Kaspersky-Hack-Gerüchte zwingen deutsche Behörde zur Stellungnahme

Die Geschichte um Russland, die NSA, Israel und Kaspersky Lab ist ziemlich wild und bestätigt ist überhaupt nichts. Und Kaspersky dementiert entschieden. Ebenso heute die russische Regierung.
 
Dennoch ist die russische Firma aus der Liste von für Behörden zugelassenen IT-Produkten gestrichen worden. Und Quellcode-Audits werden zum Politikum, wie eine Policy-Änderung von Symantec zeigt.
 
Weil das Thema so hohe Aufmerksamkeit geniesst, sieht sich das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) gezwungen, sich zu Kaspersky offiziell zu äussern. Die erste Kernaussage: "Dem BSI liegen derzeit keine Erkenntnisse vor, dass der Vorgang wie im Medienbericht beschrieben stattfand."
 
Zweitens: "Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen."
 
Nebenbei legt das BSI auch offen, man setze selbst "im Bereich der technischen Analyse auch Produkte von Kaspersky ein".
 
Die BSI-Aussage hat Gewicht, gilt die Behörde doch als ausgesprochen streng im internationalen Vergleich, und sie hat weitreichende Aufgaben: Das BSI erarbeitet Security-Mindeststandards, ist zuständig für die Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen sowie den Schutz der IT des deutschen Staats.
 
Schweiz: Keine "schwarzen Listen", keine Zertifizierungen
Wie ist die Situation – unabhängig von Kaspersky-Debatten – eigentlich in der Schweiz? In der Schweiz gibt es kein Bundesamt, dessen Kompetenzen und Verantwortlichkeiten direkt mit dem BSI vergleichbar wäre. Wer würde Listen führen, welche Produkte aus bestimmten Ländern wie Russland ausschliessen könnten? Und wie steht es eigentlich mit Security-Zertifizierungen für den Behördeneinsatz?

Das Informatiksteuerungsorgan des Bundes (ISB) ist für Sicherheitsvorgaben zuständig, und inside-it.ch hat nachgefragt: "Wir führen in der Bundesverwaltung keine Zertifizierungen von Sicherheitsprodukten durch und haben dementsprechend auch keine derartigen Listen. Bei Beschaffungen gelten grundsätzlich die IKT-Sicherheitsvorgaben des Bundes und es kommen in der Regel Sicherheitslösungen nach dem "State of the Art"-Ansatz zum Einsatz. Je nach Schutzbedarf sind gegebenenfalls weitergehende Anforderungen, mit entsprechenden Risikoabschätzungen, zu prüfen", antwortet Gisela Kipfer, Kommunikationsverantwortliche beim ISB.
 
"Bei kryptographischen Produkten für die Stufe "vertraulich" und höher müssen diese zusätzlich durch die Kryptoexperten des VBS geprüft und entsprechend freigegeben werden. Eine Beschaffung muss in diesen Fällen durch die Armasuisse erfolgen", so Kipfer weiter.
 
Soweit alles vorderhand klar in der Schweiz.
 
In den USA hingegen geht rund um den unbewiesenen "Kaspersky-Hack" etwas fast vergessen: Warum eigentlich kann ein Mitarbeiter eines NSA-Partners auf seinem PC streng geheime NSA-Daten nach Hause nehmen? Und warum durfte dieser Mitarbeiter Kaspersky installieren, wenn für die hoch geheimen Daten der NSA – im Unterschied zu andern US-Behörden – nur ein anderer Virenscanner zulässig ist? Dies jedenfalls schreibt das 'Wall Street Journal' mit Verweis auf "mit dem Vorgang vertrauten Personen". (Marcel Gamma)