Bundesamt für Sicherheit in der Infor­ma­ti­o­ns­technik darf vor Viren­schutz­software von Kaspersky warnenVerwal­tungs­gericht Köln lehnt Eilantrag ab

Das Bundesamt für Sicherheit in der Infor­ma­ti­o­ns­technik (BSI) hatte am 15. März 2022 eine Warnung veröffentlicht, wonach die Zuverlässigkeit des russischen Herstellers Kaspersky durch die aktuellen kriegerischen Aktivitäten Russlands in Frage gestellt sei, und empfohlen, Viren­schutz­software von Kaspersky durch alternative Produkte zu ersetzen. Die Kaspersky Labs GmbH, die Viren­schutz­produkte des russischen Herstellers vertreibt, beantragte daraufhin am 21. März 2022 den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf dieser Warnung. Zur Begründung führte sie aus, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität der Viren­schutz­software handle. Eine Sicher­heitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle liege nicht vor. Anhaltspunkte für eine Einflussnahme staatlicher Stellen in Russland auf Kaspersky bestünden ebenfalls nicht. Zudem seien verschiedene Maßnahmen zur Erhöhung der Datensicherheit und -transparenz ergriffen worden.

Viren­schutz­software erfüllt Begriff der Sicher­heitslücke

Dem ist das Gericht nicht gefolgt. Der Gesetzgeber habe den Begriff der Sicher­heitslücke, die das BSI zu einer Warnung berechtige, weit formuliert. Viren­schutz­software erfülle aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Sicher­heitslücke. Dass ihr Einsatz dennoch empfohlen werde, beruhe allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liege jedenfalls dann eine Sicher­heitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet sei.

Kein ausreichender Schutz gegen staatliche Einflussnahme gewährleistet

Dies sei bei Kaspersky derzeit der Fall. Das Unternehmen habe seinen Hauptsitz in Moskau und beschäftige dort zahlreiche Mitarbeiter. Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als „Cyberkrieg“ geführt werde, sei nicht hinreichend sicher auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Viren­schutz­software für Cyberangriffe auch auf deutsche Ziele ausnutzen. Ebenso wenig könne davon ausgegangen werden, dass sich staatliche Akteure in Russland in recht­staat­licher Weise an Gesetze halten werden, nach denen Kaspersky nicht zur Weitergabe von Informationen verpflichtet sei. Außerdem habe die massive Beschränkung der Pressefreiheit in Russland im Zuge des Kriegs mit der Ukraine gezeigt, dass entsprechende Rechts­grundlagen schnell geschaffen werden können. Die von Kaspersky angeführten Sicher­heits­maß­nahmen böten keinen ausreichenden Schutz gegen eine staatliche Einflussnahme. Es könne nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können. Eine permanente Überwachung des Quellcodes und von Updates erscheine demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich.

Gegen den Beschluss können die Beteiligten Beschwerde einlegen, über die das Oberver­wal­tungs­gericht in Münster entscheiden würde.