Gericht: BSI-Warnung vor Kaspersky-Virenschutz war rechtens

Stellt eine Virenschutz-Software bereits eine möglich "Sicherheitslücke" dar? War die Warnung des BSI vor der russischen Kaspersky-Software politisch motiviert? Ein Beschluss ist nun gefallen.
Der russische Virenschutz-Hersteller Kaspersky ist mit dem Versuch gescheitert, eine Warnung gegen die Verwendung seiner Software aufzuheben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte Mitte März vor dem Hintergrund des Ukraine-Krieges auf ein "erhebliches Risiko" eines erfolgreichen IT-Angriffs Russlands hingewiesen und geraten, Kaspersky-Software durch Alternativen zu ersetzen.

Daraufhin zog die Firma, die Kaspersky in Deutschland vertreibt, vor das Kölner Verwaltungsgericht. Sie wollte die Warnung kippen und dem BSI auch künftig solche Wortmeldungen verbieten. Doch das Gericht lehnte den Antrag der Firma am Freitag ab.

Die Kaspersky Labs GmbH hatte die BSI-Entscheidung als rein politisch dargestellt, bei der es keinen Bezug zur technischen Qualität des Virenschutzes gebe. Eine Sicherheitslücke und technische Schwachstelle liege ebensowenig vor wie Anhaltspunkte für staatliche russische Einflussnahme.

Der Argumentation der Firma folgte das Gericht aber nicht. Wie aus einer Mitteilung hervorgeht, hat der Gesetzgeber den Begriff der Sicherheitslücke, die zu einer Warnung berechtigt, weit gefasst. Virenschutz-Software erfülle grundsätzlich alle Voraussetzungen für so eine Sicherheitslücke, schließlich habe die Software weitreichende Berechtigungen zu Eingriffen in das Computersystem. Wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht mehr gewährleistet sei, liege eine Sicherheitslücke vor - und dies ist nach Entscheidung der Kölner Richter bei Kaspersky der Fall.

Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als "Cyberkrieg" geführt werde, sei "nicht hinreichend sicher auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen", heißt es in der Mitteilung des Gerichts. Zudem könne nicht davon ausgegangen werden, dass sich staatliche Akteure in Russland an Gesetze hielten, denen zufolge Kaspersky keine Daten weitergeben dürfe. Die Sicherheitsmaßnahmen, welche die Firma nach eigenen Angaben durchgeführt hat, bieten aus Sicht des Gerichts "keinen ausreichenden Schutz gegen eine staatliche Einflussnahme".

Gegen den Beschluss (Aktenzeichen 1 L 466/22) kann die Firma Beschwerde einlegen und vor das Oberverwaltungsgericht Münster ziehen.