Interview
Mit Transparenz gegen Movie-Plot-Szenarien
Mitte März geriet Kaspersky in die Schusslinie der Weltpolitik als das BSI vor dem Einsatz der Endpoint-Security-Software des russlandstämmigen Anbieters warnte. LANline befragte Waldemar Bergstreiser, Head B2B Germany bei Kaspersky, wie der Anbieter mit dieser heiklen Lage umgeht.
LANline: Herr Bergstreiser, zum Einstieg natürlich die „Elephant in the Room“-Frage: Wie sehr hat die Warnung des BSI (Bundesamt für Sicherheit in der Informationstechnik) von Mitte März Sie überrascht, wie sehr Ihrem Business in Deutschland geschadet – und wie haben Sie das verkraftet?
Waldemar Bergstreiser: Wir arbeiten seit vielen Jahren mit dem BSI zusammen. Wir haben nichts zu verbergen, unterhalten global aufgestellte Transparenzzentren und stellen unseren Quellcode zur Verfügung. Wir sind auch in die gängigen Bug-Bounty-Programme involviert. Unsere Philosophie war es schon immer, den Menschen wie auch den Unternehmen zu ermöglichen, im Cyberraum sicher zu agieren. Seit Jahren arbeiten wir außerdem daran, die Cyberimmunität voranzutreiben, hier machen wir tatsächlich sehr gute Fortschritte. Die BSI-Warnung kam deshalb völlig unerwartet. Das BSI ist dafür verantwortlich, die technischen Voraussetzungen für den IT-Einsatz zu prüfen, aber hier gab es keinen Grund für eine Warnung. Das hat auch die Recherche von SZ und BR kürzlich bestätigt.
LANline: In der Tat, die Kollegen von SZ und BR haben die politische Motivation der BSI-Warnung dargelegt. Auf Regierungsseite befürchtete man offenbar, der russische Geheimdienst könnte Kaspersky-Software für Angriffe missbrauchen – ein derart konkretes Szenario, dass Bruce Schneier es wohl als „Movie Plot Threat“ bezeichnen würde. Trotzdem: Was antworten Sie Organisationen, die Befürchtungen bezüglich einer Erpressung von Kaspersky-Entwicklern in Russland durch dortige Dienste hegen?
Bergstreiser: Erstens veröffentlichen wir in regelmäßigen Reports jegliche Anfragen, die von Regierungen an uns gestellt werden. Da geht es übrigens nicht nur um die russische Regierung. Zweitens haben wir global agierende Entwicklerteams. Diese sitzen teils in Nordamerika, auch in Europa haben wir Freigabezentren. Im schlimmsten Fall, wenn jemand irgendeinen Unfug treiben möchte, würden die anderen internationalen Teams das bemerken. Denn nichts darf bei uns ins System, ohne vorher mehrere Überprüfungen diverser Teams bestanden zu haben. Dafür nutzen wir Verfahren, die man bei uns einsehen kann, auch in unseren Transparenzzentren werden diese Verfahren sehr gut erklärt.
Wir arbeiten natürlich weiterhin daran, jegliche Bedenken auszuräumen. Als Kaspersky mussten wir schon immer mehr tun als alle anderen. Wir würden uns wünschen, dass Cybersicherheitssoftware-Standards eingeführt werden, so wie man auch beim Kauf von Kinderspielzeug davon ausgehen kann, dass es bestimmte Verfahren und Prüfungen bestanden hat.
LANline: Also ein Prüfsiegel für Security-Software?
Bergstreiser: Richtig, wünschenswert wären Standards für Security-Software, die für alle gelten. Wir wissen ja zum Beispiel, dass nicht nur autokratische, sondern auch demokratische Regierungen Informationen beschaffen wollen. Denken Sie als aktuelles Beispiel an die Spionagesoftware, die gezielt gegen Journalisten eingesetzt wurde (gemeint ist die Pegasus-Spyware des israelischen Anbieters NSO, d.Red.). Alle wissen, wer hier Anfragen gestellt hat und sich das vorführen ließ, auch in von mir sehr geliebten demokratischen Ländern, und wer das zum Einsatz gebracht hat. Eine Erpressung von Entwicklern durch eine kriminelle Organisation oder eine Regierung ist prinzipiell möglich, deshalb geht es um die Frage: Wie weit kommen sie? Welche Standards und Verfahren baut ein Anbieter auf, damit genau das keinen Sinn hat? Hier sind wir imstande zu sagen, dass es bei uns einfach nicht möglich ist. Wir sind ein unabhängiges Unternehmen und arbeiten mit keiner Regierung der Welt zusammen, wir haben da eine ganz klare Mission – schon seit 25 Jahren.
LANline: Wie stark hat Kaspersky die Auswirkungen der BSI-Warnung in Deutschland gespürt?
Bergstreiser: Selbstverständlich haben wir sofort bemerkt, dass wir Kunden verlieren. Wir haben uns dann aber relativ schnell wieder stabilisiert.
LANline: Können Sie das näher quantifizieren?
Bergstreiser: Konkrete Zahlen geben wir dazu nicht nach außen. Ich kann Ihnen sagen, dass wir die Auswirkungen im B2B- wie auch im Endkundengeschäft gespürt haben, im B2B-Geschäft definitiv stärker. Es hat sich dann aber auf einem niedrigeren Level wieder eingespielt, und das Unternehmen ist stabil. In der DACH-Organisation wie auch global haben wir keine Beschäftigten entlassen. Wir sind zum Glück keine Shareholder-Gesellschaft, sondern haben mit Eugene Kaspersky einen Eigentümer, der hinter den Menschen steht.
LANline: Gab es Auswirkungen der BSI-Warnung auch außerhalb Deutschlands?
Bergstreiser: Die Warnung des BSI strahlt in der Tat in den europäischen Raum aus, das können wir an den Umsätzen ablesen. Aber der Effekt ist bei Weitem nicht so stark wie in Deutschland.
- Mit Transparenz gegen Movie-Plot-Szenarien
- Weiter dialogbereit
Verwandte Artikel
Kaspersky
Fokus auf Container-Sicherheit
Kaspersky kauft 49 Prozent von Ximi Pro
Kaspersky-Studie
Koordination bei Threat-Intelligence-Erkenntnissen…
Cybersecurity-Fachjargon
Man spricht Denglisch
IT-Security
World Backup Day
Datensicherung: Fehlanzeige
G Data Umfrage
Unternehmen wiegen sich in falscher Sicherheit
