Verwaltungsgericht: BSI warnt zu Recht vor Virenschutzsoftware von Kaspersky
Gegenwärtig ist das erforderliche hohe Maß an Vertrauen in den russischen Hersteller nicht gewährleistet, hat das Verwaltungsgericht Köln entschieden.
(Bild: Konektus Photo/Shutterstock.com)
Das Verwaltungsgericht Köln (VG) hat am Freitag einen Eilantrag eines in Deutschland ansässigen Unternehmens aus der russischen Kaspersky-Gruppe abgewiesen. Das Ersuchen richtete sich gegen die Mitte März erfolgte Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz von Virenschutzsoftware des Konzerns. Diese sei statthaft, entschieden die Richter. Das BSI darf damit vorerst weiter dazu raten, Anwendungen aus dem einschlägigen Portfolio des Unternehmens durch alternative Produkte zu ersetzen.
"Vertrauen in die Zuverlässigkeit des Herstellers"
Die hiesige Firma Kaspersky Labs hatte am 21. März den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf der Warnung beantragt. Sie begründete dies damit, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität der Software handle. Eine Sicherheitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle liege nicht vor. Anhaltspunkte für eine Einflussnahme staatlicher Stellen in Russland auf Kaspersky bestünden nicht. Zudem habe das Unternehmen verschiedene Maßnahmen zur Erhöhung der Datensicherheit und -transparenz ergriffen.
Das VG folgte dem nicht. Der Gesetzgeber habe den Begriff der Sicherheitslücke, die das BSI zu einer Warnung berechtige, weit formuliert, stellte es in dem Fall zunächst fest (Az.: 1 L 466/22). Virenschutzsoftware erfülle aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Schwachstelle. Dass ihr Einsatz dennoch empfohlen werde, beruhe allein auf dem "hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers". Dies sei bei Kaspersky derzeit nicht gegeben.
Mangelnder Schutz gegen eine staatliche Einflussnahme
Das Unternehmen habe seinen Hauptsitz in Moskau und beschäftige dort zahlreiche Mitarbeiter, führten die Richter aus. Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als "Cyberkrieg" geführt werde, sei nicht hinreichend sicher auszuschließen, dass russische Entwickler "aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen". Die von Kaspersky genannten Sicherheitsmaßnahmen böten keinen ausreichenden Schutz gegen eine staatliche Einflussnahme.
Es könne auch nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können, heißt es in dem Beschluss. Eine permanente Überwachung des Quellcodes und von Updates erscheine demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich.
"Konstruktive Zusammenarbeit"
Gegen die Entscheidung können die Beteiligten Beschwerde einlegen, über die das Oberverwaltungsgericht in Münster entscheiden würde. Eine Kaspersky-Sprecherin erklärte gegenüber heise online, man prüfe die Begründung des Gerichts sorgfältig und werde in Kürze über entscheiden, ob das Unternehmen in die nächste Instanz gehe. Angestrebt werde "eine Rückkehr zu einer konstruktiven Zusammenarbeit mit dem BSI, um die Cybersicherheit und Resilienz in Deutschland und Europa zu stärken".
(bme)
