rahmen ihrer Verpflichtungen zusammenarbeitet, gibt es schon länger. Die USA haben eine entsprechende Warnung bereits 2017 herausgegeben und die staatlichen Stellen nutzen Kaspersky dort seit dieser Zeit auch nicht mehr. Großbritannien und die EU sind diesen Vorschlägen ebenfalls gefolgt.

Obwohl es dem Hersteller Kaspersky über die Update-Funktion der Software möglich wäre, in die Systeme einzudringen, ist dies bis jetzt noch nicht beobachtet worden. Jede Antivirussoftware läuft mit den höchsten Systemrechten und kann theoretisch durch den Hersteller gesteuert beliebige Funktionen auf jedem Rechner ausführen, auf dem sie läuft.

Persönlich würde ich staatlichen Stellen und Betreibern kritischer Infrastrukturen aktuell von der Software abraten. Grundsätzlich ist eine Risikoanalyse angebracht – falls noch nicht durchgeführt. In der Praxis überlegt man sich, ob das konkrete Unternehmen oder die staatliche Stelle in einem besonderen Konflikt mit dem russischen politischen und militärischen Vorgehen stehen könnte. Die Gefahr für kleine und mittlere Unternehmen sowie Einzelpersonen schätze ich jedoch als gering ein.

Weitere Updates könnten also ein Einfallstor für Schadsoftware sein?

Dr. Ewan Fleischmann: Kurz: ja. Allerdings würde das bei Bekanntwerden eine massive Kundenabwanderung für Kaspersky bedeuten. Man kann also zumindest davon ausgehen, dass Kaspersky selbst sich mit aller Macht dagegen stemmen würde. Ebenfalls wäre der Schaden für Russland enorm, da ein bekanntes russisches Unternehmen in der Bedeutungslosigkeit verschwinden würde. Es ist fraglich, ob die ein- oder zweimalige Ausnutzung durch den russischen Staat das rechtfertigen würde.

Hat die Kaspersky-Software einen guten Ruf in der Branche?

Dr. Ewan Fleischmann: Ja, Kaspersky hat einen exzellenten Ruf, was das Schutzniveau angeht. In unabhängigen Tests gehört Kaspersky regelmäßig zur Spitzengruppe im Hinblick auf die Erkennung von Malware und anderer Schadsoftware.

Merken Sie Besorgnis bei Ihren Kunden?

Dr. Ewan Fleischmann: Die meisten Unternehmen haben den Einsatz von Kaspersky-Software bereits vor geraumer Zeit geprüft und für sich eine Entscheidung getroffen. Grundsätzlich ist die Besorgnis daher überschaubar.

Welche Herausforderung könnte ein Umstieg auf andere Produkte mit sich bringen?

Dr. Ewan Fleischmann: Für Endverbraucher hat Kaspersky ein Internetsicherheitspaket im Angebot, welches sich leicht austauschen lässt – äquivalente Schutzsoftware gibt es von vielen Anbietern auf dem Markt.

Für Unternehmenskunden ist das Angebot deutlich vielschichtiger. Neben Sicherheitssoftware bietet Kaspersky eine Vielzahl von "Managed Services" an, die im Falle einer Alarmierung durch die Software – oder durch die damit verbundenen Cloud-Dienste von Kasperky – einem Unternehmen direkten Zugriff auf IT-Sicherheitsexperten und dem Incident-Response Team von Kasperky ermöglicht. Im Umkehrschluss haben diese Experten aber auch Zugriff auf das Unternehmensnetz für die Durchführung der Dienstleistungen.

Ebenfalls ist bei Unternehmen die Schutzsoftware häufig in eigene Lösungen, beispielsweise zum Echtzeit-Monitoring der IT-Umgebung integriert. Für Unternehmen ist die Zusammenarbeit mit einem leistungsfähigen Dienstleister sehr attraktiv, da das teure Know-How nicht selbst vorgehalten werden muss – und das besteht häufig aus einer Software (hier die Kaspersky-Schutzsoftware) und damit verbundenen Dienstleistungen.

  • Die Integration der Kaspersky-Software in die eigene IT-Landschaft muss aufgelöst und für einen neuen Anbieter umgearbeitet werden. Projekte dazu dauern häufig viele Monate – zumindest bei größeren Unternehmen.
  • Ausgliederung von Kaspersky aus allen Prozessen des Unternehmens (Incident Response/Vorfallsbehandlung, Security-Monitoring, etc.), die mit Managed Services verbunden waren, muss erfolgen und die Einarbeitung und Integration eines neuen Anbieters. Auch das dauert häufig viele Monate, bis die Zusammenarbeit zwischen dem Dienstleister und dem Unternehmen wieder reibungsarm verläuft.

Wie findet man eine geeignete Schutzsoftware als Alternative?

Dr. Ewan Fleischmann: Für kleine Unternehmen und Privatanwender stellt Microsoft mit dem kostenlosen mitgelieferten Defender eine hervorragende Lösung zur Verfügung, die sich auch vor kommerziellen Produkten nicht verstecken muss.

Für Unternehmen, die mehr Kontrolle und Steuerung, eine tiefe Integration in die eigene Systemlandschaft und die bereits erwähnten managed Services benötigen, ist die Lage komplexer. Zuerst sollte das Unternehmen die eigenen Anforderungen bestimmen (Beispielsweise welche Betriebssysteme müssen unterstützt werden? Welche technische Funktionalität und Integrierbarkeit werden benötigt? Welche Zusatz-Dienste erwarte ich vom Anbieter? Welche Jurisdiktionen sind für mich als Unternehmen akzeptabel? Welche Reputation sollte der Hersteller in meiner Branche haben? Welche Erkennungsleistung bei Schadsoftware erwarte ich?). Danach sollten die Anbieter gemäß dieser Bewertungsliste evaluiert werden.

Zum Schluss sollte man mit den Top-3-Kandidaten eine genauere Prüfung ins Auge fassen, um dann schlussendlich zu einer informierten und für das Unternehmen bestmöglichen Entscheidung zu kommen.

Welche Aufwände müssen Unternehmen bei einem Umstieg einkalkulieren?

Dr. Ewan Fleischmann: Der Aufwand ergibt sich üblicherweise aus der Heterogenität der (historisch gewachsenen) IT-Landschaft der Unternehmen und der Integration der Anbieter in das eigene Unternehmen. Beispielweise ergeben sich bereits mit zehn verschiedenen Betriebssystemversionen, Remote-Arbeitsplätzen, fünf Standorten und einem Rechenzentrum eine Unmenge von Möglichkeiten, die getestet werden müssen.

Da Antivirensoftware grundsätzlich mit den höchsten Systemrechten arbeitet, kann dies im Fehlerfall zu einer massiven Beeinträchtigung der Arbeitsplätze führen. Die Aufwände für die Integration mit den weiteren eigenen IT-Systemen und den Unternehmensprozessen kommen dazu.

Zur Person Nach Abschlüssen in Informatik und Mathematik promovierte Dr. Fleischmann in Kryptographie und arbeitete einige Jahre mit beim DAX gelisteten Unternehmen an der Verbesserung der IT-Infrastruktur. Er berät Unternehmen, wie man Cyberangriffe abwehrt.

MDR Wirtschaftsredaktion

Dieses Thema im Programm: MDR AKTUELL | 15. März 2022 | 16:30 Uhr

Mehr aus Wirtschaft

Mehr aus Deutschland