Nach harten Vorwürfen versucht Kaspersky seine Reputation zu schützen. Was taugen die Massnahmen? Wir haben das Transparenzzentrum in Zürich besucht und mit Security-Fachleuten gesprochen.
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) mahnte im Frühling, Software des russischen Herstellers Kaspersky durch alternative Produkte zu ersetzen. Russland könne die Firma zur Spionage zwingen, argumentierte das Amt. Die Antiviren-Software braucht, wie auch jene der Konkurrenz, für Malware-Analyse und Updates eine ständige Verbindung zu den Servern der Firma. Zudem benötigt sie hohe Zugriffsrechte auf den Rechnern ihrer Anwender. Illegitimen Datenverkehr, also zum Beispiel Spionage-Aktivitäten, könne man so nur sehr schwer erkennen, sagt Security-Spezialist David Gugelmann, der an der ETH Zürich eine Doktorarbeit zu Netzwerkforensik verfasst hat. Für Spionage ständen also Tür und Tor offen. Beweise oder technische Anhaltspunkte dafür gibt es aber nicht.
Kaspersky gilt als transparent bei der Offenlegung von Lücken und hat etwa nachgewiesen, dass ein Teil des Codes, der beim berüchtigten Solarwinds-Hack eingesetzt wurde, zuvor von russischen Hackern benutzt worden war. Auch aktuelle russische Cyberangriffe gegen die Ukraine hat das Unternehmen untersucht. 2016 hatte Kaspersky aber auch die Hackerorganisation "Equation Group" enttarnt, die den Indizien zufolge über ein Jahrzehnt mit dem US-Nachrichtendienst NSA zusammengearbeitet haben soll. Im Jahr zuvor hatten laut Medienberichten israelische Staatshacker den USA gesteckt, dass Kaspersky-Software für Spionage gegen das Land genutzt worden sei.
Die USA üben seither Druck auf den Antiviren-Spezialisten aus. Bereits 2017 kündigte das Heimatschutzministerium ein Verbot des Einsatzes bei Behörden an. Im Frühling 2022, nach dem russischen Angriff auf die Ukraine, wurde Kaspersky auf die "Schwarze Liste" gesetzt, auf der auch Huawei zu finden ist. Kurz zuvor hatte das deutsche BSI seine Warnung veröffentlicht. Eugene Kaspersky sprach von falschen Anschuldigungen und einem politischen Entscheid. Der Gründer hatte bereits 2017 eine Transparenzinitiative gestartet, um den Vorwürfen entgegenzutreten. Das erste Zentrum nahm vor rund 4 Jahren in einem Data Center in Zürich seinen Betrieb auf. Dort hat sich Kaspersky eingemietet und verarbeitet nach eigenen Angaben auch die Daten der Kunden in Europa, Nord- und Lateinamerika sowie dem Nahen Osten. Bei einem Besuch vor Ort haben wir uns einen Eindruck verschafft.
Besuch in Opfikon: "Es gibt keine Geldflüsse nach Russland"
Das Rechenzentrum im Gewerbegebiet von Opfikon ist mit Holzbrettern und Stacheldraht gegen eine riesige Baustelle abgeschirmt. Hinter der ersten Schleuse wartet ein halbes Dutzend Sicherheitsleute in einem Kontrollraum, um Ausweise zu kontrollieren und Fingerabdrücke zu machen, bevor sie Einlass gewähren. Im zweiten Stock des Betonblocks liegt Kasperskys Transparenzzentrum – ein Zimmer mit grossem Tisch und zwei Computern. Hier können Kunden Design, Code und Updates der Software unter die Lupe zu nehmen. Erst kürzlich sei die Behördendelegation eines südamerikanischen Landes vor Ort gewesen, um eine solche Codereview durchzuführen, sagt René Bodmer, leitender Kaspersky-Manager Threat Intelligence Services in der Schweiz und Österreich. Er ist als Mitglied im hiesigen Stab IKT der wirtschaftlichen Landesversorgung und der Fachgruppe "Information Security" des Verbandes Swico gut informiert und vernetzt.
Das Transparenzzentrum von Kaspersky in Opfikon. Foto: Kaspersky
Bodmer spricht offen: Ja, man spüre auch in der Schweiz den Druck, der von Deutschland ausgehe. So hätten sich einige kleinere Kunden empört abgewandt und auch einige Partner mit deutschem Hauptquartier hätten sich zurückgezogen. Dank der guten Reputation seien aber die wichtigen Kunden erhalten geblieben und man habe weitere dazugewonnen, unterstreicht Bodmer. Global hat Kaspersky im letzten Halbjahr Umsatzeinbussen im einstelligen Prozentbereich hinnehmen müssen, 80% des Umsatzes werden ausserhalb Russlands generiert. Ohne konkret zu werden, sagte Bodmer, man spüre den Druck an den Schweizer Zahlen kaum, eher merke man gelegentlich die Empörung bei Kunden und Partnern.
Dem wollte Gründer Eugene Kaspersky, der mit seiner Familie in Moskau lebt, in einem offenen Brief entgegenwirken: Ohne Russland offen zu verurteilen, nannte er den Krieg eine Tragödie, die Leid über unschuldige Menschen gebracht habe. "Eugene hat Kaspersky schon 2001 mit der Etablierung einer Holding in Grossbritannien komplett international aufgestellt", sagt Bodmer. Die Schweizer Ländergesellschaft gehöre zu jener Holding und nicht zur russischen Gesellschaft. "Von uns fliessen keine Gelder nach Moskau", betont Bodmer, über dessen Ländergesellschaft rund die Hälfte der Kaspersky-Finanzströme gehen. Da die Firma nicht börsenkotiert ist, ist sie auch nicht rechenschaftspflichtig. Es gehöre aber zur Transparenz, Besitzstruktur und Finanzflüsse öffentlich zu machen, sagt der Manager.
Backdoors, Behörden und das BSI
Das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz verzichtete bislang auf eine Ermahnung der Behörden und auch auf eine Warnung vor Kaspersky. Auf Anfrage erklärte der operative Leiter Pascal Lamia, man habe keine Kenntnisse von einem Missbrauch seitens der Firma. Das NCSC ist beim eidgenössischen Finanzdepartement (EFD) angesiedelt. Anders sieht dies beim deutschen Pendant aus: Das BSI ging 1991 aus dem Bundesnachrichtendienst (BND) hervor. Konkret aus jener Dienststelle, die für die Schweizer Crypto AG schwache Verschlüsselungsalgorithmen geliefert hatte, um westlichen Geheimdiensten Spionageaktivitäten zu ermöglichen. Noch heute ist das BSI beim Innenministerium angesiedelt, dem auch der Nachrichtendienst untersteht. Die Recherche eines Journalistenkollektivs zeigte kürzlich anhand interner Kommunikation, dass die Warnung vor Kaspersky höchstwahrscheinlich politisch motiviert war.
David Gugelmann. Foto: Exeon
Das BSI könne im Zürcher Transparenzzentrum jederzeit Quellcode, Updates, Architektur und Prozesse untersuchen, sagt Bodmer. Es habe aber nie angeklopft, obwohl man lange eng mit der Behörde zusammengearbeitet habe. Wie sinnvoll und ergiebig ein Codereview vor Ort aber überhaupt ist, ist fraglich. Für Hersteller sei es relativ einfach, absichtlich Lücken zu verstecken, die erst in einer bestimmten Kombination von Inputs aktiviert würden, sagt Security-Experte Gugelmann. "Es ist extrem schwierig, Backdoors zu finden. Eine absichtlich eingebaute Schwachstelle des US-Auslandsgeheimdienstes NSA in einer andere Software blieb jahrelang unentdeckt", ergänzt er. Und finde man eine Hintertür in einem Codereview, könne der Hersteller auch einfach sagen: "Sorry, das war keine Absicht, sondern ein Bug."
Was taugt das Transparenzdispositiv?
Vielleicht ist das auch der Grund, warum wenige Leute das Zentrum von Kaspersky bislang genutzt haben. Quellcodeprüfungen von Produkten hätten nur gelegentlich stattgefunden, sagt Igor Kumagin. Der Senior Project Manager Government Relations ist aus Moskau ins Zürcher Transparenzzentrum zugeschaltet und schildert technische Details: Eigene Software zur Codeprüfung dürften Kunden nicht benutzen, aber sie könnten Kaspersky-Mitarbeitende auffordern, ein bekanntes Tool ihrer Wahl zu erwerben und dieses zu verwenden. Bis zu 4 Tage soll man damit die Software von Kaspersky durchforsten dürfen.
Wenn man den Code nicht selbst kompiliert, hat man indes keine Garantie, dass der untersuchte Code auch dem produktiven entspricht. Darauf angesprochen sagt Kumagin: Besucher könnten aus dem Code generierte Binär-Dateien mit öffentlich verfügbaren Modulen vergleichen, um dies zu prüfen. Kaspersky verwende einen deterministischen Build-Prozess, der ähnliche Binär-Module für jeden Quellcode-Build erzeuge.
Sauberer Code macht zwar Backdoors oder illegitime Funktionen unwahrscheinlicher, aber Spionage durch Russland ist aufgrund der hohen Rechte der Software und der beständigen Leitung nicht ausgeschlossen. Zumal eine einmalige Prüfung des Quellcodes durch die häufigen Updates stark entwertet wird, wie Security-Experten in Gesprächen sagen. Man habe auch organisatorische Massnahmen ergriffen, entgegnet Manager Bodmer darauf. Wenn ein neues Update anstehe, werde dieses immer von einem internationalen Team von Kaspersky überprüft, bevor es freigegeben werde – auch von Teammitgliedern in den USA oder Kanada.
René Bodmer. Foto: Kaspersky
Kaspersky lässt sich zudem von einem der vier grossen Wirtschaftsprüfer nach den Prinzipien des US-Verbands AICPA auditieren. Im ausführlichen SOC-2-Bericht werden neben der Software und deren Test- und Release-Systemen auch Organisation, Kommunikation und Management durchleuchtet. Auf Anfrage erhielt inside-it.ch den neusten Bericht vom Frühling 2022, einzige Bedingung: Autor und Inhalt dürfen nicht wiedergegeben werden. Abweichungen von den Vorschriften konnten die Prüfer nicht feststellen.
Das geopolitische Problem: Russland
Kaspersky will in den nächsten Wochen weitere Transparenzzentren eröffnen, sagt Anastasiya Kazakova, die ebenfalls von Moskau zugeschaltet ist. Auch ein öffentliches Bug-Bounty-Programm laufe seit Jahren, erklärt die für die Transparenzinitiative zuständige Managerin. Man habe seit 2018 für 131 Bugs 75'750 Dollar ausbezahlt, die höchste Belohnung habe 24'000 Dollar betragen. Maximal kann ein wohlgesonnener Hacker für eine Lücke 100'000 Dollar einstreichen.
Die Bemühungen um Transparenz wirken umfassend, auch die Kommunikation war während den Recherchen offen und transparent. Und Spionage würde dem Geschäftsinteresse von Kaspersky widersprechen. Aber: In autokratisch regierten Ländern sind die Möglichkeiten der Behörden umfassend. Ein Gutachten (PDF) von Kaj Hober, einem schwedischen Spezialisten für russisches Recht, zeigte zwar 2019, dass Kaspersky offiziell nicht unter die Gesetzesartikel in Russland fällt, die die Herausgabe von Daten erzwingen. In einem autokratisch geführten Staat ist das allerdings rasch Makulatur.
Und natürlich kann das Zentrum von Kaspersky in Russland auf die Zürcher Infrastruktur zugreifen, schliesslich müssen Updates überspielt und Bedrohungsdaten geteilt werden. Aus Gründen der Transparenz und der Rechenschaftspflicht würden alle derartigen Zugriffsanfragen protokolliert und den Kunden auf Anfrage zur Verfügung gestellt, heisst es von Kaspersky. Auch das könne man im Transparenzzentrum überprüfen. Liefere man alle notwendigen Angaben, soll eine solche Untersuchung innert drei bis vier Arbeitstagen bewilligt sein. Das Unternehmen unternimmt viel, um das Vertrauen zu stärken und seine Reputation zu schützen, eine Garantie für Sicherheit und Integrität ist das aber natürlich nicht – ebenso wenig allerdings bei der Konkurrenz, die in der Regel keine Transparenzzentren betreibt. Wie dies bei Huawei aussieht, lesen Sie im nächsten Teil dieser Serie.