Der Fall Kaspersky: Kalter Krieg auf unseren Rechnern?
Letzte Woche erschütterte eine Nachricht die IT-Welt. Die US-Regierung hat Bundesbehörden verboten, weiterhin Sicherheits-Software des russischen Konzerns Kaspersky zu benutzen. Das Heimatschutz-Ministerium sorge sich um mögliche Verbindungen zwischen Kaspersky und dem russischen Geheimdienst. Innerhalb von 150 Tagen muss Kaspersky nun von sämtlichen Rechnern der US-Behörden verschwinden, ein noch nie dagewesener Vorgang. Schaut man sich die Affäre näher an, tauchen immer mehr Fragen auf. Die wohl dringlichste Frage: Was darf man mit gutem Gewissen noch installieren?
Seit der US-Wahl 2016 gibt es einen großen Unbekannten im Netz: den russischen Hacker. Obwohl man sich mit Beweisen schwertut, mutmaßen viele, dass der Wahlkampf durch das Eingreifen Russlands massiv manipuliert wurde. Aus diesem Gefühl der Unsicherheit geriet schnell Kaspersky ins Visier der Geheimdienste. Eine russische Sicherheits-Software, die ca. 400 Millionen Nutzer und 270000 Firmenkunden hat, wäre doch ein ideales Einfallstor! Und so brodelte es Monate unter der Oberfläche, die Geheimdienste befragten Kaspersky-Mitarbeiter und man knackte wohl Teile der Software selbst, um verborgene Funktionen zu finden - und eine „russische Verschwörung“ zu enthüllen. Alles blieb komplett ohne Ergebnis.
Beweise jeglicher Art für ein Vergehen von Kaspersky bleibt das federführende FBI somit weiterhin schuldig. Liest man zwischen den Zeilen, so geht es auch nicht um jene Programme, die aktuell auf den Rechnern laufen, dort hat man ja keine Unregelmäßigkeiten feststellen können. Es geht darum, was sein könnte. Das Szenario, der russische Geheimdienst könnte Kaspersky-Software nutzen, um Überwachungssoftware in amerikanische Behörden einzuschleusen, bringt viele um den Schlaf. Es ist hier also schlicht die Nationalität einer Firma, verbunden mit dem Misstrauen gegenüber Putins Machtapparat, die hier einen Boykott auslöst. Denkt man dies weiter, fühlt man sich leicht paranoid. Was ist denn z.B. mit Microsoft und der traditionell wenig zimperlichen NSA? Wäre dies undenkbar? Sollte man deshalb amerikanische Software meiden, weil es sein könnte?
Um nicht missverstanden zu werden: Wir haben keinerlei Geschäftsbeziehungen zu Kaspersky, für uns sind sie schlicht Konkurrenz. Stumpf gedacht könnte man sich freuen, vielleicht verkaufen wir dadurch ein paar Antivirus-Lizenzen mehr. Aber darf ein Unternehmen ohne jegliche Beweise so massiv öffentlich an den Pranger gestellt werden? Darf eine Firma, die für viele Arbeitsplatz und sogar Lebenswerk ist, wegen purer Verdächtigungen geschädigt werden? Das widerspricht jeglichem Rechtsempfinden. Wie war das noch mal mit „Im Zweifel für den Angeklagten“? Manche Verdachtsmomente entbehren zudem nicht der Komik. Man merkte kritisch an, dass Kaspersky ja Administrationsrechte auf den Rechnern verlange. Dass kein AV-Programm ohne diese Berechtigungen zufriedenstellend arbeiten kann, hatte man ihnen wohl nicht gesagt. Ebenso sei der Kontakt zu russischen Behörden ja suspekt. Dass praktisch alle größeren Hersteller dieses Bereichs Informationsaustausch mit nationalen, wie auch internationalen Behörden betreiben, um vor akuten Gefahren und Schwachstellen zu warnen, war ihnen ebenso entfallen. Also einfach alles deinstallieren, bis der Bildschirm schwarz bleibt? Das wäre sicher!
Noch verstörender ist die Einstellung der US-Regierung gegenüber den privaten Nutzern. Während die amerikanischen Behörden Blut und Wasser schwitzen werden, um die Fristen von 60 Tage Planungsphase und 90 Tage Umsetzung zu bewältigen, sollen Privatnutzer nur die Ruhe bewahren. Es ginge nur um Unternehmen und Regierungsstellen, die hier gefährdet seien. Wenn man aber einer Firma schon unterstellt, sie könne als Schnüffel-Abteilung des Kremls arbeiten, wieso gibt man dann keine Warnung für private Nutzer aus? Ist deren Sicherheit nichts wert? Zudem dürften auch viele Forscher, Universitätsmitarbeiter und Angestellte der angeblich gefährdeten Behörden privat Kaspersky nutzen. Ist das egal? Oder ist es halt doch eine politisch motivierte Entscheidung?
Und so bleibt das ungute Gefühl, dass wenig gewusst und viel vermutet wird. Die deutschen Behörden lobten hingegen die engen und konstruktiven Beziehungen zu Kaspersky und verweisen exemplarisch auf die zahlreichen Angriffe, die mithilfe der Firma schnell abgewendet werden konnten. Auch diverse russische Hacker-Aktionen gegen Regierungsmitglieder seien erst durch Kaspersky aufgedeckt worden. Wem soll man also Glauben schenken? Es bleibt zu hoffen, dass Verleumdungen und Misstrauen nicht die weltweite Zusammenarbeit gefährden, die sich über Jahre in Wissenschaft, Handel und Sicherheit gebildet hat. Wenn allein die Nationalität eines Unternehmens ausreicht, um Produkte von Rechnern zu verbannen, erinnert mich das unschön an Kalten Krieg, damals hätte russische Software auch keine Chance gehabt. Aber wer will wirklich zurück in diese düsteren Zeiten?
Was mich interessieren würde: Lassen Sie sich von solchen Meldungen beeinflussen? Oder bilden Sie sich Ihr eigenes Urteil und kaufen, was Ihnen gefällt?