In Deutschland versuchte Kaspersky, sich gegen eine Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu wehren. Das Amt publizierte diese Mitte März und empfahl, die Anwendungen aus dem Portfolio der russischen Firma durch alternative Produkte zu ersetzen.

Dagegen ist Kaspersky juristisch vorgegangen. Das Verwaltungsgericht Köln hat den entsprechenden Eilantrag eines in Deutschland ansässigen Unternehmens aus der Kaspersky-Gruppe aber abgelehnt.

Ein russischer IT-Hersteller könnte gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen oder offensive Operationen durchführen, so die Bedenken des BSI. Ausserdem könnte Kaspersky als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.

Kaspersky erklärte als Reaktion auf die BSI-Warnung, man unterhalte keine Verbindungen zum Kreml. Es handle sich um reine Spekulation, die weder durch Beweise noch durch technische Details gestützt würden. Es habe trotz vielzähliger Untersuchungen in der 25-jährigen Geschichte der Firma nie einen Beweis gegeben, dass die Software für Spionage oder ähnliches missbraucht worden sei, so ein offener Brief von Firmengründer Eugene Kaspersky.

Das BSI ist mit seiner Warnung nicht allein. Ende März hat die amerikanische Telekommunikationsbehörde FCC die Firma Kaspersky Labs auf eine Schwarze Liste gesetzt. Damit wolle man die US-Infrastruktur vor Bedrohungen durch russische, staatlich unterstützte Unternehmen schützen, erklärte die Behörde.

Vor wenigen Tagen hat auch das britische National Cyber Security Centre (NCSC) eine Warnung für Unternehmen herausgegeben, die russische Produkte und Dienstleistungen nutzen. Unternehmen werden dringend aufgefordert, die Nutzung russischer Technologieanbieter zu vermeiden, wobei Kaspersky die einzige Firma ist, die in den neuesten Leitlinien explizit genannt wird. Am stärksten gefährdet seien Organisationen, die die Ukraine unterstützen oder die russische Regierung kritisieren, so das NCSC.

Die Warnung kommt etwa 5 Jahre, nachdem das NCSC Organisationen des öffentlichen Sektors dringend empfohlen hatte, Kaspersky Antivirus nicht zu verwenden. "Wir halten diesen Ratschlag immer noch für richtig", so NCSC-Direktor Ian Levy, obwohl sich der Kontext drastisch verändert habe.

Das NCSC argumentiert ähnlich wie das deutsche BSI: Das erhöhte Risiko ergebe sich aus der russischen Rechtsvorschrift, die Unternehmen wie Kaspersky dazu verpflichte, den Staatssicherheitsdienst (FSB) zu unterstützen. "Hacktivisten auf beiden Seiten" würden die Angelegenheit noch komplizierter machen, heisst es weiter.

Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als Cyberkrieg geführt werde, sei nicht hinreichend sicher auszuschliessen, dass russische Entwickler – aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure – die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen, schreibt das Kölner Verwaltungsgericht. Die von Kaspersky angeführten Sicherheitsmassnahmen würden keinen ausreichenden Schutz gegen eine staatliche Einflussnahme bieten. Es könne nicht ausgeschlossen werden, heisst es weiter, dass in "Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen" könnten.

Gegen den Beschluss kann Beschwerde eingereicht werden. Dann würde das Oberverwaltungsgericht über die Angelegenheit entscheiden.