Partner von
Partner von

Kaspersky Lab

Wie ein russisches Antivirenprogramm die Gunst der USA verlor. Der Fall Kaspersky.





• Es ist der Albtraum jedes Computernutzers: Plötzlich bleibt der Rechner hängen, und auf dem Bildschirm erscheint die Meldung, dass soeben die Festplatte verschlüsselt wurde und der Zugriff darauf erst wieder nach der Zahlung von Lösegeld gewährt wird. Wer nicht zahlt, verliert all seine Daten. Für immer. Der Countdown läuft.

Moderne Verbrecher und Spione benötigen heutzutage nicht mehr als einen Rechner mit Internetanschluss. Ihre Schadsoftware ist in der Lage, Kreditkartendaten und Passwörter zu stehlen sowie ganze Industrieanlagen lahmzulegen. Die Ängste und der Wunsch, sich gegen Gefahren aus dem Internet zu schützen, sind groß.

Das Geschäft mit der Datensicherheit ist daher lukrativ. Eugene Kaspersky gehört zu denen, die damit ein Vermögen gemacht haben. Bei Konferenzen erzählt er gern und ausführlich über Bedrohungen, die immer akuter und größer würden. Rund 400 Millionen Menschen weltweit vertrauen darauf, dass die Programme der russischen Firma Kaspersky Lab ihre Rechner und Smartphones gegen Eindringlinge schützen.

Doch damit die Schutz-Programme verdächtige Dateien zuverlässig finden, müssen sie Zugang zu allen Winkeln des Systems erhalten. Das macht sie zu mächtigen, aber auch gefährlichen Werkzeugen. Analysten erstellen für jeden Schädling eine Art Suchregel. Da jeden Tag neue Viren entdeckt werden, wird die Liste dieser sogenannten Signaturen regelmäßig aktualisiert. Falsche Signaturen können einen Fehlalarm auslösen.

Wählt der Nutzer zusätzlich den Cloud-Service, werden im Hintergrund verdächtige Dateien zur genaueren Analyse zum Hersteller des Virenscanners geschickt. Was genau geschickt wird, sieht der Nutzer nicht. Er muss der Software vertrauen.

„Jedes Antivirenprogramm ist im Prinzip eine Atombombe in Ihrem Rechner. Jede solche Software kann zum Angriff verwendet werden“, sagt Boris Scharow, der Geschäftsführer des russischen Antivirenherstellers Dr. Web. „Doch in dem Moment, in dem etwas Derartiges passiert, bedeutet das das Ende für den Virenscanner. Niemand wird diesen je wieder nutzen.“

Vertrauen ist die wichtigste Währung der Branche – und die Firma von Eugene Kaspersky hat aktuell damit ein Problem. In den USA dürfen die Behörden die russische Software seit September 2017 nicht mehr nutzen. Große Handelsketten stoppen den Verkauf. Der Vorwurf: Die Produkte der Firma könnten von der russischen Regierung benutzt werden, um Rechner auszuspionieren. Kaspersky gilt in den USA nicht mehr als vertrauenswürdig. Wie kam es dazu?

Eugene Kaspersky liebt Abenteuer. Seine große Leidenschaft sind Besteigungen aktiver Vulkane. Im Juli 2010 plante der Gründer gerade seinen nächsten Urlaub auf der Halbinsel Kamtschatka mit ihren Vulkanen im Osten Russlands, als in seinem Moskauer Büro ein noch größeres Abenteuer auf ihn zukam. Es kam in Gestalt seines obersten Sicherheitsexperten Alexander Gostew, der berichtete, dass auf einem iranischen Rechner ein völlig neuer Virus entdeckt worden war. Sein Name war Stuxnet, er konnte ganze Industrieanlagen außer Gefecht setzen und war so kompliziert konstruiert, dass dahinter unmöglich gewöhnliche Kriminelle stecken konnten. Kaspersky zeigte sich beeindruckt. „Er sagte: Setzt alle eure Ressourcen auf Stuxnet, ich befreie euch von allen anderen Aufgaben“, erinnert sich Gostew.

Als Kaspersky im September 2010 in München auf einer Konferenz über Stuxnet sprach, klang er dramatisch: „Ich glaube, das hier ist ein Wendepunkt, wir sind jetzt in einer wirklich neuen Welt.“ Ende der Achtzigerjahre, als der junge Absolvent der Hochschule des sowjetischen Geheimdienstes KGB angefangen hatte, die ersten Computerschädlinge zu jagen, wurden Viren vor allem von Hackern entwickelt, die ihr Können zeigen wollten. Später zogen Kriminelle mit finanziellen Interessen nach. Stuxnet war ein anderes Kaliber.

Dieser Virus zeigte, dass Staaten verstärkt auf Hacking-Tools setzen. Das Wissen über die Waffen der Angreifer wird damit zum kostbaren Gut für nationale Geheimdienste. Ausgerechnet diese Situation erweist sich heute als fatal für das russische Unternehmen, das seit seiner Gründung 1997 zu einem der weltweiten Marktführer bei IT-Sicherheit mit einem Jahresumsatz von 698 Millionen Dollar in 2017 aufgestiegen ist.

Zwei Versionen

Stuxnet, über das Kaspersky Lab und andere Firmen ausführliche Berichte veröffentlichten, wurde, wie sich später herausstellte, mutmaßlich von den USA und Israel entwickelt, um die Zentrifugen in der iranischen Urananreicherungsanlage Natanz zu zerstören. Später analysierten die Kaspersky-Experten die Schadprogramme Duqu und Flame, die mit Stuxnet verwandt sind. Und sie jagten die Hacker der „Equation Group“, eigentlich einer Abteilung des US-Geheimdienstes NSA. Kurz: Sie wussten so viel über geheime Internetoperationen der USA wie wohl kaum sonst jemand auf der Welt. Dabei gehörte Russland zusammen mit dem Iran zu den größten Opfern der Equation Group, zu deren Zielen russische Militär- und Regierungsobjekte, Infrastruktur und Forschungseinrichtungen zählten.

Im vergangenen Jahr berichteten die »New York Times« und das »Wall Street Journal« über Vorwürfe der US-Sicherheitsbehörden gegen Kaspersky. Der israelische Geheimdienst habe russische, staatsnahe Hacker dabei ertappt, wie sie 2015 mithilfe von Kaspersky-Software geheime Dokumente vom Rechner eines NSA-Mitarbeiters gestohlen hätten, die dieser nach Hause mitgenommen habe. Wie genau das passiert sein soll und ob die Firma aktiv dabei geholfen hat, geht aus den Berichten nicht hervor.

Theoretisch ist die Geschichte möglich. Mit einer modifizierten Signatur kann ein Angreifer jeden Antiviren-Scanner dazu bringen, beliebige Dateien zu suchen. Auch Top-Secret-Dokumente. Ein Sicherheits-Tool kann so schnell zur Schnüffel-Software werden. Dieses Fehlverhalten zu entdecken ist außerordentlich schwer. Dazu müsste man die Bewacher bewachen.

Kaspersky Lab wehrt sich gegen die Vorwürfe und veröffentlichte eine eigene Version der Ereignisse. In der Tat habe ihr Virenscanner im September 2014 geheime Dokumente von einem Rechner in den USA heruntergeladen. Doch das sei passiert, weil sich die vertraulichen Dateien in einem Archiv zusammen mit schädlicher Software der Equation Group befunden haben. Nur danach habe das Antiviren-Programm auf dem Rechner gesucht, also nichts anderes getan, als seine eigentliche Funktion auszuführen. Als der zuständige Analyst geheime Dokumente gesehen habe, sei er zu Eugene Kaspersky gegangen, und dieser habe die Entscheidung getroffen, das Archiv umgehend zu vernichten. Insgesamt habe Kaspersky aber 121 Viren, Trojaner, Backdoors und Exploits auf dem US-Rechner gefunden, die nicht von der Equation Group stammten. Nach Aussage des russischen Unternehmens soll der Computer auch für staatliche Angreifer ein beliebtes Ziel gewesen sein.

Im Februar 2015 veröffentlichte das Unternehmen seinen Bericht über die Equation Group. Daraufhin fand es auf gleich mehreren Rechnern aus der gleichen Region wie im September wieder Schadprogramme der Equation Group. Gostew sagt, diese PCs dienten womöglich als Lockvögel. „Auf diesen Rechnern hat unsere Antivirensoftware ständig diverse Schadprogramme entdeckt, doch der Nutzer reagierte darauf gar nicht. Wozu braucht man dann ein Antivirenprogramm?“

Auch diese Version des Geschichte könnte stimmen. Belege gibt es auf keiner der Seiten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sah die Berichte in »New York Times« und »Wall Street Journal« jedenfalls nicht als Anlass, vor Kaspersky-Produkten in Deutschland zu warnen. Es lägen keine Beweise für das Fehlverhalten des Unternehmens oder eine Sicherheitslücke in der Software vor, hieß es in einer Stellungnahme des BSI.

Der IT-Sicherheitsberater Felix von Leitner sieht dafür auch keine Beweise: „Man muss ja in den USA von einer Kampagne sprechen, so umfassend, wie deren Behörden und Presse vor Kaspersky-Produkten gewarnt haben.“ Er verweist darauf, dass die Vorwürfe in den USA einen breiten Interpretationsspielraum zuließen. „Nehmen wir an, ein Geheimdienst hackt Kaspersky und zieht die Daten ab. Ist das dann: ‚Geheimdienste nutzen Kaspersky-Software für Spionage‘? Was, wenn ein Geheimdienst einen Kaspersky-Angestellten besticht oder einen eigenen Mitarbeiter bei Kaspersky einschleust, und der klaut dann die Daten? Das sind die wahrscheinlichen Szenarien, wie ein Geheimdienst das machen würde. Kann man da jetzt wirklich Kaspersky die Schuld geben?“, fragt von Leitner.


Eugene Kaspersky liebt Abenteuer. Seine große Leidenschaft sind Besteigungen noch aktiver Vulkane.

Ein Gewissenskonflikt

Der Vertrauensverlust von Kaspersky in den USA scheint mehr politische als technische Gründe zu haben. „Es gibt keine Fakten, sondern nur Schlussfolgerungen“, sagt ein ehemaliger Topmanager von Kaspersky Lab. „Aber ich verstehe die allgemeine Beunruhigung in den USA. Das Unternehmen hat seinen Sitz in Russland, die meisten Topmanager leben dort, die Produkte werden dort entwickelt. Die Frage ist nicht, was passiert ist, sondern was passiert, wenn? Und es ist sehr schwer, sie zu beantworten.“

Tatsächlich arbeitet Kaspersky eng mit dem russischen Inlandsgeheimdienst FSB zusammen, wenn es zu Ermittlungen bei Internet-Kriminalität kommt. Mehrere hochrangige Mitarbeiter haben ein gutes Verhältnis zu den Sicherheitsdiensten, was in der Branche nicht unüblich ist. In den russischen Medien fällt in diesem Zusammenhang immer wieder der Name Igor Tschekunow. Er diente bei Grenztruppen, die dem sowjetischen Geheimdienst KGB unterstellt waren, und arbeitete später bei der Polizei. Bei Kaspersky Lab ist er für Beziehungen zu russischen Behörden zuständig. Sein Einfluss im Unternehmen wuchs vor allem nach der Entführung des Sohnes von Kaspersky im Jahr 2011, der mithilfe russischer Geheimdienste befreit wurde. Auch über Eugene Kaspersky selbst wird berichtet, er gehe mit seinen FSB-Freunden in die Sauna.

Kaspersky bestreitet stets alle persönlichen Geheimdienstverbindungen. „Wir arbeiten mit der Abteilung des FSB zusammen, die für die IT-Sicherheit der Finanzsysteme zuständig ist“, sagt Anton Schingarjow, der Vizepräsident der Presseabteilung. Man würde für die eigenen Dienste nichts tun, was man nicht auch für die deutsche Polizei täte.

 

Doch erstens liegen zwischen der deutschen Polizei und dem russischen Innengeheimdienst Welten, wenn es um Arbeitsmethoden und Ziele geht. Und zweitens: Wie kann man garantieren, dass der FSB nicht einzelne Mitarbeiter anwirbt? In der russischen IT-Szene werden immer wieder Geschichten darüber erzählt, dass der Geheimdienst sowohl an kriminellen Hackern als auch an Mitarbeitern von privaten Firmen interessiert ist.

Auch umgekehrt scheint das der Fall zu sein. So berichtete jüngst die russische Zeitung »RBK«, dass die russische Tochtergesellschaft des Softwareherstellers SAP einen ehemaligen General des Inlandsgeheimdienstes FSB als Berater der Geschäftsführung engagierte. Wladimir Skorik leitete bis 2009 das Zentrum der Informationssicherheit des FSB.

Anton Schingarjow von Kaspersky sagt, um die Bedenken auszuräumen, sei man bereit, den Quellcode der Software und alle Updates für westliche Behörden offenzulegen und so jeden Missbrauchsfall sofort öffentlich zu machen.

Der Firma geht es um ihren Ruf – und um Millionen Dollar. Die USA und Europa sind wichtige Märkte, und nach der Warnung von US-Behörden sind die Umsätze in den USA um acht Prozent gesunken. Kaspersky Lab ist eines der wenigen russischen Unternehmen, die weltweit erfolgreich sind – und das nicht mit dem Verkauf von Rohstoffen.

Dabei konzentriert man sich bei Kaspersky Lab nicht nur auf das Ausland. In mehreren Berichten beschreiben die Analysten Aktivitäten diverser russischer Gruppen wie Red October, Sofacy, TeamSpy oder BlackEnergy, die im Westen und der ehemaligen Sowjetunion spionierten, später die Demokratische Partei in den USA hackten oder Stromversorger in der Ukraine lahmlegten. In den Berichten klingt an, dass es sich dabei um staatsnahe Organisationen handeln könnte. Doch die Andeutungen sind ausgesprochen vorsichtig formuliert.

Auf dem Höhepunkt des Skandals mit dem Hacken der Demokratischen Partei hielt sich der sonst eher alarmistische Eugene Kaspersky auffällig zurück. Es könnte sein, dass er, der es bis dahin geschafft hat, mit einem Fuß in Russland und mit dem anderen im Westen zu stehen, diesmal von beiden Seiten unter Druck geraten war.

Kein Freund der Freiheit

Kaspersky hatte auf Konferenzen und bei Treffen mit Politikern jahrelang die Agenda der russischen Regierung bei der Regulierung des Internets unterstützt und für Initiativen wie die Einführung des „Internet-Ausweises“ geworben, was ein Ende der Anonymität bedeuten würde. In Interviews lobte er die politischen Systeme Chinas und Singapurs.

Es scheint, als würde das Internet zunehmend nationalisiert. „Misstrauen gibt es immer. Nach der Geschichte mit Snowden ist das Vertrauen in US-Anbieter in Europa gesunken. Und nach dem Fall von Kaspersky Lab wird wahrscheinlich auch das Vertrauen in russische Anbieter sinken. Trotzdem gibt es weitere Märkte“, sagt eine Person aus der russischen IT-Sicherheitsindustrie, die nicht namentlich genannt werden möchte.

Wie könnten diese Märkte aussehen?„Die Akademie des FSB steht für herausragende Ausbildungsqualität. Mathematik wird dort sehr gut unterrichtet“, sagt Andrej Golow, der das russische IT-Unternehmen Security Code leitet und wie Kaspersky Absolvent der Geheimdienst-Hochschule ist. Er sagt offen, dass er zwei Jahre für den FSB arbeitete. Er war noch nie in den USA und will das auch nicht ändern. Er will nicht wie Kaspersky den globalen Privatkundenmarkt erobern. Fast alle seine Kunden sind staatliche oder staatsnahe Organisationen. Vor allem in Russland, doch er hatte auch ein paar Aufträge im Ausland, etwa vom Militär in Südamerika und will in weitere Länder expandieren. Vom Misstrauen hofft er sogar zu profitieren, indem er für Staaten arbeitet, die dem Westen nicht unbedingt vertrauen oder unter dessen Sanktionen stehen. „Wir Russen haben immer gedacht, dass man nicht den Technologien vertrauen soll, wenn wir sie nicht kontrollieren können. Und wir können nicht den Technologien vertrauen, die nicht von uns entwickelt werden“, sagt er.

Ein anderer Weg ist, sich so weit wie möglich aus geopolitischen Verstrickungen herauszuhalten. Boris Scharow, dem Geschäftsführer des Antivirenherstellers Dr. Web, sind die Risiken bewusst. Sein Unternehmen hat auch ein Büro in Deutschland und arbeitet mit der Polizei auf Landesebene zusammen. „Überall dort, wo wir ein Büro haben, kommt die Polizei zu uns und fragt, was wir machen und ob wir nicht spionieren“, sagt er. Doch damit will er nichts zu tun haben. Seine Kunden sind vor allem private Nutzer und Mittelständler. Mit staatsnahen Hackern habe man nie Probleme gehabt. „Wir beschäftigen uns nicht explizit mit solchen Gruppen, da einfache Nutzer nicht deren primäres Ziel sind.“

Und Kaspersky? Er hatte schon seine Bereitschaft angekündigt, Russland zu verlassen und die Firma an einen neuen Ort zu verlegen, wenn russische Geheimdienste ihn bäten, Nutzer auszuspionieren. Das ist aber leichter gesagt als getan. ---