Kaspersky – Should I stay or should I go?

Aufgrund der aktuellen Entwicklungen mit Russland mehren sich in letzter Zeit immer wieder kritische Stimmen zu dem Software-Hersteller Kaspersky.

Was ist nun für Entscheider, IT-Abteilungen und CISOs zu tun?

Vorweg

1. Eine Goldene Regel für Krisen gilt auch hier: Bleiben Sie ruhig, vermeiden Sie Impulsivität / überstürzte Reaktionen.
2. Die Einschätzung ist individuell für jedes Unternehmen je nach festgestellter Bedrohungslage anzupassen.

Lageeinschätzung der Corporate Trust

Insbesondere sind folgende Risiken bei dieser Fragestellung zu beachten:

Risiko, dass bestimmte Software-Lösungen

• aufgrund von Sanktionen nicht mehr genutzt werden dürfen / können
• zur Spionage genutzt werden können
• zur Fernsteuerung genutzt und die darunterliegenden Systeme für einen weiter gefassten Cyber-Angriff missbraucht werden können – auch auf Dritte oder verbundene, betreute Dritte (z.B. DDoS-Angriffe, Supply Chain Angriffe, Ausnutzung von VPN-Zugriffen auf andere Unternehmen)
• zur Kompromittierung von Netzwerken und Verteilung von Schadsoftware genutzt werden können

Es lässt sich feststellen, dass Unternehmen sich zunehmend für eine Konfliktpartei entscheiden (müssen) – die Neutralität wird Zusehens eliminiert. Es besteht das Risiko, dass Kaspersky über kurz oder lang ebenfalls eine Seite zu wählen hat.

Empfehlung der Corporate Trust für KRITIS-Unternehmen / wichtige Behörden / Unternehmen, die insbesondere mit Russland verbundene staatliche Angreifer als Bedrohung identifiziert haben

• Sehr zeitnaher geordneter Austausch von Kaspersky-Lösungen gegen NATO-nahe Produkte, falls noch nicht geschehen.

Empfehlung der Corporate Trust für Unternehmen, die keine direkte Bedrohung durch staatliche Angreifer identifiziert haben

• Vorbereitung auf das Risiko, dass Kaspersky-Produkte möglicherweise kurzfristig nicht mehr benutzt werden können / dürfen oder aufgrund anderer Vorkommnisse zeitnah ausgetauscht werden müssen. Dies kann u.a. beinhalten:
  • Vorbereitung von Firewall-Regeln, die in der Lage sind, alle relevanten Verbindungen zu Kaspersky-Systemen (insbesondere Update- und Telemetrie) in der gesamten IT-Infrastruktur zu blockieren.
  • Vorbereitung einer zügig durchführbaren Deinstallations-Routine für Kaspersky-Lösungen.
  • Vorbereitung einer Rückfall-Ebene. Beispielsweise wird nach der Deinstallation auf modernen Windows-Systemen der Windows Defender aktiv. Eine auf die Bedürfnisse des Unternehmens angepasste Basis-Konfiguration ist vorzubereiten.
• Prüfen, wann ein Umstieg ohne signifikante finanzielle und technische Einbußen geordnet durchgeführt werden kann. Diesen Migrationsprozess vorbereiten.
• Derzeit besteht für viele mittelständische Unternehmen ein hohes Risiko, Opfer eines Ransomware-Angriffs zu werden. Daher ist auf ein positives Sicherheitsergebnis bei einer Deinstallation von Kaspersky zu achten.

Kurze technische Einordnung

Es handelt sich derzeit um eine vorsorgliche Betrachtung des Bedrohungspotentials, eine aktive Ausnutzung der Zugriffsmöglichkeiten durch Kaspersky sind derzeit nicht belegt. Vorwürfe gab es in der Vergangenheit in Richtung Spionage. Allerdings liefert Kaspersky mit seinen Sicherheitslösungen seit Jahren stabil sehr gute Ergebnisse, insbesondere bezüglich des Schutzes vor Ransomware, und hat zurückliegend auch einiges in Transparenz investiert (siehe auch hier). Daten von europäischen und amerikanischen Kunden werden laut eigener Aussage nicht in Russland, sondern in der Schweiz verarbeitet und die Produkte nicht nur in Russland (weiter) entwickelt. Eine Kaspersky-Aufsplittung ist technisch denkbar, beispielsweise die Trennung in einen russischen und einen NATO-Teil.

Installierte Endpoint Protection Produkte haben grundsätzlich recht weitreichende Zugriffsmöglichkeiten auf Betriebssysteme. Auch die Fernsteuerung und Ausführung von Programmen aus der Ferne ist grundsätzlich möglich.

Aber auch Programme mit automatischer Aktualisierungsfunktion können potentiell Schadsoftware zur Ausführung bringen. Dementsprechend ist die dahinterliegende Fragestellung – welchem Softwarehersteller vertraut man wie weit – umfänglicher und sollte somit auch in einem größeren Kontext behandelt werden. Diese Fragestellung ist idealerweise eingebettet in eine übergeordnete Resilience-Strategie bezüglich Vorbereitung auf einen möglichen weitreichenden geo-politischen Konflikt.

Weitere Ressourcen

• Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html
• Hinweise zur Deinstallation von Kaspersky:
  • https://support.kaspersky.com/de/common/uninstall
  • https://media.kaspersky.com/utilities/ConsumerUtilities/kavremvr.exe

Zum Autor

Friedrich Wimmer ist Leiter für IT-Forensik und Cyber-Security Research bei Corporate Trust in München.

Tel.: +49 89 599 88 75 80

wimmer@corporate-trust.de