Startseite > Security > Mit Transparenz gegen Movie-Plot-Szenarien

Gespräch mit Waldemar Bergstreiser von Kaspersky

Mit Transparenz gegen Movie-Plot-Szenarien

17. November 2022, 7:00 Uhr | Wilhelm Greiner

Kaspersky unterhält inzwischen neun Transparenzzentren rund um den Globus, um das Vertrauen von Behörden und Unternehmen in seine Software und Verfahren zu stärken. Im Bild das jüngst eröffnete Transparenzzentrum in Rom.

Mitte März geriet Kaspersky in die Schusslinie der Weltpolitik: Nach Russlands Angriff auf die Ukraine warnte das BSI deutsche Kritis-Betreiber und Unternehmen offiziell vor dem Einsatz der Virenschutz-Software des global tätigen Anbieters, der seinen Holding-Hauptsitz inzwischen in London hat, aber bekanntlich aus Russland stammt. LANline befragte deshalb Waldemar Bergstreiser, Head B2B Germany bei Kaspersky, wie der Anbieter mit dieser heiklen Lage umgeht.

LANline: Herr Bergstreiser, zum Einstieg natürlich die „Elephant in the Room“-Frage: Wie sehr hat die Warnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) von Mitte März Sie überrascht, wie sehr Ihrem Business in Deutschland geschadet – und wie haben Sie das verkraftet?

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Waldemar Bergstreiser: Wir arbeiten seit vielen Jahren mit dem BSI zusammen. Wir haben nichts zu verbergen, unterhalten global aufgestellte Transparenzzentren und stellen unseren Quellcode zur Verfügung. Wir sind auch in die gängigen Bug-Bounty-Programme involviert. Unsere Philosophie war es schon immer, den Menschen wie auch den Unternehmen zu ermöglichen, im Cyberraum sicher zu agieren. Seit Jahren arbeiten wir außerdem daran, die Cyberimmunität voranzutreiben, hier machen wir tatsächlich sehr gute Fortschritte. Die BSI-Warnung kam deshalb völlig unerwartet. Das BSI ist dafür verantwortlich, die technischen Voraussetzungen für den IT-Einsatz zu prüfen, aber hier gab es keinen Grund für eine Warnung. Das hat auch die Recherche von SZ und BR kürzlich bestätigt.

LANline: In der Tat, die Kollegen von SZ und BR haben die politische Motivation der BSI-Warnung dargelegt. Auf Regierungsseite befürchtete man offenbar, der russische Geheimdienst könnte Kaspersky-Software für Angriffe missbrauchen – ein derart konkretes Szenario, dass Bruce Schneier es wohl als „Movie Plot Threat“ bezeichnen würde. Trotzdem: Was antworten Sie Organisationen, die Befürchtungen bezüglich einer Erpressung von Kaspersky-Entwicklern in Russland durch dortige Dienste hegen?

Waldemar Bergstreiser: Erstens veröffentlichen wir in regelmäßigen Reports jegliche Anfragen, die von Regierungen an uns gestellt werden. Da geht es übrigens nicht nur um die russische Regierung. Zweitens haben wir global agierende Entwicklerteams. Diese sitzen teils in Nordamerika, auch in Europa haben wir Freigabezentren. Im schlimmsten Fall, wenn jemand irgendeinen Unfug treiben möchte, würden die anderen internationalen Teams das bemerken. Denn nichts darf bei uns ins System, ohne vorher mehrere Überprüfungen diverser Teams bestanden zu haben. Dafür nutzen wir Verfahren, die man bei uns einsehen kann, auch in unseren Transparenzzentren werden diese Verfahren sehr gut erklärt.

Wir arbeiten natürlich weiterhin daran, jegliche Bedenken auszuräumen. Als Kaspersky mussten wir schon immer mehr tun als alle anderen. Wir würden uns wünschen, dass Cybersicherheitssoftware-Standards eingeführt werden, so wie man auch beim Kauf von Kinderspielzeug davon ausgehen kann, dass es bestimmte Verfahren und Prüfungen bestanden hat.

LANline: Also ein Prüfsiegel für Security-Software?

Waldemar Bergstreiser: Richtig, wünschenswert wären Standards für Security-Software, die für alle gelten. Wir wissen ja zum Beispiel, dass nicht nur autokratische, sondern auch demokratische Regierungen Informationen beschaffen wollen. Denken Sie als aktuelles Beispiel an die Spionagesoftware, die gezielt gegen Journalisten eingesetzt wurde (gemeint ist die Pegasus-Spyware des israelischen Anbieters NSO, d.Red.). Alle wissen, wer hier Anfragen gestellt hat und sich das vorführen ließ, auch in von mir sehr geliebten demokratischen Ländern, und wer das zum Einsatz gebracht hat. Eine Erpressung von Entwicklern durch eine kriminelle Organisation oder eine Regierung ist prinzipiell möglich, deshalb geht es um die Frage: Wie weit kommen sie? Welche Standards und Verfahren baut ein Anbieter auf, damit genau das keinen Sinn hat? Hier sind wir imstande zu sagen, dass es bei uns einfach nicht möglich ist. Wir sind ein unabhängiges Unternehmen und arbeiten mit keiner Regierung der Welt zusammen, wir haben da eine ganz klare Mission – schon seit 25 Jahren.

LANline: Wie stark hat Kaspersky die Auswirkungen der BSI-Warnung in Deutschland gespürt?

Waldemar Bergstreiser: Selbstverständlich haben wir sofort bemerkt, dass wir Kunden verlieren. Wir haben uns dann aber relativ schnell wieder stabilisiert.

LANline: Können Sie das näher quantifizieren?

Waldemar Bergstreiser: Konkrete Zahlen geben wir dazu nicht nach außen. Ich kann Ihnen sagen, dass wir die Auswirkungen im B2B- wie auch im Endkundengeschäft gespürt haben, im B2B-Geschäft definitiv stärker. Es hat sich dann aber auf einem niedrigeren Level wieder eingespielt, und das Unternehmen ist stabil. In der DACH-Organisation wie auch global haben wir keine Beschäftigten entlassen. Wir sind zum Glück keine Shareholder-Gesellschaft, sondern haben mit Eugene Kaspersky einen Eigentümer, der hinter den Menschen steht.

LANline: Gab es Auswirkungen der BSI-Warnung auch außerhalb Deutschlands?

Waldemar Bergstreiser: Die Warnung des BSI strahlt in der Tat in den europäischen Raum aus, das können wir an den Umsätzen ablesen. Aber der Effekt ist bei Weitem nicht so stark wie in Deutschland.