Gerichtsentscheid

Deutsches BSI darf vor Kaspersky-Software warnen

04.04.2022 12:55

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) darf vor Virenschutzsoftware des russischen Herstellers Kaspersky warnen. Dies entschied nun ein Verwaltungsgericht in Köln und lehnte damit einen Eilantrag des Unternehmens ab.

Das BSI hatte Mitte März eine Warnung veröffentlicht, wonach die Zuverlässigkeit des russischen Herstellers Kaspersky durch die aktuellen kriegerischen Aktivitäten Russlands infrage gestellt sei, und empfohlen, Virenschutzsoftware von Kaspersky durch alternative Produkte zu ersetzen. Das Unternehmen hatte darauf hin eine einstweilige Anordnung auf Unterlassung und Widerruf dieser Warnung beantragt.

Zur Begründung führte Kaspersky aus, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität seiner Virenschutzsoftware handle. Eine Sicherheitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle liege nicht vor. Anhaltspunkte für eine Einflussnahme staatlicher Stellen in Russland auf Kaspersky bestünden ebenfalls nicht. Zudem seien verschiedene Maßnahmen zur Erhöhung der Datensicherheit und -transparenz ergriffen worden.

Vertrauen in Kaspersky „nicht (mehr) gewährleistet“
Dieser Auffassung schloss sich das Gericht nicht an. In seinem am Freitag veröffentlichten Entscheid hielt es fest, dass der Gesetzgeber den Begriff der Sicherheitslücke „weit formuliert“. Virenschutzsoftware erfülle aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Sicherheitslücke. Dass ihr Einsatz dennoch empfohlen werde, beruhe allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liege jedenfalls dann eine Sicherheitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet sei.

Lesen Sie auch:

Spionageverdacht

USA setzen Kaspersky auf offizielle Verbotsliste

Alternativen gefragt

Nach BSI-Warnung: Kaspersky-Nachfrage bricht ein

Eugene Kaspersky ist der Gründer des gleichnamigen russischen IT-Security-Unternehmens. (Bild: AFP)

Warnung vor Software

Kaspersky wirft BSI ungerechtfertigten Angriff vor

„Erhebliches Risiko“

Warnung: Nutzer sollen Kaspersky-Software ersetzen

Gericht sieht keinen ausreichenden Schutz gegen staatliche Einflussnahme
Dies sei bei Kaspersky derzeit der Fall. Das Unternehmen habe seinen Hauptsitz in Moskau und beschäftige dort zahlreiche Mitarbeiter. Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als „Cyberkrieg“ geführt werde, sei nicht auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen.

Ebenso wenig könne davon ausgegangen werden, dass sich staatliche Akteure in Russland in rechtstaatlicher Weise an Gesetze halten werden, nach denen Kaspersky nicht zur Weitergabe von Informationen verpflichtet sei. Außerdem habe die massive Beschränkung der Pressefreiheit in Russland im Zuge des Kriegs mit der Ukraine gezeigt, dass entsprechende Rechtsgrundlagen schnell geschaffen werden können.

Die von Kaspersky angeführten Sicherheitsmaßnahmen böten demnach keinen ausreichenden Schutz gegen eine staatliche Einflussnahme. Es könne nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können. Eine permanente Überwachung des Quellcodes und von Updates erscheine demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich, so das Verwaltungsgericht Köln.

Gegen den Beschluss können die Beteiligten Beschwerde einlegen.