Kaspersky fordert das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) auf, die am 15. März 2022 veröffentlichte Warnung vor der Antivirensoftware zurückzuziehen oder zumindest anzupassen. Das schreibt das Unternehmen in einem Blogpost. Man habe dem BSI seit der Warnung umfangreiche Informationen zur Verfügung gestellt, die aber bis heute nicht berücksichtigt worden seien, heisst es weiter.

Es ist spätestens seit dem Sommer klar, dass die BSI-Warnung rechtlich und fachlich umstritten ist. Damals hatten interne Dokumente des BSI die Position von Kaspersky unterstützt, wonach bis heute keine Sicherheitslücken in der AV-Software aufgezeigt werden konnten und keine ausreichenden Beweise für eine Bedrohung der Cybersicherheit. Vielmehr zeigten Akten des BSI, deren Veröffentlichung erst durch einen Antrag nach dem Informationsfreiheitsgesetz möglich wurden, "dass die Warnung auf Basis geopolitischer Überlegungen veröffentlicht wurde", so Kaspersky.

Auch deutsche Medien halten dazu jetzt fest, dass in IT-Sicherheitskreisen die Warnung stets umstritten gewesen sei. Es habe vom BSI keinerlei technische Begründung gegeben, sondern es sei nur eine mögliche Einflussnahme durch russische Akteure in den Raum gestellt worden. Kaspersky-Chef Eugene Kaspersky ist Russe, der Firmensitz ist in Moskau. Nur hat das Unternehmen in den vergangenen Jahren unter anderem Server in die Schweiz verlegt und versucht, so den Einfluss Russlands zu minimieren.

Kein Wunder also, wenn der Security-Spezialist nun wieder betont, dass man "ein ethisch agierendes, verantwortungsbewusstes, unabhängiges und transparentes Unternehmen" sei, durch die Warnung des BSI aber "inzwischen erheblichen Reputations- und wirtschaftlichen Schaden erlitten" habe.

Wie die 'Süddeutsche Zeitung' schreibt, habe sich Kaspersky nach der Warnung mit einer Verfassungsbeschwerde an das Bundesverfassungsgericht gewandt. Das Unternehmen war dort aber abgeblitzt und auf die Entscheidung der Verwaltungsgerichte verwiesen worden. Ob Kaspersky noch vor dem Verwaltungsgericht klagen wird, sei aber noch nicht entschieden, heisst es in dem Bericht weiter.

Kaspersky verweist in seinem Blog auf die breite öffentliche Diskussion dieses Falls und zitiert die Auffassung des deutsch-japanischen Rechtsprofessors Dennis-Kenji Kipker, der auf IT-Recht und IT-Sicherheitsrecht spezialisiert ist: "Was wir jedoch nicht brauchen können, sind klandestin operierende Staatsorgane, die unter dem Deckmantel der Cybersicherheit politische Entscheidungen mit erheblichen Rechtswirkungen treffen und dadurch sowohl Bürger wie Unternehmen in unserem Land verunsichern und so nicht nur dem Ruf des BSI, sondern der Cybersicherheit im Ganzen schaden."

Vor diesem Hintegrund fordert Kaspersky vom BSI nun, seiner gesetzlichen Verpflichtung gerecht zu werden. Zumal nach 7 Monaten immer noch keine sachlichen Begründungen für die Warnung und deren Aufrechterhaltung vorliege. Die den Medien ausgelieferten Akte dokumentiere zahlreiche Annahmen und Aussagen des BSI, die sich im Nachhinein als falsch herausgestellt hätten. Auch sei das BSI gesetzlich verpflichtet, "unverzüglich zu informieren, wenn sich die der Öffentlichkeit erteilten Informationen nachträglich als unrichtig herausstellen oder die zugrunde liegenden Umstände als unzutreffend gemeldet werden", wie es hier der Fall sei. Weiter habe es seit der Warnung keinen Cybervorfall mit Kaspersky-Software gegeben und die Einschätzung des BSI, es bestehe Gefahr im Verzuge, habe sich im Nachhinein als falsch erwiesen.

Die Forderungen und Veröffentlichungen kommen zu einer Unzeit fürs BSI, wo gerade dessen Präsidenten Arne Schönbohm wegen seiner Nähe zu einem umstrittenen Lobbyverein in der Kritik steht. Auch Kaspersky kommt auf Aussagen von Schönbohm zu sprechen, die falsch gewesen und ohne eine fachliche oder rechtliche Grundlage seien. Denn der BSI-Präsident hatte in einer Rede vom 23. Juni 2022 auf der Potsdamer Konferenz für Nationale Cybersicherheit gesagt: "Wer weiterhin Antivirensoftware von Kaspersky zum Beispiel in kritischen Infrastrukturen oder in Landesparlamenten einsetzt, handelt fahrlässig". Und: "Kaspersky ist eine Gefahr für die nationale Sicherheit".