Diese Aussage ist leider falsch, denn Kaspersky lässt es durchaus zu, dass der Quellcode begutachtet wird.
Von durch Kaspersky selbst ausgewählten Auditoren. Das ist also wertlos.
Einsicht in den Quellcode gab es bei berechtigtem Interesse auch schon seit einiger Zeit und nicht erst seit der BSI Warnung
"Berechtigtes Interesse" ist nichts weiter als Neusprech für einen Auswahlprozess seitens Kaspersky, wer Zugang zum Code erhält und wer nicht. Der Bock macht sich selbst zum Gärtner.
Es hat schon gute Gründe, warum die FSF, OSI, oder das Debian-Projekt ihre Definitionen für FLOSS so streng setzen.
Das Problem besteht nicht darin, dass Kasperskys Software proprietär ist.
Doch, das ist das Grundproblem.
Sondern dass sie auf den Geräten, wo sie installiert ist, so weitgehende Rechte hat, dass man darüber sehr schnell z.B. Schadcode einschleusen könnte.
Das ist kein unwichtiges, aber ein nachgelagertes Problem.
Proprietäre Software ist von vorneherein nicht vertrauenswürdig, weil keine
unabhängige Überprüfung möglich ist. Alles was danach kommt, egal wie schwerwiegend, ist nur Kür.
Wenn jemand daraus einen Angriffsvektor basteln will, kann er das schneller umsetzen als eine Opensource-Community reagieren könnte. Und erst recht schneller als die angegriffenen Systeme gepatcht werden könnten.
Nicht jeder Hinz und Kunz (selbst mit Kenntnissen) kann Opensource-Software auf deinem System beliebig ändern, nur weil der Code offen ist. Er muss nach wie vor die üblichen Verteilungskanäle durchlaufen oder eine Schwachstelle ausnutzen - was auch reichlich getan wird, weshalb die CVE-Tracker so voll sind.
Das ist aber kein Problem das exklusiv für FLOSS ist.
Was sich aber ganz klar verändert hat ist die Wahrscheinlichkeit, mit der das ursprüngliche Risiko zu einer echten Gefahr wird.
Die Annahme liegt zunächst nahe, aber die Wahrheit ist, dass weder wir, noch das BSI die Wahrscheinlichkeit weder vor noch nach dem Eintritt des "politischen Faktors" abschätzen können. Vielleicht war Kasperski schon vorher kompromittiert, vielleicht ist es das auch jetzt nicht.
Wir können darüber schlicht keine Ausage treffen und anhand dieser Größe folglich auch nicht unsere Einschätzung bemessen.