Mit dem Einfall Russlands in die Ukraine rückt ein Konzern einmal mehr ins Rampenlicht, der aufgrund seiner russischen Wurzeln schon wiederholt zum geopolitischen Spielball wurde: Kaspersky. Mit seiner Antiviren-Software ist der Hersteller auch in Österreich und Deutschland auf vielen Rechnern vertreten. Aber auch viele Firmen setzen auf die Sicherheitsprodukte Kasperskys, die eigentlich vor Cyberangriffen und dem Ausspionieren von Firmengeheimnissen schützen sollen.

Doch genau daran zweifeln derzeit viele. Ungeachtet dessen, dass die Kaspersky-Holding mittlerweile in London angesiedelt und die meisten Kundendaten in der Schweiz verarbeitet werden, ist Kaspersky auch in Moskau weiterhin stark verankert. Zu den Kunden zählt etwa das russische Verteidigungsministerium, dessen Internetadresse auch aktuell mittels Kaspersky-Software vor DDoS-Attacken und anderen Angriffen geschützt wird.

Deutsche Politiker hinterfragen Kaspersky

Die vielerorts geäußerte Befürchtung ist, dass die russische Regierung Kaspersky im schlimmsten Fall zu einer Implementierung von Einfallstoren für Schadsoftware zwingen und so auch Zugriff auf sensible Firmen- und Personendaten bekommen könnte. Auch wenn es dafür bisher keine konkreten Hinweise gab, warnen in Deutschland mittlerweile auch Vertreter der Regierungsparteien vor dem russischen Hersteller.

Der auch mit Cyberattacken geführte Krieg habe "ein großes Fragezeichen hinter Kaspersky und andere aus Russland stammende Unternehmen gesetzt", meinte etwa Manuel Höferlin, innenpolitischer Sprecher der FDP, gegenüber "Heise". Auch aus der SPD sind ähnliche Töne zu hören. In den USA ist es Behörden bereits seit 2017 verboten, Kaspersky-Software einzusetzen. Der Vorwurf lautete damals, Hacker hätten über Kaspersky-Software sensible Daten aus US-Geheimdienstkreisen gestohlen. Kaspersky wies die Anschuldigungen stets zurück.

Wie sicher ist Kaspersky?

Das Risiko, dass der global agierende Hersteller von Antivirenprogrammen unbemerkt von lokalen Niederlassungen und Teams auf der ganzen Welt seine Sicherheitssoftware zur Cyberwaffe Putins umfunktionieren könnte, gilt in Fachkreisen als gering. Denn eine derartige Aktion würde den Konzern bei Bekanntwerden wirtschaftlich ruinieren. Die Manipulation von Software oder das Ausnützen einer Schwachstelle durch eine einflussreiche Regierung ist theoretisch zwar auch möglich. Das betrifft freilich aber alle Hersteller, egal ob sie aus Russland, den USA oder Israel stammen.

Auch beim österreichischen Computer Emergency Response Team (CERT) zeigt man sich zurückhaltend, was eine Bewertung von Kaspersky betrifft. "Unabhängig von den verwendeten Sicherheitssystemen gilt es in der aktuellen Situation für Unternehmen ruhig, aber gleichzeitig wachsam zu bleiben", sagt Wolfgang Rosenkranz von CERT.at zum STANDARD.

Aufgrund der geopolitischen Lage und möglicher Cyberangriffe sollten Systeme derzeit verstärkt aktiv geprüft sowie Auffälligkeiten und Softwarelücken schnell kommuniziert und mit anderen Sicherheitsbeauftragten geteilt werden, rät Rosenkranz. Privatpersonen wiederum sollten ebenfalls vorsichtig agieren, was Phishing-Attacken über E-Mail betrifft und sicherstellen, dass man über aktuelle Backups der eigenen Geräte verfüge.

Kritik an Firmengründer Eugene Kaspersky

Dass die Zweifel an der Integrität Kasperskys in der jetzigen Situation aufflammen, liegt auf der Hand. Dazu kommt, dass sich der Konzern mit einer öffentlichen Verurteilung der Russland-Invasion sichtlich schwertut. Auch mehrere Tage nach Kriegsbeginn kommunizierte das Unternehmen auf Social-Media-Kanälen so, als wäre geopolitisch nichts geschehen und der Gründungs- und Firmensitz mit hunderten Mitarbeiterinnen und Mitarbeitern nicht in Moskau.

Erst am 1. März folgte ein Statement von Gründer Eugene Kaspersky auf Twitter, das der Konzern dem STANDARD auch als offizielle Stellungnahme zukommen ließ. "Wir begrüßen die Aufnahme von Verhandlungen zur Beilegung des Konflikts in der Ukraine und hoffen, dass diese zu einer Einstellung der Kampfhandlungen und zu einer diplomatischen Lösung führen werden. Wir glauben, dass der friedliche Dialog das einzig mögliche Instrument zur Lösung von Konflikten ist. Krieg ist für niemanden gut."

Auch wenn Kaspersky wohl auch im Sinne der internationalen Belegschaft darlegte, dass man über die "Ereignisse" schockiert sei, sorgten die Formulierungen nicht nur in der Security-Szene, in der Kaspersky eigentlich einen guten Ruf genießt, für herbe Enttäuschung. Die brutale russische Invasion und den blutigen Krieg als "Situation" oder "Konflikt" zu bezeichnen bzw. auf einen "Kompromiss" zu drängen (siehe englischer Original-Tweet), wurden als verharmlosend und irreführend hinsichtlich Russlands Rolle als Aggressor empfunden.

Angst vor Repressalien oder Kreml-Nähe?

Ob die übervorsichtige Formulierung der Angst vor Repressalien für die Belegschaft in Russland geschuldet ist oder ein Ausdruck der seit Jahren nachgesagten guten Verbindungen zur russischen Regierung, ist von außen schwer zu beurteilen. Wirtschaftlich könnte es für Kaspersky im Rest der Welt allerdings schnell eng werden, wenn es dem Konzern nicht gelingt, sich glaubhaft gegen das Narrativ der russischen Führung zu stellen und klare Worte gegen die Invasion zu finden.

Der deutsche Fußball-Bundesligaverein Eintracht Frankfurt etwa drohte Kaspersky, den seit 2018 bestehenden Sponsoringvertrag aufzulösen und strich ihn kurzerhand von seiner Website. Das Ende der Kooperation dürfte in letzter Minute aber abgewendet worden sein. Ferrari-Partner dürfte der Sicherheitsanbieter aktuellen Informationen zufolge auch bleiben. Teamchef Mattia Binotto teilte mit, dass Kaspersky "ein globales Unternehmen" sei und deshalb nicht von Sanktionen betroffen sei.

Kooperation mit TÜV Austria bleibt bestehen

Auf Nachfrage des STANDARD ist man offensichtlich um Schadensbegrenzung bemüht. Kaspersky sei ein privat geführtes, internationales Unternehmen, dessen Holding in Großbritannien registriert sei. Zur russischen Regierung halte man seit Jahren Distanz, teilt eine Sprecherin mit. Die Sicherheit und Zuverlässigkeit der technischen Abläufe und Datendienste von Kaspersky seien durch diverse unabhängige Prüfungsorganisationen und Audits bestätigt worden. Auch sei man durch den TÜV Austria zertifiziert.

Bei diesem bestätigt man die Zertifizierung (ISO 27001) aus dem Jahr 2020, bei der es um die technisch saubere Implementierung, Überwachung, Wartung und kontinuierliche Verbesserung der angebotenen Sicherheitslösungen geht. Sie wird jährlich einer Prüfung unterzogen. Eine erst kürzlich bekanntgegebene Zusammenarbeit des TÜV Austria mit Kaspersky für Schulungszwecke in Unternehmen soll fortgesetzt werden, wie die Zertifizierungsstelle dem STANDARD mitteilte. (Martin Stepanek, 5.3.2022)