De Duitse inlichtingendienst BSI roept op om geen Kaspersky-antivirussoftware meer te gebruiken. Volgens het BSI is er een groot risico dat die software - met of zonder medeweten van het bedrijf - wordt ingezet door Russische hackers. Kaspersky protesteert.

Het Bundesamt für Sicherheit in der Informationstechnik (BSI) raadt gebruikers aan om hun antivirussoftware van het Russische Kaspersky Lab de deur uit te doen. Volgens de Duitse inlichtingendienst wordt de kans op staatsgesteunde cyberaanvallen op Europese landen vanuit Rusland steeds groter en Kaspersky zou hier als Russisch bedrijf voor ingezet kunnen worden. Zoals het BSI het omschrijft: “Een Russisch IT-bedrijf kan zelf offensieve operaties uitvoeren, tegen zijn wil worden gedwongen om systemen aan te vallen of buiten zijn medeweten worden gebruikt als instrument voor aanvallen op zijn eigen klanten.”

Bijzonder risico
“Antivirussoftware”, zo zeggen de Duitsers “heeft uitgebreide systeemrechten en moet een permanente, versleutelde en niet-verifieerbare verbinding met de servers van de leverancier onderhouden. Bij twijfel over de betrouwbaarheid van die leverancier vormt virusbeveiligingssoftware een bijzonder risico voor een te beveiligen IT-infrastructuur.”

Kaspersky Lab, gevestigd in Moskou, protesteert tegen de oproep van de Duitse dienst: “Wij zijn van mening dat dit besluit niet is gebaseerd op een technische beoordeling van Kaspersky-producten - waar we voortdurend voor hebben gepleit bij het BSI en in heel Europa - maar in plaats daarvan op politieke gronden. We verzekeren onze partners en klanten van de kwaliteit en integriteit van onze producten, en we willen samenwerken met het BSI om opheldering te krijgen over deze beslissing.”
Kaspersky zegt dat het een privaat bedrijf is en als zodanig geen banden onderhoudt met de Russische of enige andere overheid. Bovendien wijst het techbedrijf erop dat het in 2018 zijn datacentra van Rusland naar het Zwitserse Zürich heeft verplaatst. Daar vinden alle malware-onderzoeken plaats, volgens het bedrijf gecontroleerd en gecertificeerd door verschillende instanties waaronder de Oostenrijkse keurder TÜV.

Wel verdacht, geen bewijs
Kaspersky Labs levert overal ter wereld beveiligingssoftware aan particuliere en zakelijke klanten. In Nederland biedt het bijvoorbeeld een Total Security-pakket aan met daarin antivirusbescherming, VPN en een wachtwoordmanager. De Nederlandse (en ook o.a. de Amerikaanse en Britse) overheid weert Kaspersky echter uit alle rijks-IT. Het vorige kabinet deed in 2018 onderzoek naar Kaspersky en besloot toen op basis van die genoemde Russische collaboratiewet om de antivirussoftware te verbieden voor overheidsinstanties.

Minister Grapperhaus Veiligheid en van Justitie zei zich destijds te baseren op een eigen zorgvuldige afweging en een geheim onderzoeksrapport. Dit rapport bleef ook lange tijd geheim, maar kwam op aandringen van Kaspersky en de Wet Openbaarheid van Bestuur uiteindelijk dit jaar toch boven tafel (dowload de pdf). In dat onderzoeksrapport staat dat er "geen sluitend bewijs” is dat Kaspersky kwade bedoelingen heeft en kan volgens de onderzoekers “geen uitsluitsel gegeven worden of Kaspersky op dit moment actief een dreiging vormt voor de Nationale Veiligheid”. Verder stelden zij destijds dat het bedrijf “waarschijnlijk” kan worden gedwongen om mee te werken aan spionage of sabotage en dat het “waarschijnlijk” geïnfiltreerd of gecompromitteerd is door een overheid.