342 BSI-Warnung gemäß BSIG § 7 Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht die vorlie- gende Warnung im Rahmen seines gesetzlichen Auftrags [1]. BSI-Veröffentlichungen zur Cyber-Sicherheit Viren-Schutzsoftware des Herstellers Kaspersky Risikostufe [2]:        4 - hoch 1 Sachverhalt Viren-Schutzsoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, ist essentiell zum Schutz von IT-Systemen. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt aber gerade Viren-Schutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur. Um einen aktuellen und wirksamen Schutz vor Schadsoftware zu gewährleisten, verfügt sie über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Viren-Schutzsoftware ist ein exponiertes Ziel von offensiven Operationen im Cyberraum, um potentielle Gegner auszuspionieren, die Integrität ihrer Systeme zu beeinträchtigen oder sogar die Verfügbarkeit der darauf gespeicherten Daten vollständig einzuschränken. Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts jüngst von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden. Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen eigenen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden. 2 Auswirkung Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten können Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden. BSI-W 0004 | Version 1.0 vom 15.03.2022                                       Seite 1 von 2

BSI-Veröffentlichungen zur Cyber-Sicherheit | BSI-Warnung gem. BSIG § 7                     343 Alle Anwender und Nutzerinnen der Viren-Schutzsoftware können je nach Ihrer strategischen Bedeutung von einer schädigenden Operation betroffen sein. Abgestuft ist damit zu rechnen, dass Einrichtungen des Staates, der Kritischen Infrastrukturen, der Unternehmen im besonderen öffentlichen Interesse, des produzierenden Gewerbes sowie wichtiger gesellschaftlicher Bereiche betroffen sein können. Privatanwender ohne wichtige Funktion in Staat, Wirtschaft und Gesellschaft stehen möglicherweise am Wenigsten im Fokus, können aber in einem erfolgreichen Angriffsfall auch Opfer von Kollateralauswirkungen werden. 3 Betroffene Produkte Betroffen ist das Portfolio von Viren-Schutzsoftware des Unternehmens Kaspersky. 4 Handlungsempfehlung Viren-Schutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden. Unternehmen und Behörden mit besonderen Sicherheitsinteressen/Rahmenbedingungen und Einrichtungen Kritischer Infrastrukturen sind in besonderem Maß gefährdet. Sie haben die Möglichkeit, sich von den zuständigen Verfassungsschutzbehörden bzw. vom BSI beraten zu lassen. Allgemeiner Hinweis: Der Wechsel wesentlicher Bestandteile einer IT-Sicherheits- infrastruktur muss im Enterprise-Bereich immer sorgfältig geplant und durchgeführt werden. Würden IT-Sicherheitsprodukte (also insbesondere Viren-Schutzsoftware) ohne Vorbereitung abgeschaltet, wäre man Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert. Der notfallmäßige Umstieg auf andere Produkte ist auf jeden Fall mit vorübergehenden Komfort-, Funktions- und Sicherheitseinbußen verbunden. Das BSI empfiehlt daher in jedem Fall eine individuelle Bewertung und Abwägung der aktuellen Situation sowie in einem erforderlichen Migrationsfall, Experten zur Umsetzungsplanung und -durchführung hinzuzuziehen. 5 Referenzen [1] Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – BSIG) https://www.bsi.bund.de/DE/DasBSI/Gesetz/gesetz_node.html [2] Darstellung Risikostufen https://www.cert-bund.de/risk BSI-W 0004 | Version 1.0 vom 15.03.2022                                                    Seite 2 von 2

344 063_3_Anschreiben_Kaspersky_BSI_Warnung_geschw ärzt.pdf

345 Bundesamt für Sicherheit in der Informationstechnik, 53175 Bonn                 Dr. Günther Welsch Bundesamt für Sicherheit in der Informationstechnik Kaspersky European Headquarters                                                           Godesberger Allee 185-189 2 Kingdom Street                                                                53175 Bonn London                                                                          Postanschrift: W2 6BD                                                                          Postfach 20 03 63 United Kingdom                                                                  53133 Bonn Tel. +49 228 99 9582 nachrichtlich:                                                                  Fax +49 228 99 10 9582 abteilung-km@bsi.bund.de Head of Public Affairs Europe www.bsi.bund.de Betreff: BSI Warnung nach § 7 BSIG: Gelegenheit zur Stellungnahme Geschäftszeichen: KM14-210 01 03 Anlage: Entwurf der Warnmeldung Datum: 14.03.2022 Seite 1 von 2 Sehr geehrte Damen und Herren, das Bundesamt für Sicherheit in der Informationstechnik (BSI) analysiert und bewertet regelmäßig im Rahmen seiner Aufgabenwahrnehmung die Sicherheit von Software und IT- Sicherheitsprodukten, so z.B. Viren-Schutzsoftware. Das BSI darf nach § 7 Abs. 1 BSIG u. a. vor Sicherheitslücken in informationstechnischen Produkten warnen und Informationen an die Öffentlichkeit über sicherheitsrelevante IT-Eigenschaften in Produkten richten. Im Zuge der kriegerischen Auseinandersetzungen zwischen Russland und der Ukraine ist eine neue Sicherheitslage für die Bundesrepublik Deutschland entstanden. Die damit einhergehenden Bedrohungen werden im Rahmen des IT-Risikomanagements mit Blick auf Software und IT- Sicherheitsprodukte neu bewertet. Im Fall der von Kaspersky vertriebenen Anti-Virenschutzsoftware kommt das BSI zum Schluss, dass derzeit ein hohes Risiko durch den weiteren Einsatz dieses Produktes allein schon dadurch entstehen kann, dass die für den Anti-Virenschutz auf den zu schützenden Zielsystemen gewährten Systemrechte eine Manipulation und Missbrauch durch Kaspersky und/oder Dritte ermöglichen.

346 Da somit hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik von dem Anti-Virenschutz der Firma Kaspersky ausgehen, kann das BSI in Erfüllung seiner gesetzlichen Aufgaben vor dem Einsatz des Produktes warnen und Empfehlungen aussprechen (§ 7 Abs. 2 BSIG). Es besteht aufgrund der besonderen Sicherheitssituation Gefahr im Verzug. Das BSI hält daher eine unverzügliche Reaktion für angemessen. Wir beabsichtigen morgen, Dienstag, den 15. März 2022 um 9:00 Uhr eine öffentlichkeitswirksame Produktwarnung zu publizieren. Wir gewähren dem Unternehmen Kaspersky eine Frist bis heute, Montag den 14. März 2022 um 17:00 Uhr, uns eine Stellungnahme in der Sache zukommen zu lassen. Sie haben damit die Möglichkeit, für Sie günstige Sachargumente zum weiteren Entscheidungsprozess im BSI beizutragen. Über unsere Entscheidung werden wir Sie informieren. Mit freundlichen Grüßen Im Auftrag Dr. Günther Welsch

347 063_4_2022_03_15_Kaspersky_Warnung_Pressemeld ung (002).pdf

348 BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten Bonn, 15. März 2022. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt nach §7 BSI-Gesetz vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Das BSI empfiehlt, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen. Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur. Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden. Ein russischer IT- Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber- Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden. Alle Nutzerinnen und Nutzer der Virenschutzsoftware können von solchen Operationen betroffen sein. Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber Kritischer Infrastrukturen sind in besonderem Maße gefährdet. Sie haben die Möglichkeit, sich vom BSI oder von den zuständigen Verfassungsschutzbehörden beraten zu lassen. Unternehmen und andere Organisationen sollten den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Würden IT-Sicherheitsprodukte und insbesondere Virenschutzsoftware ohne Vorbereitung abgeschaltet, wäre man Angriffen aus dem Internet möglicherweise schutzlos ausgeliefert. Der Umstieg auf andere Produkte ist mit vorübergehenden Komfort-, Funktions- und Sicherheitseinbußen verbunden. Das BSI empfiehlt, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.

349 64

350 064_0_geschwärzt.pdf

351