67 VS - NUR FÜR DEN DIENSTGEBRAUCH Referat KM 14                                                                              02. 03. 2021 Az. KM14-210 01 03 / VS-NfD Betr.       Bewertung von IT-Sicherheitsprodukten hier: Warnung vor Kaspersky-Produkten nach § 7 BSIG Bezug Anlagen     Entwurf Warntext 1) Vermerk zur Begründung der Warnung A    Begründung der Warnung nach § 7 Abs. 1 BSIG Das BSI darf nach § 7 Abs. 1 BSIG u.a. vor Sicherheitslücken in informationstechnischen Produkten und Diensten öffentlich warnen. Sicherheitslücken in diesem Sinne sind nach § 2 Abs. 6 BSIG „Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können.“ Zudem kann das BSI Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten an die Öffentlichkeit richten (§ 7 Abs. 1 Satz 1.d BSIG). Dabei ist nach Meinung in der Literatur zwar noch ein Bezug zur Gefahrenvorsorge notwendig, aber keine konkrete Gefahrenlage mehr (vgl. Ritter-Schulte, Die Weiterentwicklung des IT-Sicherheitsgesetzes, Art. 1 Nr. 9 IT-SiG 2.0, Rn. 307). Solche Sicherheitseigenschaften von Produkten können sich auch aus der Struktur des Anbieters ergeben. Da hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik von dem Anti-Virenschutz der Firma Kaspersky ausgehen, kann das BSI vor dem Einsatz des Produktes warnen und Empfehlungen aussprechen (§ 7 Abs. 2 BSIG). Die Ereignisse rund um Kaspersky werden vom BSI seit Jahren aufmerksam verfolgt. Mehrere westliche Staaten wie USA und Niederlande warnen seit Jahren öffentlich vor Kaspersky und haben die Software für den Einsatz im Behördenumfeld gesperrt Das BSI hat sich aber bislang mit öffentlichen Warnungen zu Kaspersky zurückgehalten. Der russische Angriff auf die Ukraine, der mit hybriden Mitteln - also auch im Cyberraum - geführt wird und von der UNO-Vollversammlung mit großer Mehrheit scharf verurteilt wurde, verändert die Lagebeurteilung. Russland ist kein demokratischer Rechtsstaat und sieht Deutschland durch die Beteiligung an Sanktionen und Waffenlieferungen als Feind an. Mit feindlichen Übergriffen auf deutsche Institutionen, Bundesamt für Sicherheit in der Informationstechnik                                             1

68 Unternehmen und IT-Infrastrukturen ist daher zu rechnen. Russische Unternehmen könnten zum einen für die Unterstützung der russischen Streitkräfte instrumentalisiert werden, zum anderen selbst Ziel massiver Cyberangriffe werden. Die Gefahr, dass Kaspersky in die kriegerischen Auseinandersetzungen hineingezogen wird, ist daher so groß, dass eine Warnung angemessen ist. Es muss damit gerechnet werden, dass Kaspersky nicht mehr die uneingeschränkte Kontrolle über seine Software und IT-Systeme hat bzw. diese in Kürze verlieren wird. Bereits in den letzten Jahren wurden Fälle bekannt, in denen staatliche Stellen Einfluss auf Kaspersky genommen haben: In den Jahren 2018 und 2019 wurden russische VPN-Anbieter gezwungen, bestimmte Verbindungen auf Anordnung der Regierung zu blocken. Während die meisten Anbieter die Kooperation verweigerten, kam Kaspersky den Anordnungen nach :     2 "Although not all VPNs are banned, a 2018 law introduced fines for search engines that brought up results to proxy sites (including VPNs) that would give Russians access to prohibited content or instructions on how to get access to that content. The following year, VPNs and search engines were compelled to block any websites that appeared on the federal government blacklist. Later, 10 VPN providers were ordered to hand over access to their servers or face being banned. Only one, Kaspersky Lab, which is based in Russia, agreed, while others - like ExpressVPN and NordVPN - shut down their Russian servers." Neben dem BSI haben auch andere Organisationen ihre Risikobewertung angepasst. Frankreich hat beispielsweise eine vergleichbare Warnung veröffentlicht .      3 Die Teilnehmer waren sich einig, dass der Einsatz von Kaspersky-Produkten hoch 1 2 https://www.techradar.com/vpn/which-websites-and-services-are-banned-in-russia 3 https://cert.ssi.gouv.fr/cti/CERTFR-2022-CTI-001/ 2                                             Bundesamt für Sicherheit in der Informationstechnik

69 problematisch ist. Zum Schutz ihrer IT-Systeme wurden daher automatische Updates abgestellt und Schritte eingeleitet, um die Software schnellstmöglich durch eine sicherere Alternative abzulösen. Die in der Warnung beschriebenen Angriffsvektoren sind nicht neu. Im Folgenden einige Beispiele, die belegen, welchen Schaden ein Angreifer mit Viren-Schutzsoftware anrichten könnte: 4 ✗ Am 10.06.2015 hat Kaspersky selbst in einer Pressemitteilung                          mitgeteilt, dass das Unternehmensnetzwerk gehackt wurde und Angreifer mit teils neuen Methoden versucht haben, vertrauliche Daten zu stehlen, die dann für Angriffe auf die Kunden missbraucht werden könnten. ✗ Am 05. Januar 2012 hat die Hacker-Gruppe „The Lords of Dharmaraja“ geheimen Sourcecode von Symantec bei Pastebin veröffentlicht. Symantec hat die Echtheit des Codes bestätigt und die sicherheitsrelevanten Auswirkungen mit dem BSI-Präsidenten in einem vertraulichen Gespräch erörtert. ✗ Alle Hersteller von Viren-Schutzprogrammen hatten in der Vergangenheit Schwachstellen, die für Angriffe auf Kundensysteme hätten genutzt werden können. Mit Kenntnis des Sourcecode oder noch nicht veröffentlichter Schwachstellen wäre eine Angreifer nicht auf offiziell gemeldete Schwachstellen angewiesen, um einen Angriff durchzuführen. Wenn schon Schwachstellen ausreichen, um Systeme komplett stillzulegen, wäre dies mit einer Backdoor noch sehr viel leichter. ✗ Es sind zahlreiche Vorfälle bei allen Herstellern von Viren-Schutzsoftware bekannt, in denen eine fehlerhafte Erkennungssignatur Windows-Systemdateien als schädlich klassifiziert und damit das IT- System blockiert hat. ✗ Es sind auch Vorfälle bekannt, bei denen nach einem Signaturupdate bestimmte Schadprogramme irrtümlich nicht mehr detektiert wurden. ✗ Alle Viren-Schutzprogramme haben Funktionen eingebaut, mit denen sich Schadsoftwareausbrüche begrenzen lassen. Dazu können sie beliebige Dateien blockieren oder löschen. Auch in der Bundesverwaltung hat es bereits einen Sicherheitsvorfall gegeben, bei dem durch eine Fehlbedienung der "Outbreak-Prevention"-Funktion eine ganze Behörde für einen Tag lahmgelegt wurde. ✗ Bei Updates werden nicht immer nur Signaturen übertragen. Es ist auch möglich, dass größere Softwarebestandteile (z. B. Scan-Engines) aktualisiert werden müssen, um mit neuen Signaturen/Erkennungsverfahren kompatibel zu bleiben. Dem BSI sind Fälle bekannt, bei denen durch Updates eines Viren-Schutzprogramms neue Funktionen installiert oder Konfigurationen überschrieben wurden, ohne dass die Nutzer dies bemerken konnten. In der Folge wurde Kundendaten ohne Genehmigung an den Hersteller übertragen. Derartige Vorfälle mussten alle Hersteller bereits vermelden. Sie sind immer unbeabsichtigt aufgrund von Fehlern oder Nachlässigkeiten geschehen. Eigene Entwickler oder Hacker, die in die Systeme des Herstellers eingedrungen sind, sind nicht auf Schwachstellen oder Fehler angewiesen, und könnten daher sehr einfach die folgenden Funktionen auf Kundensystemen implementieren: •   Zielsysteme analysieren (Systemeigenschaften, Hardwareeigenschaften, verwendete Software etc.) •   Daten zum Hersteller übertragen (z. B. Dateien, URLs) •   Dateien sperren oder löschen Um die gewollten Funktionalität bieten zu können, laufen Viren-Schutzprogramme zudem mit hohen Systemrechten, schützen sich vor Veränderungen und haben Zugriff auf das gesamte Filesystem. Durch die 4 https://www.kaspersky.com/about/press-releases/2015_duqu-is-back-kaspersky-lab-reveals-cyberattack-on-its- corporate-network-that-also-hit-high-profile-victims-in-western-countries-the-middle-east-and-asia Bundesamt für Sicherheit in der Informationstechnik                                                  3

70 hohe Updatefrequenz, die für einen einwandfreien Betrieb notwendig ist, könnten theoretisch beliebige Funktionalitäten unbemerkt hinzugefügt werden. Manipulationen lassen sich auch temporär vornehmen und dadurch sehr gut tarnen. Beispielsweise könnte für wenige Stunden ein bestimmter Schadcode bewusst nicht erkannt werden, um anderen Angreifern den Weg zu bereiten. Wenn die Kaspersky-Produkte für Angriffe entweder durch Anweisung der russischen Regierung oder durch staatliches Eindringen in deren Systeme instrumentalisiert werden, ist es daher möglich, dass auf die Systeme auf denen Kaspersky-Produkte installiert sind, unberechtigt zugegriffen oder Einfluss genommen werden kann. Kaspersky ist sich dieser Gefahren bewusst und hat in der Vergangenheit diverse Maßnahmen zur Vertrauensbildung ergriffen, die aber alle nicht geeignet sind, die aktuelle Gefahrenlage zu entschärfen. ✗ Kaspersky hat versucht, sich dem Einfluss russischer Behörden zu entziehen und betreibt eine Dateninfrastruktur in zwei Rechenzentren in Zürich zur Verarbeitung und Speicherung von Cyberbedrohungsdaten von Kunden aus Europa, den Vereinigten Staaten und Kanada sowie in mehreren asiatisch-pazifischen Ländern. Für die Bereitstellung von Updates/Virensignaturen stehen bei Bedarf verschiedene Server in Europa zur Verfügung, unter anderem in Frankfurt. Es ist unerheblich, wo die Kundendaten gehostet werden. Entscheidend ist, wer Sourceodeänderungen vornehmen und Signaturdaten erstellen kann und wie diese qualitätsgesichert und geprüft werden. Kaspersky kann nicht nachweisen, dass diese Prozesse komplett unabhängig vom russischen Hauptquartier durchgeführt werden. Es ist auch nicht transparent, wer administrativen Zugang zu den Systemen in Westeuropa hat. Aufgrund der Erfahrungen mit anderen Cloudanbietern ist es extrem unwahrscheinlich, dass die Rechenzentren in West-Europa komplett autark arbeiten und keine administrativen Eingriffe aus anderen Regionen erfolgen können. ✗ Die Sicherheit und Zuverlässigkeit der technischen und organisatorischen Verfahren und Datendienste von Kaspersky wurden von zwei externen, unabhängigen Prüforganisationen bestätigt. Kaspersky hat das SOC-2-Audit (Service Organization Control for Service Organizations) Typ 1 durch einen Big-Four- Auditor erfolgreich absolviert, welches die Sicherheit des Kaspersky-Prozesses zur Entwicklung und Freigabe von AV-Updates gegen das Risiko unbefugter Änderungen bestätigte. Darüber hinaus wurden Datendienste vom TÜV AUSTRIA nach ISO/IEC 27001:2013 zertifiziert. Eine Zertifizierung sagt nur etwas über den Soll-Zustand zum Zeitpunkt des Audits aus. Sie ist keine Garantie für den Ist-Zustand. ✗ Kaspersky sagt über sich selbst, als global agierendes privates Unternehmen (Sitz der Holding ist London, UK) keine Verbindungen zur russischen Regierung zu haben. Diese Aussage ist nicht glaubhaft. Kaspersky hat seinen Hauptsitz in Moskau und weist eine russische Eigentümerstruktur auf. Als eines der wichtigsten IT-Security-Unternehmen Russlands arbeitet Kaspersky eng mit Ermittlungsbehörden zusammen (s. o.). Wesentliche Teile der Belegschaft arbeiten daher in Russland oder haben familiäre Bindungen in Russland und sind daher dem direkten Einfluss und Druck der Behörden ausgesetzt. ✗ Kaspersky unterliegt nach eigenen Angaben nicht dem russischen System operativer Ermittlungsmaßnahmen (SORM) oder anderen ähnlichen Gesetzen und sei deswegen nicht zur Auskunftserteilung verpflichtet. Diese faktischen Einflussmöglichkeiten der russischen Regierung entfallen nicht deswegen, weil Kaspersky nach russischem Recht keinen Mitwirkungspflichten unterliegt (zu den Pflichten s. Gutachten Prof. Hober). Angesichts des eklatanten Bruchs von internationalem Recht durch Russland muss damit 4                                            Bundesamt für Sicherheit in der Informationstechnik

71 gerechnet werden, dass faktisch möglicher Einfluss der russischen Regierung auch gegen geltendes russisches Recht ausgeübt werden wird. Fazit: Durch manipulierte Viren-Schutzprogramme hat ein Angreifer nahezu unbegrenzte Möglichkeiten, IT- Systeme auszuspionieren oder zu sabotieren. Da Kaspersky-Produkte auch zur Absicherung Kritischer Infrastrukturen und in der deutschen Verwaltung eingesetzt werden, kann mit einer Warnung nicht gewartet werden, bis der erste Vorfall öffentlich bekannt wird. Vielmehr ist die Warnung zum jetzigen Zeitpunkt angezeigt, um rechtzeitig präventiv zu handeln und die relevanten Anwender vor potentiellem Schaden zu bewahren. Mildere Mittel zum Schutz der Informationssicherheit sind nicht ersichtlich. B     Vorherige Stellungnahmemöglichkeit nach § 7 Abs. 1 a Nr. 1 BSIG Kaspersky sollte vor der Veröffentlichung nur mit kurzer Frist informiert und Gelegenheit zur Stellungnahme gegeben werden. Es ist Gefahr im Verzug. Hacker könnten ihre Vorbereitungen bereits abgeschlossen haben und nur noch auf einen Einsatzbefehl warten. Es ist nicht ersichtlich, dass Kaspersky eine Möglichkeit hätte, durch technische oder sonstige Maßnahmen die Risikoeinschätzung positiv zu beeinflussen. Es ist nicht wahrscheinlich, dass der Hersteller an dem zugrunde liegenden strukturellen Sicherheitsproblem etwas ändern kann, da er kaum Einfluss auf die Gefährdung hat. Angesichts der Gefährdungslage erscheint eine kurze Frist daher verhältnismäßig und fachlich angemessen. C     Verfügung 2) BL 23 zur Kenntnis 3) KM zur Mitzeichnung [MZ. AL KM vom 3.3.2002] 4) TK zur Mitzeichnung 5) OC zur Mitzeichnung 6) BL zur Mitzeichnung 7) P/VP z. Billigung Im Auftrag für Sicherheit in der Informationstechnik                                          5

72 12

73 012_geschwärzt.pdf

74 Von:             GP Abteilung TK An:              Welsch, Günther Cc:              Schabhüser, Gerhard; Schönbohm, Arne; Caspers, Thomas; Samsel, Horst; Häger, Dirk; GP Leitungsstab; GP Stab 1 - Strategische Kommunikation und Presse; GP Referat KM 14; GP Stab 3 - Strategie und Leitungsunterstuetzung; GP Geschaeftszimmer_TK; GP Referat BL 23; GP Abteilung BL; GP Abteilung OC; GP Abteilung KM Betreff:         AW: AW: EILT!: BSIG § 7 Warnung Kaspersky Datum:           Freitag, 4. März 2022 19:30:41 Lieber Günther, Abteilung TK zeichnet mit. Viele Grüße Thomas -- Thomas Caspers Abteilungsleiter Technik-Kompetenzzentren Bundesamt für Sicherheit in der Informationstechnik Godesberger Allee 185-189 53175 Bonn Telefon: +49 (0)228 99 9582 E-Mail:    thomas.caspers@bsi.bund.de Internet: www.bsi.bund.de Es folgt 011_0_geschwärzt.pdf als Zitat.

75 13

76 013_0_geschwärzt.pdf