USA verbietet Kaspersky-Verkäufe

Für die USA ist der russische IT-Security-Hersteller ein Risiko für die nationale Sicherheit. Ab Mitternacht des 20. Juli gilt ein Verkaufsstopp in den USA. Auch die Integration von Kaspersky-Lösungen in Systeme von Drittherstellern ist untersagt. Der Hersteller sieht politische Gründe hinter der drastischen Maßnahme.

Die USA haben Schritte unternommen, um den Verkauf und die Integration von Produkten des Cybersecurity-Anbieters Kaspersky im Inland zu verbieten. Sie begründen dies mit "unangemessenen und inakzeptablen Risiken für die nationale Sicherheit der USA sowie für die Sicherheit von US-Bürgern" und drohen Verstößen mit Geldstrafen in Höhe von Hunderttausenden von Dollar. Firmensitz von Kaspersky ist in der russischen Hauptstadt Moskau.

Ab Mitternacht des 20. Juli ist es Kaspersky untersagt, neue Vereinbarungen mit US-Personen zu treffen, die ein oder mehrere Geschäfte im Bereich der Informations- und Kommunikationstechnologie und -dienstleistungen (ICTS) betreffen, heißt es in einer von US-Handelsministerin Gina M. Raimondo unterzeichneten und auf der Website des Federal Register veröffentlichten Anordnung.

Ab Mitternacht des 29. September ist es Kaspersky ferner untersagt, "Updates für Antiviren-Signaturen und Codebase-Updates" bereitzustellen und das Kaspersky Security Network (KSN) in den USA oder auf amerikanischen IT-Systemen zu betreiben.

Kaspersky: "Politische Entscheidung"

CRN hat Kaspersky um eine Stellungnahme gebeten.

In einer am Donnerstag veröffentlichten Erklärung teilte Kaspersky mit, dass man sich der Entscheidung "bewusst" sei und dass der Verkauf seiner Produkte zwar verboten sei, die Nutzer sie aber weiterhin verwenden könnten. Kaspersky "beabsichtigt, alle rechtlich verfügbaren Optionen zu verfolgen, um seine laufenden Geschäfte und Beziehungen aufrechtzuerhalten".

Ferner teilte der IT-Security-Anbieter mit: "Die Entscheidung hat keinen Einfluss auf die Fähigkeit des Unternehmens, Cyber-Bedrohungsdaten und/oder Schulungen in den USA zu verkaufen und zu fördern", heißt es in der Erklärung. "Obwohl Kaspersky ein System vorgeschlagen hat, bei dem die Sicherheit von Kaspersky-Produkten unabhängig von einer vertrauenswürdigen dritten Partei hätte überprüft werden können, ist Kaspersky der Ansicht, dass das Handelsministerium seine Entscheidung aufgrund des derzeitigen geopolitischen Klimas und theoretischer Bedenken getroffen hat und nicht aufgrund einer umfassenden Bewertung der Integrität der Produkte und Dienstleistungen von Kaspersky.

Der Anbieter bestritt, "an Aktivitäten beteiligt zu sein, die die nationale Sicherheit der USA bedrohen", heißt es in der Erklärung. Der Anbieter "hat mit seiner Berichterstattung und seinem Schutz vor einer Vielzahl von Bedrohungsakteuren, die es auf die Interessen und Verbündeten der USA abgesehen hatten, einen bedeutenden Beitrag geleistet" und "hat wiederholt seine Unabhängigkeit von jeder Regierung unter Beweis gestellt", so Kaspersky.

"Kaspersky hat bedeutende Transparenzmaßnahmen implementiert, die von keinem anderen Unternehmen der Cybersicherheitsbranche erreicht werden, um sein dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit zu demonstrieren", heißt es in der Erklärung. "Die Entscheidung des Handelsministeriums ignoriert in unfairer Weise diese Beweise. ... Wir freuen uns auf das, was die Zukunft bringt, und werden uns weiterhin gegen Handlungen wehren, die versuchen, unseren Ruf und unsere Geschäftsinteressen auf unfaire Weise zu schädigen."

Der gesamte Umsatz von Kaspersky wird laut CRN's 2024 Channel Chiefs über indirekte Vertriebskanäle und Partnerschaften erzielt.

Die US-Anordnung ist die erste ihrer Art im Rahmen von Regeln, die in einer Exekutivanordnung des damaligen Präsidenten Donald Trump aus dem Jahr 2019 in Bezug auf ICTS-Verkäufe festgelegt wurden.

Das Ministerium bestritt in einem Online-Posting, dass die Anordnung auf wirtschaftlichen Wettbewerb zurückzuführen sei und erklärte, "dieses Verbot wurde zum Schutz der nationalen Sicherheit der Vereinigten Staaten erlassen."

Verkaufsbeschränkungen begannen im Jahr 2017

Die Anordnung legt fest, dass das Verbot für den "Weiterverkauf von Kaspersky Cybersicherheits- oder Antiviren-Software, die Integration von Kaspersky Cybersicherheits- oder Antiviren-Software in andere Produkte und Dienstleistungen oder die Lizenzierung von Kaspersky Cybersicherheits- oder Antiviren-Software zum Zwecke des Weiterverkaufs oder der Integration in andere Produkte oder Dienstleistungen" in den USA "oder durch US-Personen" gilt.

Ausgenommen von dem Verbot sind Kaspersky Threat Intelligence, Kaspersky Security Training und Kaspersky Consulting- oder Beratungsdienste, die "rein informativen oder pädagogischen Charakter" haben, so die Anordnung. Die Anordnung besagt auch, dass sie nicht beurteilt, "ob Kasperskys Produkte bei der Identifizierung von Viren und anderer Malware effektiv sind, sondern ob sie strategisch eingesetzt werden können, um den Vereinigten Staaten Schaden zuzufügen."

Dies ist nicht der erste Schritt, mit dem die USA den Inlandsverkauf von Produkten des 1997 gegründeten Unternehmens Kaspersky einschränken. Im Jahr 2017 ordnete das US-Ministerium für Innere Sicherheit die Entfernung von Produkten der Marke Kaspersky aus den Informationssystemen der Bundesbehörden an. Im darauffolgenden Jahr verabschiedete der Kongress ein Gesetz, das die Verwendung von Kaspersky-Produkten durch Bundesministerien, -behörden und -organisationen ausdrücklich verbietet.

2022 setzte die Federal Communications Commission (FCC) Kaspersky auf eine Liste von Unternehmen, die "ein inakzeptables Risiko für die nationale Sicherheit und die Sicherheit von US-Bürgern" darstellen.

Leichter Umsatzrückgang 2023

Trotz aller Maßnahmen der Bundesregierung meldete Kaspersky gegenüber CRN im Rahmen der Channel Chiefs 2024 ein Wachstum seines Channel-Partner-Programms, darunter eine "105-prozentige Gesamtleistung, die unser Ziel für das Geschäftsjahr 2023 übertrifft" und die Schaffung "aufregender Bundles für unser MSP-Programm, die gebündelte Wartungsverträge beinhalten."

Am Donnerstag gab Kaspersky auch die Finanzergebnisse für 2023 bekannt. Der Anbieter sagte, dass er einen globalen, nicht geprüften Umsatz von 721 Mio. US-Dollar erzielte, was einem Rückgang von 4 Prozent im Vergleich zum Vorjahr entspricht. Den Rückgang führte der Hersteller auf die Wechselkurse zurück.

"Als Reaktion auf die nicht-marktbezogenen Faktoren, die das Geschäft des Unternehmens im Jahr 2022 beeinträchtigt haben, hat Kaspersky sein Geschäft umgestaltet und seine Widerstandsfähigkeit gegenüber geopolitischen Risiken verbessert", heißt es in dem Beitrag. "Infolgedessen war Kaspersky in der Lage, stabile und robuste Geschäftsergebnisse aufrechtzuerhalten, zu einer positiven Dynamik im B2C-Verkauf (Business-to-Consumer) zurückzukehren und den B2B-Verkauf durch die Einführung neuer umfassender Sicherheitslösungen weiter auszubauen."

Kaspersky verzeichnete ein Wachstum von 11 Prozent bei den Nettobuchungen und 24 Prozent im Vergleich zum Vorjahr bei den Umsätzen des Business-to-Business (B2B)-Produktportfolios, heißt es in der Mitteilung.

Der B2C-Umsatz sank im Jahr 2023 im Vergleich zum Vorjahr um 8 Prozent. Der B2B-Umsatz mit Endgeräten wuchs im Jahresvergleich um 17 Prozent und der Umsatz mit Produkten und Dienstleistungen, die nicht für Endgeräte bestimmt sind, stieg im Jahresvergleich um 44 Prozent, heißt es in der Mitteilung von Kaspersky.

Geldstrafen und Gefängnis droht bei Verstoß

Die maximale zivilrechtliche Strafe für Verstöße gegen das Verbot beträgt laut U.S. Code of Federal Regulations (CFR) "höchstens 250.000 Dollar oder das Doppelte des Betrags der Transaktion, die dem Verstoß zugrunde liegt.

Personen, die vorsätzlich einen Verstoß gegen die Kaspersky-Verfügung begehen, zu begehen versuchen, sich dazu verschwören oder Beihilfe leisten, müssen mit strafrechtlichen Sanktionen rechnen, zu denen eine Geldstrafe von maximal 1 Mio. Dollar, eine Freiheitsstrafe von "höchstens 20 Jahren" oder beides gehören.

Die USA werden den Verkauf von Kaspersky wegen dreier Risiken verbieten, heißt es in der Anordnung:

• Kaspersky unterliegt der Gerichtsbarkeit, Kontrolle oder Weisung der russischen Regierung, einem ausländischen Gegner - Design, Entwicklung und Lieferung der Software des Anbieters erfolgen in Russland, wo der Gründer, Mehrheitseigentümer und CEO Eugene Kaspersky lebt. Die russische Regierung könnte Anfragen nach sensiblen Informationen stellen.
• Kasperskys Software kann ausgenutzt werden, um sensible Daten von US-Personen zu identifizieren und sie russischen Regierungsakteuren zur Verfügung zu stellen" - Russland könnte Kasperskys Erkenntnisse über Schwachstellen in Geräten nutzen, um auf sensible Informationen zuzugreifen
• Kaspersky Cybersicherheits- und Antivirensoftware, die von Russland aus entwickelt und geliefert wird, bietet die Möglichkeit, bösartige Software zu installieren und strategisch wichtige Malware-Signatur-Updates zurückzuhalten.

Integration in Dritthersteller-Systemen und Whit-Labeling untersagt

In der Anordnung heißt es ferner, dass "die Integration von Kaspersky-Software in Hardware oder Software von Drittanbietern oder jegliches 'White Labeling' von Kaspersky-Software diese Risiken weiter verschärft, da der Benutzer die wahre Quelle des Codes wahrscheinlich nicht kennt, was die Wahrscheinlichkeit erhöht, dass Kaspersky-Software unwissentlich in Geräte oder Netzwerke eingeschleust wird, die hochsensible US-Daten enthalten."

Obwohl Kaspersky bestritt, dass die von ihm abgerufenen Daten nicht bestimmten Personen zugeordnet werden können, enthält sein Endbenutzer-Lizenzvertrag eine Funktion zum Auffinden verloren gegangener Geräte, was laut dem Vertrag bedeutet, dass die Benutzer identifiziert werden können.

Die Behörde ist in der Lage, dieses Verbot gegen Kaspersky auszusprechen, weil Kaspersky eine Niederlassung in Massachusetts hat und weil eine Schweizer Kaspersky-Niederlassung Produktlizenzen an Amerikaner über die Kaspersky-Website verkauft, so die Anordnung. Die Schweizer Kaspersky-Einheit verarbeitet und speichert auch "bedrohungsbezogene Daten, die sie von Benutzern von Kaspersky-Produkten in Nordamerika erhalten hat" - gemäß den Verbotskriterien, dass "die Transaktionen Eigentum betreffen, an dem ein ausländisches Land oder ein Staatsangehöriger ein Interesse hat".

Kooperation von Kaspersky reicht den US-Behörden nicht

Die Anordnung beschreibt einige Bemühungen der US-Regierung und von Kaspersky, die Risiken zu beheben, einschließlich des Angebots von Kaspersky, "technische und betriebliche Abhilfemaßnahmen" zu ergreifen. Die Angebote von Kaspersky reichten jedoch nicht aus, um die festgestellten Risiken zu beseitigen", heißt es in der Anordnung.

"Auf einer allgemeinen Ebene würden die identifizierten Schutzmaßnahmen einen grundlegenden Aspekt des Risikos nicht angehen, nämlich dass Kaspersky Malware nicht aktiv durch seinen eigenen Code einschleusen muss", heißt es in der Anordnung. "Stattdessen kann Kaspersky durch seinen dauerhaften Zugriff auf Geräte Informationen über die Geräte bereitstellen, auf denen seine Software läuft, um böswilligen Cyber-Akteuren - ob in der russischen Regierung oder mit ihr verbündet - den Zugriff auf diese Geräte zu ermöglichen und Einstellungen auf dem Gerät zu manipulieren."

Das globale Virenscanning des Anbieters "macht ihn auch zum Vorreiter bei der Identifizierung neuer Schwachstellen in bestehender Software, was ihm wichtige nicht-öffentliche Informationen über Möglichkeiten zur Ausnutzung bestimmter Softwareversionen sowie eine Liste von Geräten, auf denen diese Software läuft, liefert", heißt es in der Anordnung.

"Diese Fähigkeit, wenn sie von der russischen Regierung genutzt wird, verbessert ihre Fähigkeit, Cyberspionage zu betreiben und sensible Daten zu stehlen, erheblich", steht ferner in der Anordnung.