Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz der Antivirensoftware des russischen Herstellers Kaspersky. In dem Beitrag wird folgendes Problem aufgezeigt: „… Antivirensoftware, einschließlich der damit verbundenen echtzeitfähigen Clouddienste, verfügt über weitreichende Systemberechtigungen und muss systembedingt (zumindest für Aktualisierungen) eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Daher ist Vertrauen in die Zuverlässigkeit und den Eigenschutz eines Herstellers sowie seiner authentischen Handlungsfähigkeit entscheidend für den sicheren Einsatz solcher Systeme. Wenn Zweifel an der Vertrauenswürdigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur.

Sicherheit ist Vertrauenssache. Sicherheitssoftware erst recht. Im Zuge des russischen Angriffskriegs auf die Ukraine trifft den Closed Source Anbieter Kaspersky die Vertrauensfrage an seiner schwächsten Stelle: Dem potentiell möglichen Zugriff der russischen Regierung auf den Code der Software. Kasperskys Kunden müssen sich darauf verlassen können, dass sie Software einsetzen, die keine Sicherheitsrisiken birgt. Diese Vertrauensbasis ist bei fehlender oder mangelhafter Auditierbarkeit einer Software niemals gegeben. Das gilt für jede Form von Software, deren Quellcode nicht öffentlich ist, fällt aber im Hochsicherheitsbereich ganz besonders ins Gewicht.

Kaspersky hat die Quadratur des Kreises versucht, um diesem Anspruch zu genügen, hat aber seinen Quellcode nie als Open Source Software veröffentlicht. Der Quellcode kann nur in einem sogenannten Transparenzzentrum eingesehen werden, und das auch nur von ausgewählten Partnern oder Regierungsorganisationen. Das genügt den Kunden von Kaspersky aber aus verschiedenen Gründen inzwischen nicht mehr, denn echte Überprüfbarkeit sieht anders aus. Sie beinhaltet für alle Menschen die Möglichkeit, die Software immer und überall selbst prüfen zu können oder diese Prüfung durchführen zu lassen.

Der russische Angriffskrieg auf die Ukraine und die Tatsache, dass es sich bei Kaspersky um ein russisches Unternehmen handelt, bieten den Anlass für die aktuelle Diskussion. Aber die zugrunde liegenden Ursachen gehen viel tiefer und letztlich sind nicht nur russische Anbieter von dem grundsätzlichen Problem des Missbrauchs von Softwareherstellern zu Spionagezwecken betroffen. Software kann nur dann vertrauenswürdig sein, wenn die Quellen offen und für jedermann einsehbar sind und der Produktionsprozess transparent ist. Konstrukte wie das Transparenzzentrum oder Abkommen wie Safe Harbour oder Privacy Shield sind letztlich Marketingbegriffe, die nicht die Transparenz und das Vertrauen bieten können, die für sichere, digitale Infrastrukturen essentiell wichtig sind. Das kann nur Open Source.

Elmar Geese
Sprecher WG Security der OSBA
Open Source Business Alliance – Bundesverband für digitale Souveränität e.V.