Schlappe für Softwarebauer: BSI darf Sicherheitskonzept als „auffällig“ rügen

Die staatliche Bewertung von IT-Produkten ist für Softwareanbieter ein zweischneidiges Schwert: Während positive Testate den Absatz fördern, können kritische Berichte von Cybersicherheitsbehörden die Marktposition eines Unternehmens erschüttern. Ein aktueller Beschluss des Verwaltungsgerichts Köln (Az.: 1 L 3105/25) vom 2. Dezember verdeutlicht nun, dass sich Firmen gegen solche drohenden Veröffentlichungen nur in extremen Ausnahmefällen im Voraus wehren können.

In dem Verfahren ging ein Unternehmen, das auch Software herstellt, gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Die Bonner Behörde untersuchte laut der jetzt veröffentlichten Entscheidung im Rahmen des Projekts "E.W." die Sicherheitsarchitektur bestimmter Produkte und beanstandete diese. Die 1. Kammer entschied, dass ein Softwarehersteller nicht ohne Weiteres die Unterlassung einer geplanten behördlichen Produktbewertung verlangen kann. Daran änderte auch die Tatsache nichts, dass eine solche Warnung negative Auswirkungen auf den Markt haben könnte.

Der Streit entzündete sich an dem geplanten Abschlussbericht, in dem das BSI das Sicherheitskonzept der betroffenen Produkte als "auffällig" bezeichnete und ihnen eine mangelnde Erfüllung üblicher Sicherheitserwartungen attestierte. Das betroffene Unternehmen fühlte sich damit unzulässig an den Pranger gestellt und befürchtete irreversible Reputationsschäden.

Gegendarstellungen bleiben möglich

Mit einem Eilantrag auf vorbeugenden Rechtsschutz wollte der Hersteller erzwingen, dass die Behörde diese Erkenntnisse nicht veröffentlicht – noch bevor der Bericht überhaupt erschien. Das Verwaltungsgericht betonte nun aber im Einklang mit der gefestigten Rechtsauffassung, dass ein vorbeugender Rechtsschutz nach Paragraf 123 der Verwaltungsgerichtsordnung (VwGO) die Ausnahme bleiben müsse. Grundsätzlich setze die VwGO auf nachträglichen Rechtsschutz, um die Gewaltenteilung zu wahren. Ein Eingriff in behördliches Handeln vor dessen Vollzug sei nur dann gerechtfertigt, wenn dem Betroffenen das Abwarten nicht zugemutet werden könne. Dies träfe etwa zu, wenn irreversible Fakten geschaffen würden.

In dem Fall fehlte es laut den Kölner Richtern an einem solchen qualifizierten Rechtsschutzbedürfnis: Die potenziellen Nachteile waren für den Softwareanbieter nicht als irreparabel einzustufen.

Der IT-Rechtler Jens Ferner wertet die Entscheidung als richtungsweisend für die Branche: „Die Veröffentlichung behördlicher Sicherheitsbewertungen kann für Softwareanbieter existenzbedrohend sein. Doch nicht jede Warnung rechtfertigt einen vorbeugenden gerichtlichen Eingriff“ – das zeige dieser Beschluss deutlich. Wer sich gegen staatliche Produktbewertungen wehren wolle, müsse nachweisen, dass die Publikation „unwiederbringliche Schäden verursacht – etwa durch gezielte Prangerwirkung oder unwiderlegbare Falschdarstellungen.“

Das Gericht verwies darauf, dass eine Institution verlorenes Vertrauen durch eigene Gegendarstellungen wiederherstellen könne. Dafür kämen etwa Presseerklärungen oder aktualisierte Bewertungen infrage. Anders als bei lebensmittelrechtlichen Warnungen, die oft unwiderruflich wirken, gelten technische Produktbewertungen als dynamischer. Zudem war der Bericht nicht prominent platziert, sondern Teil einer umfassenden Untersuchung.

Der Fall Kaspersky lässt grüßen

Für bemerkenswert hält Ferner die rechtliche Einbettung: Seit Dezember ist die Umsetzung der NIS2-Richtlinie in Kraft, die behördliche Warnungen nun ausdrücklich in Paragraf 13 des BSI-Gesetzes (BSIG) normiere. An dieser neuen gesetzlichen Basis müssten sich behördliche Warnungen künftig messen lassen. Die Entscheidung zeige jedoch, dass die Gerichte die behördliche Informationspolitik nicht vorschnell blockierten, solange diese im Rahmen des gesetzlichen Auftrags bleibe. Die Balance zwischen Verbraucherschutz und unternehmerischer Freiheit sei damit weiterhin eine Frage des Einzelfalls.

Hinter dem im Verfahren als "C." anonymisierten Unternehmen dürfte laut Produktdetails und Ausführungen in dem Gerichtsbeschluss eine Firma stehen, die Produkte für die einfachere Handhabe von Passwörtern anbietet. Hintergrund des Verfahrens war ein BSI-Projekt unter dem Titel "IT-Sicherheit auf dem digitalen Verbrauchermarkt: Fokus Passwort-Manager". Die Behörde veröffentlichte den entsprechenden Bericht am 9. Dezember. Enthalten waren neben den einschlägigen Lösungen aus den Browsern Chrome und Firefox etwa 1Password, Avira Password Manager, mSecure - Password Manager, PassSecurium, S-Trust Passwort-Manager und SecureSafe Password-Manager. Zusätzlich kamen stellvertretend für die App-Klasse der KeePass-Abkömmlinge KeePassXC und KeePass2Android in die Testaufstellung.

2022 zog sich der Streit über eine BSI-Warnung vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky einige Zeit hin. Das Oberverwaltungsgericht Nordrhein-Westfalens entschied damals, dass der Hinweis rechtmäßig gewesen sei. Es lehnte die Beschwerde des Konzerns gegen einen entsprechenden Eilantrag des Verwaltungsgerichts Köln ab.

(nen)