Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am Dienstag eine offizielle Warnung "vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky" ausgesprochen. Als Begründung führt die Behörde das fehlende Vertrauen in die Zuverlässigkeit des Anbieters an. Im Interview erklärt Jürgen Schmidt von Heise Security die Hintergründe und mögliche Alternativen.

Erst blieb die Warnung aus, nun hat das BSI doch vor Kaspersky gewarnt. Wie bewerten Sie diesen Umstand?

Es wurde höchste Zeit. Seit über einer Woche ist klar, dass man die Antivirensoftware von Kaspersky nicht mehr guten Gewissens einsetzen kann. Dass das BSI sich so lange Zeit gelassen hat, das in Worte zu fassen, halte ich für problematisch.

Welchen Hintergrund hat diese Verzögerung?

Ich nehme an, dass das BSI diese Warnung mit der übergeordneten Behörde, also dem Bundesinnenministerium, abstimmen musste. Da haben Juristen, Techniker und Politiker wohl sehr lange hin- und her diskutiert, bis man endlich zu einer finalen Aussage gekommen ist.

Warum hätte diese Warnung eher ausgesprochen werden müssen?

Russland hat vor über zwei Wochen einen Angriffskrieg gegen ein Land in Europa begonnen, und wir haben uns auf der Gegenseite positioniert. Das heißt, Russland befindet sich auf der gegnerischen Seite. Die Software eines Unternehmens, das in Russland fest verwurzelt ist, an so kritischer Stelle – als Antivirensoftware – einzusetzen, das ist einfach fahrlässig.

Wobei Kaspersky auf Medienanfragen hin beteuert hat, dass es keinen Zugriff des russischen Staates auf diese Software gebe.

Ich habe großen Respekt vor Kaspersky und glaube, die machen gute Arbeit. Auch glaube ich der Beteuerung, sich gegen solche Zugriffe zur Wehr zu setzen. Das Problem ist: Im Prinzip reicht ein einziger Mitarbeiter, der durch den russischen Geheimdienst unter Druck gesetzt wird, um diese ganze Arbeit infrage zu stellen. Kaspersky kann sich unmöglich dafür verbürgen, dass jeder einzelne Mitarbeiter die Sicherheit eines westlichen Unternehmens oder Anwenders höher bewertet als seine persönliche Sicherheit und die seiner Familie.

Können Sie erklären, warum Antivirenprogramme wie die von Kaspersky so eminent wichtig sind für jeden, der im Internet unterwegs ist?

Diese Software ist unter anderem dafür zuständig, von außen kommenden Schadcode zu erkennen und abzuwehren. Jetzt stellen Sie sich vor, ein Kaspersky-Mitarbeiter hält eine Virensignatur, die eine vom russischen Geheimdienst ausgerollte Spionage- oder Sabotagesoftware stoppen könnte, für ein oder zwei Tage zurück. Dann wird Ihr Antivirenprogramm diesen Schädling nicht erkennen und in Ihr System eindringen lassen. Dazu braucht es keinen Trojaner und keine Hintertürfunktion. Nur einen einzelnen Mitarbeiter, der die Pistole an den Kopf gehalten bekommt. So gibt es viele Szenarien, wie Antivirensoftware ihr Schutzversprechen nicht mehr einhalten oder sogar bösartig werden kann. Wir haben in der Vergangenheit mehrfach gesehen, dass Antivirensoftware "aus Versehen" Systeme lahmgelegt hat.

Wie das?

Dadurch, dass es legitime Software fälschlicherweise als etwas Böses angesehen hat. Solche Fehlalarme kommen immer mal wieder vor. So etwas könnte man auch absichtlich herbeiführen.

Mit welchem Ergebnis?

Das kann alles sein. Zum Beispiel, dass wichtige Dokumente von Ihrem Rechner verschwinden, weil die Antivirensoftware sie als vermeintliche Gefahr gelöscht hat. Bis hin zu dem Szenario, dass das System nicht mehr startet, weil eine wichtige Systemkomponente gelöscht worden ist. Man kann sich nicht darauf verlassen, dass solche Fähigkeiten nie gegen den eigentlichen Nutzer verwandt werden.

So etwas hätte aber ja auch schon vor Beginn des Krieges passieren können.

Aber die Situation ist jetzt ja eine ganz andere. Russland hat inzwischen mehrfach damit gedroht, gegen Deutschland und andere europäische Staaten vorzugehen, die die Ukraine aktiv unterstützen.

Nach Aussage des BSI sollten "Unternehmen und Behörden mit besonderen Sicherheitsinteressen" und "Betreiber kritischer Infrastruktur" Kaspersky nicht mehr nutzen und zu alternativen Anbietern wechseln. Andererseits nutzen auch Privatleute deren Programme. Wie verbreitet ist Kaspersky eigentlich?

Konkrete Zahlen habe ich nicht parat. Ich weiß aber, dass Kaspersky jenseits des standardmäßig in Windows enthaltenen Defender-Programms eine der beliebtesten Antivirensoftwares in Deutschland ist.

Sollten unabhängig von der Warnung des BSI auch Heimanwender ihre Kaspersky-Software deinstallieren und sich nach einer Alternative umsehen?

Ja, unbedingt. Und viel umsehen müssen sie sich gar nicht. Weil der Defender von Microsoft als Antivirensoftware völlig ausreichend ist. Es genügt also, Kaspersky zu deinstallieren und danach den eingebauten Antivirenschutz des Microsoft-Betriebssystems zu aktivieren.

Und wenn man einen anderen Anbieter wählen wollte? Es gibt ja eine Reihe von Firmen auf diesem Markt…

Tatsächlich würde ich derzeit einen europäischen Anbieter wählen, etwa die deutsche Firma G-Data oder die finnische F-Secure. Da gibt es aus meiner Sicht eine Reihe vertrauenswürdiger Anbieter. Übrigens: Wenn Sie ein kostenloses Produkt nutzen, sollten Sie sich Gedanken darüber machen, dass sich auch diese Software für den Hersteller refinanzieren muss. Sie müssen dann also häufig Kompromisse in Bezug auf die eigene Privatsphäre eingehen. Oder die Software nervt regelmäßig, Sie mögen doch bitte auf die Bezahlversion upgraden. Sie handeln sich also immer ein wenig Ärger ein. Deshalb empfehle ich meinen Bekannten, lieber den Windows Defender zu nehmen.

Wie sieht es bei Linux und dem Apple-Betriebssystem Mac OS aus?

Ich habe beide Systeme im Einsatz und nutze sie ohne zusätzliche Antivirensoftware.

Wie das?

Das hat mit mehreren Dingen zu tun. Zum einen funktionieren dort die Sicherheitskonzepte besser, als das bei Windows der Fall ist. Zum anderen stehen diese zwei Betriebssysteme nicht so im Visier der Angreifer. Es gibt einfach sehr viel weniger Schadsoftware, die gezielt auf Mac OS oder Linux ausgerichtet ist.