Politisch und wirtschaftlich ist Russland seit dem Start seines Angriffskrieges auf die Ukraine isoliert. Eine Bundesbehörde warnte als Reaktion nun vor einer russischen Software, obwohl diese nach wie vor in Deutschland ganz legal verkauft wird. Das dies zulässig sei, entschied nun das Verwaltungsgericht Köln.
Bundesamt für Sicherheit in der Informationstechnik (BSI) und Kaspersky
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf auch weiterhin vor der Verwendung der Antiviren-Software des russischen Herstellers Kaspersky warnen. Das Verwaltungsgericht Köln lehnte einen gegen eine entsprechende Erklärung des BSI gerichteten Eilantrag des in Deutschland ansässigen Unternehmens der russischen Kaspersky-Gruppe ab (Az.: 1 L 466/22).
Das BSI hatte am 15. März 2022 eine Warnung veröffentlicht, wonach die Zuverlässigkeit des der Kaspersky Antivirus-Software durch die aktuellen kriegerischen Aktivitäten Russlands in Frage gestellt sei. Ausdrücklich empfiehlt die Cyber-Sicherheitsbehörde bestehenden Kunden, das Programm zu deinstallieren und auf ein Virenschutz-Programm eines anderen Herstellers umzusteigen.
Für jedes Unternehmen ist eine solche öffentliche Warnung nicht nur werbetechnisch das Worst-Case-Szenario. Auch wirtschaftlich wird die Firma Kaspersky massive Gewinneinbußen verzeichnen. Gerade im Bereich von Schutzsoftware ist die Frage der Vertrauenswürdigkeit das zentrale Kriterium der Kaufentscheidung. Wird diese abgesprochen, gilt ein Programm für die meisten Nutzer selbst als Gefahr und ist faktisch unverkäuflich.
Warnung ohne Nachweis von Sicherheitslücke
Fatalerweise nahm das BSI jedoch gerade die Vertrauenswürdigkeit der Software zum Anlass der Warnung. Das Heikle an dieser Entscheidung: Eine konkrete Sicherheitslücke im Code der Software konnte das Bundesamt nicht vorweisen. Entsprechend war die Reaktion des Unternehmens, das erklärte, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität der Virenschutzsoftware handle. Eine Sicherheitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle liege nicht vor.
Das BSI, das aktuell die Sorge vor russischen Hackerangriffen in Deutschland umtreibt, befürchtet derweil russische Einflussnahme auf den Softwarehersteller. Das Gericht folgte in seiner Eilentscheidung der Argumentation der Behörde und definierte schlicht den Begriff einer „Sicherheitslücke“ anders – vor der zu warnen das BSI ja gerade verpflichtet ist.
Antivirensoftware selbst als Gefahr
Virenschutzsoftware stelle aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem per selbst eine Sicherheitslücke dar. Dass ihr Einsatz dennoch empfohlen werde, beruhe allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liege jedenfalls dann eine Sicherheitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet sei.
Eben jenes bestünde aber nicht mehr, hielt das Gericht fest und führte eine Reihe Argumente ins Feld:
- Der Hauptsitz des Unternehmens liege in Moskau. Nicht auszuschließen sei, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen würden.
- Nicht gewährleistet sei, dass der Staat sich an Gesetze halten würde, die eine Pflicht zur Informationsweitergabe ausschließen würden.
- Sicherheitsmaßnahmen des Herstellers würden staatliche Einflussnahme nicht verhindern.
- Es könne nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können.
Zu guter Letzt sei eine fortlaufende Kontrolle der Software schon wegen der Komplexität des Programmcodes praktisch unmöglich.
Gegen diesen Beschluss kann das Unternehmen Beschwerde einlegen.
Staatliche Warnungen – ein Fall für die Gerichte
Staatliche Warnungen waren rechtlich schon häufiger ein Fall für die Gerichte und sind rechtsdogmatisch hochumstritten. Besonders prominent sind die höchstrichterlichen Entscheidungen zur Warnung vor mit Glykol belastetem Wein (BVerwG 26.06.2002 - 1 BvR 558/91, 1 BvR 1428/91 - BVerfGE 105,252 ff.) und die vor einer Sekte (BVerfG, Beschluss vom 26. Juni 2002 1 BvR 670/91).
Kommentar schreiben