{"id":29360,"date":"2022-10-12T15:00:24","date_gmt":"2022-10-12T13:00:24","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29360"},"modified":"2022-10-13T14:06:42","modified_gmt":"2022-10-13T12:06:42","slug":"forderung-an-das-bsi","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/forderung-an-das-bsi\/29360\/","title":{"rendered":"Kaspersky fordert das BSI auf, die Warnung vom 15.3. anzupassen oder zur\u00fcckzuziehen"},"content":{"rendered":"<p><span data-contrast=\"auto\">Am 15. M\u00e4rz 2022 ver\u00f6ffentlichte das BSI eine <\/span><a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Warnungen-nach-P7_BSIG\/Archiv\/2022\/BSI_W-004-220315.pdf\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Warnung vor der Antivirensoftware von Kaspersky<\/span><\/a><span data-contrast=\"auto\">. Diese Warnung ist rechtlich und fachlich umstritten. Das BSI hat in der Warnung oder in derem Nachgang bis heute keine Sicherheitsl\u00fccke in der AV-Software aufzeigen k\u00f6nnen. Es wurden auch keine ausreichenden Beweise f\u00fcr eine Bedrohung der Cybersicherheit aufgezeigt. Aus den Originalakten des BSI, die durch einen Antrag nach Informationsfreiheitsgesetz (IFG) des <\/span><a href=\"https:\/\/www.br.de\/nachrichten\/netzwelt\/die-schwierige-warnung-vor-kaspersky-software,TDY0row\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Bayerischen Rundfunk<\/span><\/a> <span data-contrast=\"auto\">\u00f6ffentlich gemacht wurden<\/span><span data-contrast=\"auto\">, wird der Diskussionsprozess im BSI transparent und zudem deutlich, dass die Warnung auf Basis geopolitischer \u00dcberlegungen ver\u00f6ffentlicht wurde. Kaspersky ist ein ethisch agierendes, verantwortungsbewusstes, unabh\u00e4ngiges und transparentes Unternehmen und hat durch diese Warnung inzwischen erheblichen Reputations- und wirtschaftlichen Schaden erlitten.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<blockquote class=\"twitter-pullquote\"><p>Das @BSI_Bund hat in der Warnung oder in derem Nachgang bis heute keine Sicherheitsl\u00fccke in der AV-Software aufzeigen k\u00f6nnen. Es wurden auch keine ausreichenden Beweise f\u00fcr eine Bedrohung der Cybersicherheit aufgezeigt.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fgy1t&amp;text=Das+%40BSI_Bund+hat+in+der+Warnung+oder+in+derem+Nachgang+bis+heute+keine+Sicherheitsl%C3%BCcke+in+der+AV-Software+aufzeigen+k%C3%B6nnen.+Es+wurden+auch+keine+ausreichenden+Beweise+f%C3%BCr+eine+Bedrohung+der+Cybersicherheit+aufgezeigt.\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p><span data-contrast=\"auto\">Die Rolle des BSI wurde auch<\/span><span data-contrast=\"auto\"> \u00f6ffentlich diskutiert und kommentiert. <\/span><a href=\"https:\/\/netzpolitik.org\/2022\/bsi-chef-arne-schoenbohm-it-sicherheit-in-der-comedy-arena\/\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Netzpolitik.org<\/span><\/a><span data-contrast=\"auto\"> schreibt: \u201eTechnisch ist das <\/span><i><span data-contrast=\"auto\">[die Warnung vor Kaspersky-AV-Software, Anm.] <\/span><\/i><span data-contrast=\"auto\">schwerlich zu begr\u00fcnden, die Warnungen konnten daher nur als politische Wertung verstanden werden.\u201c <\/span><a href=\"https:\/\/www.deutschlandfunknova.de\/beitrag\/kontakte-zu-russischen-geheimdienstkreisen-bsi-chef-arne-schoenbohm-wird-abberufen\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Deutschlandfunk<\/span><\/a><span data-contrast=\"auto\">, <\/span><a href=\"https:\/\/www.golem.de\/news\/nach-boehmermann-recherche-innenministerin-faeser-will-bsi-chef-schoenbohm-entlassen-2210-168813.html\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Golem<\/span><\/a><span data-contrast=\"auto\">.de, <\/span><a href=\"https:\/\/www.stern.de\/digital\/online\/nach-boehmermann-bericht--bsi-chef-arne-schoenbohm-verliert-den-job-32800198.html\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">stern<\/span><\/a><span data-contrast=\"auto\"> und <\/span><a href=\"https:\/\/www.wiwo.de\/technologie\/digitale-welt\/nach-boehmermann-recherche-wird-bsi-praesident-schoenbohm-zum-bauernopfer\/28733918.html\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">WirtschaftsWoche<\/span><\/a> <span data-contrast=\"auto\">diskutieren die unterschiedlichen Ma\u00dfst\u00e4be, die an Kaspersky oder andere Softwareanbieter angelegt wurden \u2013 m\u00f6glicherweise aus Angst vor weiteren Klagen. Aus juristischer Sicht kommt <\/span><a href=\"https:\/\/community.beck.de\/2022\/10\/10\/zur-entlassung-von-bsi-praesident-schoenbohm-erst-vor-russischen-aktivitaeten-warnen-nun-selbst-drin\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Prof. Dr. Kipker<\/span><\/a><span data-contrast=\"auto\">, der sich auf IT-Recht und IT-Sicherheitsrecht spezialisiert hat, zu einem Schluss: \u201eWas wir jedoch nicht brauchen k\u00f6nnen, sind klandestin operierende Staatsorgane, die unter dem Deckmantel der Cybersicherheit politische Entscheidungen mit erheblichen Rechtswirkungen treffen und dadurch sowohl B\u00fcrger wie Unternehmen in unserem Land verunsichern und so nicht nur dem Ruf des BSI, sondern der Cybersicherheit im Ganzen schaden.\u201c<\/span><\/p>\n<p><span data-contrast=\"auto\">Vor diesem Hintergrund weist Kaspersky auf die nachfolgenden Tatsachen hin und fordert das BSI auf, seiner gesetzlichen Verpflichtung gerecht zu werden:<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<ul>\n<li><span data-contrast=\"auto\">Trotz zahlreicher Anfragen von Kaspersky hat das BSI in den vergangenen sieben Monaten immer noch keine sachlichen Begr\u00fcndungen f\u00fcr die Warnung und deren Aufrechterhaltung gegeben, die geeignet w\u00e4ren, die Erf\u00fcllung der sachlichen Voraussetzungen f\u00fcr die Warnung rechtssicher nachzuweisen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><a href=\"https:\/\/fragdenstaat.de\/dokumente\/182219-ifg-akte-zur-kaspersky-warnung\/\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Die IFG-Akte<\/span><\/a><span data-contrast=\"auto\">, die das BSI dem Bayerischen Rundfunk \u00fcbergeben hat und die das BSI vier Wochen nach Kasperskys IFG-Anfrage auch dem Unternehmen<\/span><span data-contrast=\"auto\"> \u00fcbergeben hat, dokumentiert zahlreiche Annahmen und Aussagen des BSI, die sich im Nachhinein als falsch herausgestellt haben. Kaspersky weist darauf hin, dass das <\/span><span data-contrast=\"auto\">BSI bisher weder die Warnung angepasst, noch die \u00d6ffentlichkeit informiert hat und damit seinen unmittelbaren Pflichten aus dem <\/span><a href=\"https:\/\/www.bsi.bund.de\/DE\/Das-BSI\/Auftrag\/BSI-Gesetz\/bsi-gesetz_node.html\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">BSI-Gesetz<\/span><\/a><span data-contrast=\"auto\"> nicht nachzukommen scheint.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Nach <\/span><a href=\"https:\/\/www.bsi.bund.de\/DE\/Das-BSI\/Auftrag\/BSI-Gesetz\/bsi-gesetz_node.html\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">\u00a7 7 Abs. 2 Satz 2 BSIG<\/span><\/a><span data-contrast=\"auto\"> hat das BSI unverz\u00fcglich zu informieren, wenn sich die der \u00d6ffentlichkeit erteilten Informationen nachtr\u00e4glich als unrichtig herausstellen oder die zugrunde liegenden Umst\u00e4nde als unzutreffend gemeldet werden. Dies ist hier zweifelsohne der Fall. Einerseits hat Kaspersky dem BSI seit Februar 2022 zahlreiche Informationen \u00fcber die getroffenen technischen und organisatorischen Ma\u00dfnahmen zur Verf\u00fcgung gestellt und die Beh\u00f6rde eingeladen, den Quellcode der Kaspersky-AV zu pr\u00fcfen und die Softwareentwicklungs- und -verteilungsprozesse zu pr\u00fcfen. Andererseits informierte Kaspersky das BSI umfassend \u00fcber Zertifizierungen und Audits nach den vom BSI anerkannten internationalen Standards und schlug bereits am 15. M\u00e4rz 2022 vor, einen technischen und organisatorischen Rahmen zu entwickeln, der die Bedenken des BSI ausr\u00e4umt. Auf all diese Vorschl\u00e4ge und Ma\u00dfnahmen hat das BSI \u00fcber viele Monaten nicht reagiert. Erst Ende August fand ein erstes Treffen dazu zwischen dem BSI und Kaspersky statt. Diese Diskussion wird fortgesetzt, obwohl sich Kaspersky ein deutlich schnelleres Agieren des BSI w\u00fcnscht.\u00a0<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Fast sieben Monate nach der Warnung hat es keinen Cybervorfall mit Kaspersky-Software gegeben. Die Einsch\u00e4tzung des BSI vom 14.03.2022, es bestehe Gefahr im Verzuge, hat sich im Nachhinein als falsch erwiesen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"auto\">Kaspersky hatte auf Basis des Informationsfreiheitsgesetz (IFG) um Informationszugang gebeten, \u201ewelche Sicherheitsma\u00dfnahmen\/ Eigenschaften\/ Kriterien f\u00fcr die Gew\u00e4hrleistung einer ausreichenden Sicherheit durch Kaspersky Produkte gefehlt haben bzw. positiv ausgedr\u00fcckt, welche Sicherheitsma\u00dfnahmen Kaspersky umzusetzen hat, damit diese vom BSI in der aktuellen Situation als ausreichend angesehen werden.\u201c Eine ausreichende Antwort hat Kaspersky bis heute nicht erhalten.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<li><span data-contrast=\"none\">Arne Sch\u00f6nbohm, Pr\u00e4sident des BSI stellt in seiner Rolle als Beh\u00f6rdenleiter Behauptungen auf, die nicht der Wahrheit entsprechen und f\u00fcr die es weder eine fachliche noch rechtliche Grundlage gibt. So geschehen<\/span> <span data-contrast=\"none\">in seiner Rede vom 23. Juni 2022 auf der <\/span><a href=\"https:\/\/hpi.de\/das-hpi\/veranstaltungen\/konferenzen\/potsdamer-sicherheitskonferenz\/konferenz.html\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Potsdamer Konferenz f\u00fcr Nationale CyberSicherheit 2022<\/span><\/a><span data-contrast=\"auto\"> auf der er sagte: \u201eWer weiterhin Antivirensoftware von Kaspersky zum Beispiel in kritischen Infrastrukturen oder in Landesparlamenten einsetzt, handelt fahrl\u00e4ssig.\u201c, und \u201eKaspersky ist eine Gefahr f\u00fcr die nationale Sicherheit.\u201c<\/span><span data-contrast=\"none\">.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/li>\n<\/ul>\n<p><span data-contrast=\"auto\">Constanze Kurz von Netzpolitik.org und Sprecherin des Chaos Computer Clubs fordert in ihrem <\/span><a href=\"https:\/\/netzpolitik.org\/2022\/bsi-chef-arne-schoenbohm-it-sicherheit-in-der-comedy-arena\/\" target=\"_blank\" rel=\"noopener nofollow\"><span data-contrast=\"none\">Kommentar<\/span><\/a><span data-contrast=\"auto\"> vom 10. Oktober 2022: \u201eWir brauchen vom BSI verl\u00e4ssliche Fakten, fundierte Einsch\u00e4tzungen und strategische Ideen in Fragen der IT-Sicherheit.\u201c Dem hat Kaspersky nichts hinzuzuf\u00fcgen.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<blockquote class=\"twitter-pullquote\"><p>Constanze Kurz von @netzpolitik_org: Wir brauchen vom @BSI_Bund verl\u00e4ssliche Fakten, fundierte Einsch\u00e4tzungen und strategische Ideen in Fragen der IT-Sicherheit. #ITSecurity<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fgy1t&amp;text=Constanze+Kurz+von+%40netzpolitik_org%3A+%3Cspan+data-contrast%3D%22auto%22%3EWir+brauchen+vom+%40BSI_Bund+verl%C3%A4ssliche+Fakten%2C+fundierte+Einsch%C3%A4tzungen+und+strategische+Ideen+in+Fragen+der+IT-Sicherheit.+%23ITSecurity+%3C%2Fspan%3E\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p><span data-contrast=\"auto\">Kaspersky hat dem BSI seit Februar umfangreiche Informationen zur Verf\u00fcgung gestellt, das BSI zu technischen und organisatorischen Evaluierungen eingeladen und stets konstruktiv das Ziel verfolgt, die Cybersicherheit und Resilienz in Deutschland und Europa zu st\u00e4rken, wie es auch Aufgabe des BSI ist. Kaspersky arbeitet unabh\u00e4ngig seiner Rechtsauffassung, dass die Warnung rechtswidrig und fachlich ungeeignet war, weiter mit h\u00f6chster Priorit<\/span><span data-contrast=\"auto\">\u00e4t daran, dem <\/span><span data-contrast=\"auto\">BSI alle Informationen zur Verf\u00fcgung zu stellen, damit das BSI auf Basis dieser Informationen die Warnung anpassen oder zur\u00fcckziehen kann. Kaspersky hat hierzu konstruktiv und umfassend alle Ma\u00dfnahmen benannt, die die berechtigten Cybersicherheits-Interessen der Bundesrepublik Deutschland voll und ganz ber\u00fccksichtigen, den rechtlichen Anforderungen des BSIG in bester Weise entsprechen und die die Cybersicherheit und Resilienz in Deutschland und Europa tats\u00e4chlich st\u00e4rkt.<\/span><span data-ccp-props=\"{\">\u00a0<\/span><\/p>\n<p>\u00a0<\/p>\n<p><i><span data-contrast=\"auto\">Autoren<\/span><\/i><i><span data-contrast=\"auto\">: <strong>Jochen Michels<\/strong>, Head of Public Affairs Europe bei Kaspersky, and <strong>Marco Preu\u00df<\/strong>, Deputy Director, Global Research &amp; Analysis Team bei Kaspersky<\/span><\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das BSI warnte vor dem Einsatz von Kaspersky-L\u00f6sungen. Seitdem haben wir dem BSI umfangreiche Informationen zur Verf\u00fcgung gestellt, welche aber bis heute nicht ber\u00fccksichtigt wurden.<\/p>\n","protected":false},"author":2605,"featured_media":29364,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[3303,134,2753,3946],"class_list":{"0":"post-29360","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-bsi","9":"tag-it-sicherheit","10":"tag-transparenz","11":"tag-trust"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/forderung-an-das-bsi\/29360\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/transparenz\/","name":"Transparenz"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29360","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2605"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=29360"}],"version-history":[{"count":11,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29360\/revisions"}],"predecessor-version":[{"id":29373,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/29360\/revisions\/29373"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/29364"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=29360"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=29360"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=29360"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}