Sicherheitsbedenken
04.04.2022, 08:15 Uhr
Gericht: BSI-Warnung vor Kaspersky-Virenschutz war rechtens
Nach der Warnung des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) ist Kaspersky vor das Kölner Verwaltungsgericht gezogen. Ohne Erfolg: Der Antrag des Virenschutz-Herstellers wurde abgelehnt.
Der russische Virenschutz-Hersteller Kaspersky ist mit dem Versuch gescheitert, eine Warnung gegen die Verwendung seiner Software aufzuheben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Mitte März vor dem Hintergrund des Ukraine-Kriegs auf ein «erhebliches Risiko» eines erfolgreichen IT-Angriffs Russlands hingewiesen und geraten, Kaspersky-Software durch Alternativen zu ersetzen. Daraufhin zog die Firma, die Kaspersky in Deutschland vertreibt, vor das Kölner Verwaltungsgericht. Sie wollte die Warnung kippen und dem BSI auch künftig solche Wortmeldungen verbieten. Doch das Gericht lehnte den Antrag der Firma am Freitag ab.
Die Kaspersky Labs GmbH hatte die BSI-Entscheidung als rein politisch dargestellt, bei der es keinen Bezug zur technischen Qualität des Virenschutzes gebe. Eine Sicherheitslücke und technische Schwachstelle liege ebenso wenig vor wie Anhaltspunkte für staatliche russische Einflussnahme.
Virenschutz-Software erfüllt Voraussetzungen für Sicherheitslücke
Der Argumentation der Firma folgte das Gericht aber nicht. Wie aus einer Mitteilung hervorgeht, hat der Gesetzgeber den Begriff der Sicherheitslücke, die zu einer Warnung berechtigt, weit gefasst. Virenschutz-Software erfülle grundsätzlich alle Voraussetzungen für so eine Sicherheitslücke, schliesslich habe die Software weitreichende Berechtigungen zu Eingriffen in das Computersystem. Wenn das erforderliche hohe Mass an Vertrauen in den Hersteller nicht mehr gewährleistet sei, liege eine Sicherheitslücke vor – und dies ist nach Entscheidung der Kölner Richter bei Kaspersky der Fall.
Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als «Cyberkrieg» geführt werde, sei «nicht hinreichend sicher auszuschliessen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutz-Software für Cyberangriffe auch auf deutsche Ziele ausnutzen», heisst es in der Mitteilung des Gerichts. Zudem könne nicht davon ausgegangen werden, dass sich staatliche Akteure in Russland an Gesetze hielten, denen zufolge Kaspersky keine Daten weitergeben dürfe. Die Sicherheitsmassnahmen, welche die Firma nach eigenen Angaben durchgeführt hat, bieten aus Sicht des Gerichts «keinen ausreichenden Schutz gegen eine staatliche Einflussnahme».
Gegen den Beschluss (Aktenzeichen 1 L 466/22) kann die Firma Beschwerde einlegen und vor das Oberverwaltungsgericht Münster ziehen.
04.04.2022
04.04.2022
04.04.2022
04.04.2022
06.04.2022
06.04.2022