23.11.2024
23.11.2024  
Sie sehen eine Reihe mit gelben Aktenordnern, die mit Barcodes markiert sind.
ergänzende Informationen

Oberverwaltungsgericht Nordrhein-Westfalen Beschluss01.04.2022

BSI durfte vor Viren­schutz­software von Kaspersky warnenVon BSI ausgesprochene Warnung verhältnismäßig

Die Warnung des Bundesamts für Sicherheit in der Infor­ma­ti­o­ns­technik (BSI) vor der Nutzung von Viren­schutz­software des Unternehmens Kaspersky ist rechtmäßig. Das hat das Ober­verwaltungs­gericht entschieden und damit die Beschwerde der deutschen Tochter­ge­sell­schaft von Kaspersky gegen den Eilbeschluss des Verwal­tungs­ge­richts Köln abgelehnt.

Das BSI gab am 15.3.2022 eine Warnung vor der Viren­schutz­software des Herstellers Kaspersky heraus. Viren­schutz­software sei ein exponiertes Ziel von offensiven Operationen im Cyberraum. Das Vorgehen militärischer und/oder nachrich­ten­dienst­licher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts jüngst von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden. Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten könnten Aufklärungs- oder Sabota­ge­ak­tionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden. Alle Anwender der Viren­schutz­software könnten je nach ihrer strategischen Bedeutung von einer schädigenden Operation betroffen sein. Empfohlen werde, die Viren­schutz­software des Unternehmens Kaspersky durch alternative Produkte zu ersetzen, wobei zu einer individuellen Bewertung und Abwägung der aktuellen Situation geraten werde. Dagegen wandte sich das deutsche Tochter­un­ter­nehmen, das die Virenschutzsoft-ware von Kaspersky vertreibt.

Gefahren für die Sicherheit in Infor­ma­ti­o­ns­technik dargelegt

Der Eilantrag blieb in beiden Instanzen ohne Erfolg. Zur Begründung seines Beschlusses hat das Oberver­wal­tungs­ge­richts ausgeführt: Die Warnung und Empfehlung ist nach § 7 Abs. 1 und 2 BSIG rechtmäßig. Die Vorschrift verlangt als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicher­heitslücke von einem Produkt Gefahren für die Sicherheit in der Infor­ma­ti­o­ns­technik ausgehen. Bei Viren­schutz­pro­grammen bestehen schon aufgrund ihrer Funktionsweise Sicher­heits­lücken im Sinne des Gesetzes. In der Vergangenheit hat es zahlreiche Vorfälle bei allen Herstellern von Viren­schutz­pro­grammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind. Nach den Erkenntnissen des BSI kann die systembedingte Berechtigung zum Zugriff auf die - eigentlich durch das Virenschutzprogramm zu schützende - IT-Infrastruktur für maliziöse Aktivitäten missbraucht werden. Es liegen nach den vom BSI zusam­men­ge­tragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Viren­schutz­software von Kaspersky derzeit eine Gefahr für die Sicherheit in der Infor­ma­ti­o­ns­technik besteht.

Instru­men­ta­li­sierung von Kaspersky durch russische Regierung zu befürchten

Die Annahme des BSI, das Vorgehen militärischer und/oder nachrich­ten­dienst­licher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Viren­schutz­software von Kaspersky verbunden, beruht auf hinreichenden Erkenntnissen zur aktuellen Cyber­si­cher­heitslage. Das BSI hat ferner die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt. Es hat daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwa­re­un­ter­nehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instru­men­ta­li­sieren. Die Sicher­heits­vor­keh­rungen, die Kaspersky getroffen hat, genügen in der aktuellen Situation nicht, um den Bedrohungen hinreichend entge­gen­zu­wirken.

Warnung weder politisch motiviert noch reine Symbolpolitik

Das BSI hat die Entscheidung, die Warnung herauszugeben, ermes­sens­feh­lerfrei getroffen und dabei insbesondere den Grundsatz der Verhältnismäßigkeit gewahrt. Die Warnung ist nicht aufgrund sachfremder Erwägungen oder gar willkürlich herausgegeben worden. Insbesondere war sie nicht politisch motiviert und stellt keine reine Symbolpolitik dar. Angesichts der aufgezeigten Bedrohungslage dient sie allein dazu, das Risiko von Angriffs­mög­lich­keiten auf die Sicherheit in der Infor­ma­ti­o­ns­technik zu reduzieren. Hierzu war sie geeignet und erforderlich. Mit der Warnung erhöht das BSI signifikant das Bewusstsein für potentiell mögliche Gefahren, die sich aus dem Einsatz der Viren­schutz­pro­gramme von Kaspersky aktuell ergeben und empfiehlt nach individueller Risikobewertung einen Ersatz durch alternative Produkte. Zugleich hat es die Warnung unter Beachtung des Zurück­hal­tungs­gebots formuliert und auf das Erforderliche beschränkt. Der Beschluss ist unanfechtbar.

Quelle: Oberverwaltungsgericht Nordrhein-Westfalen, ra-online (pm/ab)

Nicht gefunden, was Sie gesucht haben?

Urteile sind im Originaltext meist sehr umfangreich und kompliziert formuliert. Damit sie auch für Nichtjuristen verständlich werden, fasst urteile.news alle Entscheidungen auf die wesentlichen Kernaussagen zusammen. Wenn Sie den vollständigen Urteilstext benötigen, können Sie diesen beim jeweiligen Gericht anfordern.

Wenn Sie einen Link auf diese Entscheidung setzen möchten, empfehlen wir Ihnen folgende Adresse zu verwenden: https://urteile.news/Beschluss31705

Bitte beachten Sie, dass im Gegensatz zum Verlinken für das Kopieren einzelner Inhalte eine explizite Genehmigung der ra-online GmbH erforderlich ist.

Die Redaktion von urteile.news arbeitet mit größter Sorgfalt bei der Zusammenstellung von interessanten Urteilsmeldungen. Dennoch kann keine Gewähr für Richtigkeit und Vollständigkeit der über uns verbreiteten Inhalte gegeben werden. Insbesondere kann urteile.news nicht die Rechtsberatung durch eine Rechtsanwältin oder einen Rechtsanwalt in einem konkreten Fall ersetzen.

Bei technischen Problemen kontaktieren Sie uns bitte über dieses Formular.

VILI