219 Von:              GP Referat BL 25 An:               GP Abteilung KM Cc:               GP Fachbereich BL 2; GP Referat BL 25 Betreff:          AW: Nachgang 1 zu 0360_22 Erlass CI 1 - Kaspersky Viren-Schutzsoftware Datum:            Freitag, 11. März 2022 11:34:52 Lieber Herr Welsch, hier von einigen unserer Partner deren Position zur Kaspersky-Frage. Falls wir mehr bekommen, leite ich Ihnen das ebenfalls noch zu. Frankreich Siehe https://www.cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-001/. Hier mal eine Google Translate Übersetzung des relevanten Absatzes: „Im aktuellen Kontext kann die Nutzung bestimmter digitaler Tools, insbesondere der Tools der Firma Kaspersky, aufgrund ihrer Verbindung zu Russland in Frage gestellt werden. Zum jetzigen Zeitpunkt rechtfertigt kein objektives Element eine Änderung der Bewertung des Qualitätsniveaus der bereitgestellten Produkte und Dienstleistungen. Es sollten jedoch grundlegende Vorsichtsmaßnahmen getroffen werden. Das Abschalten von Cybersicherheitstools in einem Kontext von Spannungen im Cyberspace und verschärfter Cyberkriminalität kann die Cybersicherheit Ihres Unternehmens erheblich schwächen. Ohne eine alternative Lösung kann diese Trennung auch nicht empfohlen werden. Russlands Isolation auf der internationalen Bühne und das Risiko eines Angriffs auf mit Russland verbundene Industrieunternehmen können die Fähigkeit dieser Unternehmen beeinträchtigen, Aktualisierungen ihrer Produkte und Dienstleistungen bereitzustellen und sie daher auf dem neuesten Stand der Technik zu halten, der zum Schutz ihrer Kunden erforderlich ist . Mittelfristig muss daher über eine Strategie der Diversifizierung von Cybersecurity-Lösungen nachgedacht werden.“ Niederlande Dort gab es bereits vor einigen Jahren einen Bann von Kaspersky aus Regierungsnetzen. Kaspersky hatte ca. 2017/18 gegen die Entscheidung geklagt und verloren. Aktuelle Statements: https://jidachen.com/2022/03/10/ncsc-is-silent-on-the-risk-of-kaspersky-software/ Außerdem leider nur auf Niederländisch: https://www.rijksoverheid.nl/documenten/wob-verzoeken/2022/03/03/herziening-besluit-op- bezwaar-en-herziening-besluit-wob-verzoek-inzake-antivirussoftware-kaspersky-lab-b.v USA “US officials argued that the company's products could be under the influence of the Kremlin, and so represent a threat to US national security. These measures were taken following concerns that Russian nation-state hackers had influenced the 2016 presidential election. "The case against Kaspersky is well documented and deeply concerning," Democratic Senator Jeanne Shaheen said in 2017. Kaspersky Lab's repeated attempts to overturn the ban have so far proved unsuccessful.” GBR NCSC UK hat ebenfalls 2017 vor Kaspersky gewarnt, aber damals eine Hintertür offen gehalten und wollte mit Kaspersky über ein Abkommen verhandeln: „As well as keeping this guidance under review, we are in discussions with Kaspersky Lab, by far the largest Russian player in the UK, about whether we can develop a framework that we and

220 others can independently verify, which would give the Government assurance about the security of their involvement in the wider UK market. In particular we are seeking verifiable measures to prevent the transfer of UK data to the Russian state. We will be transparent about the outcome of those discussions with Kaspersky Lab and we will adjust our guidance if necessary in the light of any conclusions.” VG, Im Weiteren wird ein VS-NfD eingestufter Vorgang zitiert.

221 044_2_geschwärzt.pdf

222 Von:            GP Referat KM 14 An:             GP Referat BL 25 Cc:             GP Abteilung KM Betreff:        WG: Nachgang 1 zu 0360_22 Erlass CI 1 - Kaspersky Viren-Schutzsoftware Datum:          Freitag, 11. März 2022 13:57:01 da habe ich noch eine Einschätzung aus 2018 für Deine Sammlung: https://www.europarl.europa.eu/doceo/document/A-8-2018-0189_EN.html?redirect Die EU bezeichnet darin Kaspersky-Produkte als „malicious“. Viele Grüße Von: GP Abteilung KM <abteilung-km@bsi.bund.de> Gesendet: Freitag, 11. März 2022 13:51 An: GP Referat KM 14 <referat-km14@bsi.bund.de>; GP Fachbereich KM 1 <fachbereich- km1@bsi.bund.de> Betreff: WG: Nachgang 1 zu 0360_22 Erlass CI 1 - Kaspersky Viren-Schutzsoftware zwV. Im Folgenden wird 044_1_geschwärzt.pdf zitiert.

223 45

224 045_0_geschwärzt.pdf

225

226 045_1_CDR_Kaspersky_Warnung_V8_ÄndKö.pdf

227 BSI-Warnung gemäß BSIG § 7 Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht die vorlie- gende Warnung im Rahmen seines gesetzlichen Auftrags [1]. Viren-Schutzsoftware des Herstellers Kaspersky Risikostufe [2]:        4 - hoch 1 Sachverhalt Viren-Schutzsoftware, einschließlich der damit verbundenen echtzeitfähigen BSI-Veröffentlichungen zur Clouddienste, ist essentiell zum Schutz von IT-Systemen. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt aber gerade Viren-Schutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur. Um einen aktuellen und wirksamen Schutz vor Schadsoftware zu gewährleisten, verfügt sie über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Viren-Schutzsoftware ist ein exponiertes Ziel von offensiven Operationen im Cyberraum, um potentielle Gegner auszuspionieren, die Integrität ihrer Systeme zu beeinträchtigen oder sogar die Verfügbarkeit der darauf gespeicherten Daten vollständig einzuschränken. Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts jüngst von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden. Die Bedrohungssituation durch offensive Cyber Operationen von russischer Seite führen in der aktuellen Lage zu einer neuen Risikobewertung. Ein russischer IT- Hersteller kann selbst entsprechende Operationen durchführen, gegen seinen eigenen Willen gezwungen werden, Zielsysteme anzugreifen oder selbst als Opfer einer Cyber- Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden. 2 Auswirkung Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten können Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne BSI-W 000 | Version 1.0 vom 03.03.2022                                        Seite 1 von 3

228 BSI-Veröffentlichungen zur Cyber-Sicherheit | BSI-Warnung gem. BSIG § 7 Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden. Alle Anwender und Nutzerinnen der Viren-Schutzsoftware können je nach Ihrer strategischen Bedeutung von einer schädigenden Operation betroffen sein. Abgestuft ist damit zu rechnen, dass Einrichtungen des Staates, der Kritischen Infrastrukturen, der Unternehmen im besonderen öffentlichen Interesse des Staates, des produzierenden Gewerbes sowie wichtiger gesellschaftlicher Bereiche betroffen sein können. Privatanwender ohne wichtige Funktion in Staat, Wirtschaft und Gesellschaft stehen möglicherweise am Wenigsten im Fokus, können aber in einem erfolgreichen Angriffsfall auch Opfer von Kollateralauswirkungen werden. 3 Betroffene Produkte Betroffen ist das Portfolio von Viren-Schutzsoftware des Unternehmens Kaspersky. 4 Handlungsempfehlung Viren-Schutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden. Unternehmen und Behörden mit besonderen Sicherheitsinteressen/Rahmenbedingungen und Einrichtungen Kritischer Infrastrukturen sind in besonderem Maß gefährdet. Sie haben die Möglichkeit, sich von den zuständigen Verfassungsschutzbehörden bzw. vom BSI beraten zu lassen. Allgemeiner Hinweis: Der Wechsel wesentlicher Bestandteile einer IT-Sicherheits- infrastruktur muss im Enterprise-Bereich immer sorgfältig geplant und durchgeführt werden. Würden IT-Sicherheitsprodukte (also insbesondere Viren-Schutzsoftware) ohne Vorbereitung abgeschaltet, wäre man Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert. Der notfallmäßige Umstieg auf andere Produkte ist auf jeden Fall mit vorübergehenden Komfort-, Funktions- und Sicherheitseinbußen verbunden. Das BSI empfiehlt daher in jedem Fall eine individuelle Bewertung und Abwägung der aktuellen Situation sowie in einem erforderlichen Migrationsfall, Experten zur Umsetzungsplanung und -durchführung hinzuzuziehen. 5 Referenzen [1] Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) Fehler! Linkreferenz ungültig.https://www.bsi.bund.de/DE/DasBSI/Gesetz/gesetz_node.html BSI-W 000 | Version vom 30.12.1899                                                 Seite 2 von 3