Virenschutzsoftware: Kaspersky-Beschwerde gegen BSI-Warnung erneut gescheitert
Auch vor dem Oberverwaltungsgericht war der russische Konzern Kaspersky mit seiner Beschwerde gegen die Warnung des BSI vor der eigenen Software erfolglos.
(Bild: Konektus Photo/Shutterstock.com)
Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Virenschutzsoftware von Kaspersky ist rechtmäßig. Das hat das Oberverwaltungsgericht Nordrhein-Westfalens am Donnerstag entschieden und damit die Beschwerde des russischen Konzerns gegen einen Eilantrag des Verwaltungsgerichts Köln abgelehnt. Über die Warnung des BSI sei ermessensfehlerfrei entschieden worden, die Verhältnismäßigkeit sei gewahrt geblieben, heißt es von dem Gericht und "insbesondere war sie nicht politisch motiviert und stellt keine reine Symbolpolitik dar". Genau das hatte Kaspersky dem BSI vorgeworfen. Die Entscheidung ist nicht anfechtbar.
Vertrauen nicht mehr gegeben
Zweieinhalb Wochen nach Beginn des russischen Angriffskriegs gegen die Ukraine hatte das BSI die offizielle Warnung vor Kasperskys Virenschutzsoftware Mitte März ausgesprochen. Als Begründung hatte die Behörde erklärt, dass das notwendige Vertrauen in die Zuverlässigkeit und die "authentische Handlungsfähigkeit" der Software angesichts des kriegerischen Konflikts nicht mehr gegeben sei. Daraufhin hatte Kaspersky vor Gericht den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf der Warnung beantragt. Damit war der russische Konzern Anfang April gescheitert und auch die Beschwerde gegen dieses Urteil wurde nun abgewiesen (AZ: 4 B 473/22).
In der Begründung führt das Oberverwaltungsgericht aus, dass bei Virenschutzprogrammen "schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes" bestehen. In der Vergangenheit hätten immer wieder Fehlfunktionen in Antivirensoftware IT-Systeme blockiert und unbemerkt Daten an die Hersteller übertragen. Die systembedingten Zugriffsberechtigungen könnten für "maliziöse Aktivitäten" missbraucht werden. Die Annahme des BSI, dass russische Aktionen und Drohungen mit "einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden" seien, beruhten auf hinreichen Erkenntnissen. Auch sei vergangene Einflussnahme der russischen Regierung beim BSI berücksichtigt worden.
Sicherheitsvorkehrungen unzulänglich
Die Schlussfolgerung, dass die russische Regierung im Rahmen des von ihr geführten Angriffskriegs russische Softwareunternehmen zur Durchführung eines Cyberangriffs auch auf westliche Ziele instrumentalisieren können, sei nachvollziehbar, befand das Gericht. Demgegenüber seien die Sicherheitsvorkehrungen des Softwareunternehmens nicht ausreichend. Die Warnung sei unter diesen Voraussetzungen zurückhaltend genug und "auf das Erforderliche beschränkt" erfolgt. Sie habe ausschließlich dazu gedient, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren und das Bewusstsein für mögliche Gefahren zu erhöhen.
(mho)
