News Ukraine-Krieg: BSI warnt vor Einsatz von Kaspersky-Software

[MountWalker]

Ganz sicher? Mein Punkt ist der, dass diese Prozessorlast durch Verhaltensanalyse erklärbar ist und wenn eben selbst beim Installieren von Windows-Updates mit von Microsoft gebauten Paketen, welche über signierte Kanäle zwischen Microsoft-Saever und Windows-Client laufen, wenn selbst da schon Verhaltensanalyse stattfindet, warum soll die dann sonst nicht stattfinden?

 

[Dr. McCoy]

Kaspersky hatte gegen die Warnung des BSI vor dem Verwaltungsgericht Köln geklagt. Diese Klage wurde heute abgewiesen:
-> https://www.weser-kurier.de/ratgebe...renschutz-war-rechtens-doc7kdm5s96pi9v3r2eab5

Damit wird der Argumentation des BSI gefolgt, die zur Warnung geführt hatte:

Virenschutz-Software erfülle grundsätzlich alle Voraussetzungen für so eine Sicherheitslücke, schließlich habe die Software weitreichende Berechtigungen zu Eingriffen in das Computersystem.

Sowie:

Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als „Cyberkrieg“ geführt werde, sei „nicht hinreichend sicher auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen“, heißt es in der Mitteilung des Gerichts.

Freilich bleibt eine etwaige spätere Einscheidung des OLG Münster offen, allerdings sehe ich hier alleine aufgrund der technischen Fakten (tiefer Eingriff der Software ins System) keinen großen Spielraum für ein anderslautendes Urteil.

 

[Dr. McCoy]

@Andy: Falls Ihr Eure Meldung dahingehend aktualisieren möchtet...

(Ich hoffe, automerge greift auch bei erst noch freizuschaltenden Postings.)
Nachtrag: Nein, funktioniert dabei nicht. Daher sorry für zwei Postings in Folge!

 

[Neronomicon]

"BSI warnt"

Finde ich vollkommen richtig. Es gibt viele Sichtweisen auf das Thema, aber eine Begründung sagt doch schon alles.
Zitat: "Virenschutz-Software erfülle grundsätzlich alle Voraussetzungen für so eine Sicherheitslücke, schließlich habe die Software weitreichende Berechtigungen zu Eingriffen in das Computersystem"

Genau das wurde schon immer als Argument ggen eine Drittsoftware angeführt wurde. Auch in dem oft verlinkten Artikel von Golem nochmal nachzulesen.
Zitat von golem-de:
Die Schlangenöl-Branche
https://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.html

 

[Caine1]

habe das jetzt zum ersten mal gelesen über bsi und kaspersky.

ich möchte hier nicht über die politik reden oder schreiben aber gerade in der jetzigen zeit wird vieles aus russland als böse in den medien berichtet ob ja, nein, jein beurteile ich hier nicht. ob es politisch als warnung ausgesprochen wird oder nicht am ende weiß keiner bescheid oder?
dennoch sehe ich das auch etwas besorgt und überlege schon seit längerem (vor dem offiziellen konflikt) kaspersky zu deinstallieren und nichts drauf zu haben, wurde mir öfter empfohlen aufgrund von systemeinbußen usw. aber windows defender halte ich als nicht vertrauenswürdig, nicht, eigentlich ist doch windows selber schon nicht vertrauenswürdig lol.

aber jetzt mal im ernst, wenn man kein kaspersky, kein defender möchte, was gäbe es was bisher schlank und bewährt ist wenn man doch etwas mal scannen möchte wo man unsicher ist, z.b. usb stick vom kumpel, usb stick von der arbeit welches schon an zig rechnern war usw.?
da fand ich bisher kaspersky immer recht fix und übersichtlich wobei die letzten versionen immer vollgestopfter wurden....

also wer weiß ob das nun politisch ist oder nicht, mir geht es hier um das programm selber, denn wenn man könnte dann könnte nicht nur kaspersky sondern denke ich mal jedes dienst/jedes land usw rechner/software lahmlegen, da hilft auch kein 10 euro antivirenprogramm....

 

[SIR_Thomas_TMC]

@Caine1 Klar könnte das jedes Land machen. Die Frage, die du und jeder andere sich selbst beantworten darf, ist, bei welchem Land ist es wahrscheinlicher.
In einem Land, in dem ein autoritäres System herrscht, das die Medien, die Gerichte und die Polizei und Geheimdienste gleichgeschaltet oder vollständig der öffentlichen Kontrolle entzogen hat oder
in einem Land, das sicher auch im Rahmen der nationalen Sicherheit einiges an Dingen tun kann, jedoch weiterhin der parlamentarischen Kontrolle und somit letztlich der öffentlichen Kontrolle unterliegt, in dem es funktionierende rechtsstaatliche Möglichkeiten gibt und in dem sich auch die Executive an das geltende Recht hält und nicht an die Ideen und Wünsche eines Diktators.
Praktischer Test: Einfach (gedanklich) in die jeweilige Hauptstadt reisen, dort auf einen öffentlichen Platz gehen und ein Schild hochhalten, mit der Aufschrift, Staatslenker XYZ (des bereisten Landes) ist irre und macht nur unsinnigen Mist.
Da, wo du nicht verhaftet wirst, aus dem Land würde ich grundsätzlich Software deutlich mehr vertrauen. Aber natürlich bleibt das, wie schon gesagt, jedem selbst überlassen.

 

[xxlrider]

Im Zusammenhang mit Malware ist mir etwas passiert das mir zu denken gab.
Meine Schwester hatte mir einen Link zugeschickt.
Dieser war angeblich von Milka und ich dachte zuerst es würde irgent etwas lustiges sein.

Nach dem anclicken wurde mir eine Umfrage - Oberfläche im Milka Style gezeigt, wo es 5 Auswahlmöglichkeiten gab.
Alles auf Deutsch.

Was mir zu denken gab:
Es war ein Link mit der Endung ".ru"

Was hat man davon zu halten ?

 

[knoxxi]

Eine kurze Info zu dem Thema

https://www.n-tv.de/technik/Bundesa...ssischer-Software-warnen-article23389634.html

Eine deutsche Bundesbehörde darf weiter vor Produkten des russischen Software-Herstellers Kaspersky warnen. Die Virenschutz-Spezialisten waren vor das Bundesverfassungsgericht gezogen, das sieht sich jedoch noch nicht zuständig. Das Unternehmen sieht sich in wesentlichen Grundrechten beeinträchtigt.

 

[frank99]

Das ganze Topic verdient ein Update, siehe hier:

https://blog.fefe.de/?ts=9c120a58

 

[Denniss]

Schreibt mal wieder ziemlichen Dummfug auf seinem Blog, es tut mir zwar auch ein ganz wenig Leid für Kaspersky aber solange die russischer Gerichtsbarkeit unterworfen sind ist dieser Software nicht mehr zu trauen.
Nichts anderes sagt das BSI in Abstimmung mit dem Innenministerium

 

[sedot]

Drei Stunden Frist​

Damit ist die Warnung abgestimmt und kann veröffentlicht werden. Das BSI informiert Kaspersky am 14. März und gibt dem Unternehmen drei Stunden Zeit, zu reagieren. Von Kaspersky kommt keine Antwort.

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und hat die Dokumente durchgesehen. Er kommt zum Schluss, dass das BSI "eindeutig vom Ergebnis her" gearbeitet habe. Das widerspreche dem Auftrag des BSI, "auf Grundlage wissenschaftlich-technischer Erkenntnisse" zu agieren, wie es in Paragraph 1 des BSI-Gesetzes heiße. Diese "Arbeitsmethode setzt eigentlich voraus, dass man gerade nicht das Ergebnis zuerst hat und dann überlegt, wie kann ich es herleiten". Genau das sei aber passiert. Kipker zufolge wäre es besser gewesen, "allgemein vor russischen Produkten" zu warnen anstatt Kaspersky "als Exempel zu verwenden".

Das Bundesinnenministerium ließ eine Anfrage unbeantwortet.

https://www.tagesschau.de/investigativ/br-recherche/software-kaspersky-sicherheit-warnungen-101.html

Tja.

 

[SIR_Thomas_TMC]

https://www.tagesschau.de/investigativ/br-recherche/software-kaspersky-sicherheit-warnungen-101.html

Tja.

Alles interessant in dem Artikel. Für mich ist die Argumentation unverändert richtig, Russland hat umfassende Möglichkeiten einzuwirken (wie man ja seit Überfall auf die Ukraine in vielen Bereichen sieht), daher ist die Warnung richtig. Auch wenn noch kein konkreter Nachweis des Einwirken seitens des Staates möglich ist (weil diesbezüglich auch gar keine rechtliche Möglichkeit für das BSI besteht, ein russisches Unternehmen auf Einwirkung der russischen Apparate zu prüfen). Das Risiko ist da, und wenn es für Putin zweckmäßig ist, wird ja auch entsprechend gehandelt, siehe Gasprom. Also aus meiner Sicht alles richtig mit dieser politischen Entscheidung.

 

[E2-1800]

Ich verwende Immunet wenn auch von Cisco so ist es ein opensource projekt via Clam AV und vorallem ein Community Projekt

 

[sedot]

Also aus meiner Sicht alles richtig mit dieser politischen Entscheidung.

Bei Empfehlungen zur IT-Sicherheit sollten imo politische Überlegungen egal welcher Art eine untergeordnete Rolle spielen. Das ist schlicht nicht das Aufgabengebiet des BSI.
Mich würden tatsächlich die der Recherche zu Grunde liegenden Dokumente interessieren.

Zu Putin und seiner Politik möchte ich mich hier im Thread nicht äußern, vor allem weil offtopic.

 

[SIR_Thomas_TMC]

Bei Empfehlungen zur IT-Sicherheit sollten imo politische Überlegungen egal welcher Art eine untergeordnete Rolle spielen.

Grundsätzlich stimmt das auch, die Ausnahme vom Grundsatz ist aber genau der jetzige Fall, nämlich dass eine an sich grundsolide Software jederzeit durch den regierenden Despoten mißbraucht werden kann.

Das ist schlicht nicht das Aufgabengebiet des BSI.

Auch hier stimmt das grundsätzlich, aber die Ausnahme ist ja genau der Fall hier, und das die Abstimmung mit dem Ministerium (=Politk) so sogar allgemein vorgesehen ist, steht ja auch im Artikel. Und eben exakt für solche Fälle ist das auch folgerichtig.
Das Problem ist also nicht die Software an sich oder das Unternehmen an sich, sondern der jederzeit möglich Missbrauch durch Putin. Der wie man sieht davor in anderen Bereichen überhaupt nicht zurück schreckt.

Eine Sicherheitssoftware aus Nordkorea würdest du wahrscheinlich auch als problematisch bewerten, auch wenn bisher kein Problem bewiesen wurde.

 

[sedot]

Grundsätzlich stimmt das auch, die Ausnahme vom Grundsatz ist aber genau der jetzige Fall, nämlich dass eine an sich grundsolide Software jederzeit durch den regierenden Despoten mißbraucht werden kann.

Das ist eben die politische Dimension, die ich meine.

Wenn Software (oder auch Hardware) innerhalb ihrer Spezifikationen nachgewiesenermaßen funktioniert gibt es kein Problem. Stichwort u.a. (regelmäßige) Audits.

Weiterführend könnte aber auch mal evaluiert werden ob der Einsatz von proprietären und damit oft inhärent unsicheren Systemen überhaupt sinnvoll ist.

Diese Diskussion ist aber nicht neu und fast alles wurde mehrfach erörtert, auf eine Wiederholung hab ich gerade keine Lust. An Informationen mangelt es wirklich nicht.

 

[Miuwa]

Wenn Software (oder auch Hardware) innerhalb ihrer Spezifikationen nachgewiesenermaßen funktioniert gibt es kein Problem. Stichwort u.a. (regelmäßige) Audits.

Genau das kannst du halt nicht realistisch nachweisen. Und regelmäßige Autids, bei einer closed Source Software, die vermutlich mehrmals täglich ein Update bekommt (Signaturupdates) sind halt vermutlich bestenfalls ein Tropfen auf den heißen Stein

 

[SIR_Thomas_TMC]

Stufe 1 - Vetrauen groß & Einschätzung Risiko sehr gering

Wenn Software (oder auch Hardware) innerhalb ihrer Spezifikationen nachgewiesenermaßen funktioniert gibt es kein Problem. Stichwort u.a. (regelmäßige) Audits.

Stufe 2 - Vertrauen basiert auf Risikoabschätzung, in diesem Fall Risiko groß, Vertrauen gering

eine an sich grundsolide Software jederzeit durch den regierenden Despoten mißbraucht werden kann.

Stufe 3 - Vertrauen ist nicht notwendig, da Quellcode und Funktion komplett offengelegt ist

Weiterführend könnte aber auch mal evaluiert werden ob der Einsatz von proprietären und damit oft inhärent unsicheren Systemen überhaupt sinnvoll ist.

Ich hab das mal mit Stufen benannt, kannst du gerne auch anders bezeichnen. Stufe 2 liegt eben zwischen 1 und 3 vom Grad des Vertrauens. Klar ist Stufe 3 (open source und geprüft), die sicherste. Und Stufe 1 die, über die man am wenigsten weiß. Je nach Vertrauen in das Unternehmen bzw. in die Software kann man sich aber darauf einlassen, was nichts anderes als eine Risikoabschätzung ist. Das kann trotzdem schief gehen, ist aber immer so, wenn das Risiko nicht =0 ist.
Und dazwischen liegt eben die Risikoabschätzung, was macht der liebe Herr der seine despotische Hand an der Gurgel von allem in seinem Einflussbereich hat. Und die Folgerung daraus ist für mich durchaus nachvollziehbar und folgerichtig. Und eine politische Abschätzung, und daher auch von der Politik des Herren abhängig, über die du nicht reden willst. Und über die wir auch nicht reden brauchen, solange du nicht die Augen vor dem verschließt, was er wirklich tut und getan hat. Denn das ist eine sehr wichtige Einflussgröße für die Risikoabschätzung.

 

[sedot]

Je nach Vertrauen in das Unternehmen bzw. in die Software kann man sich aber darauf einlassen, was nichts anderes als eine Risikoabschätzung ist. Das kann trotzdem schief gehen, ist aber immer so, wenn das Risiko nicht =0 ist.

Mit genau so einer Bewertung habe ich weniger Probleme, nichts anderes erwarte ich vom BSI. Zudem ist mit der dem Zitat von Dennis-Kenji Kipker (siehe #231) eigentlich alles gesagt.

Und über die wir auch nicht reden brauchen, solange du nicht die Augen vor dem verschließt, was er wirklich tut und getan hat.

Du kennst mich nicht, spar dir bitte solche seltsamen Spitzen. Danke. Falls du meine Meinung zu Russland oder dem Krieg wissen willst schreib mir eine PM.

 

[SIR_Thomas_TMC]

Du kennst mich nicht, spar dir bitte solche seltsamen Spitzen. Danke. Falls du meine Meinung zu Russland oder dem Krieg wissen willst schreib mir eine PM.

Da hast du mich falsch verstandenm (bzw. ich mich missverständlich ausgedrückt). Das war tatsächlich neutral gemeint. Wenn dazu nicht die Augen verschlossen wird, dann ist die Risikoabschätzung auch korrekt. Andernfalls wäre sie einseitig (entweder pro oder contra, also zu gut oder zu schlecht, je nach Präferenz).