BSI durfte vor Virenschutzsoftware von Kaspersky warnen

Vor dem Hintergrund der aktuellen Drohungen Russlands gegenüber Deutschland durfte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware des russischen Softwareunternehmens Kaspersky warnen. Das hat das Oberverwaltungsgericht Nordrhein-Westfalen in Münster entschieden und damit die Beschwerde der deutschen Tochtergesellschaft von Kaspersky gegen einen entsprechenden Eilbeschluss des Verwaltungsgerichts Köln abgelehnt.

BSI warnt: Software könnte für IT-Angriff genutzt werden

Das BSI gab am 15.03.2022 eine Warnung vor der Virenschutzsoftware des Herstellers Kaspersky heraus. Virenschutzsoftware sei ein exponiertes Ziel von offensiven Operationen im Cyberraum. Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts jüngst von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden. Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten könnten Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden. Alle Anwender der Virenschutzsoftware könnten je nach ihrer strategischen Bedeutung von einer schädigenden Operation betroffen sein. Empfohlen werde, die Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen, wobei zu einer individuellen Bewertung und Abwägung der aktuellen Situation geraten werde. Dagegen wandte sich das deutsche Tochterunternehmen, das die Virenschutzsoftware von Kaspersky vertreibt.

Gefahr für Sicherheit in der Informationstechnik dargelegt

Der Eilantrag blieb in erster und zweiter Instanz ohne Erfolg. Die Warnung und Empfehlung sei nach § 7 Abs. 1 und 2 BSIG rechtmäßig, so das OVG Münster. Die Vorschrift verlange als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicherheitslücke von einem Produkt Gefahren für die Sicherheit in der Informationstechnik ausgehen. Bei Virenschutzprogrammen bestünden schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes. In der Vergangenheit habe es zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind. Nach den Erkenntnissen des BSI könne die systembedingte Berechtigung zum Zugriff auf die – eigentlich durch das Virenschutzprogramm zu schützende – IT-Infrastruktur für maliziöse Aktivitäten missbraucht werden. Es lägen nach den vom BSI zusammengetragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht.

Instrumentalisierung von Kaspersky durch russische Regierung zu befürchten

Die Annahme des BSI, das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden, beruhe auf hinreichenden Erkenntnissen zur aktuellen Cybersicherheitslage, so das OVG. Das BSI habe ferner die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt. Es habe daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren. Die Sicherheitsvorkehrungen, die Kaspersky getroffen hat, genügten in der aktuellen Situation nicht, um den Bedrohungen hinreichend entgegenzuwirken.

Von BSI ausgesprochene Warnung verhältnismäßig

Das BSI habe die Entscheidung, die Warnung herauszugeben, ermessensfehlerfrei getroffen und dabei insbesondere den Grundsatz der Verhältnismäßigkeit gewahrt, führt das OVG weiter aus. Die Warnung sei nicht aufgrund sachfremder Erwägungen oder gar willkürlich herausgegeben worden. Insbesondere sei sie nicht politisch motiviert gewesen und stelle keine reine Symbolpolitik dar. Angesichts der aufgezeigten Bedrohungslage diene sie allein dazu, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren. Hierzu sei sie geeignet und erforderlich gewesen. Mit der Warnung erhöhe das BSI signifikant das Bewusstsein für potentiell mögliche Gefahren, die sich aus dem Einsatz der Virenschutzprogramme von Kaspersky aktuell ergeben und empfehle nach individueller Risikobewertung einen Ersatz durch alternative Produkte. Zugleich habe es die Warnung unter Beachtung des Zurückhaltungsgebots formuliert und auf das Erforderliche beschränkt. Der Beschluss des OVG vom 28.04.2022 (Az.: 4 B 473/22) ist unanfechtbar.

Redaktion beck-aktuell, 29. April 2022.

Weiterführende Links

Zum Thema im Internet

Den Beschluss des OVG Münster finden Sie auf den Seiten der nordrhein-westfälischen Justiz.

Aus der Datenbank beck-online

VG Köln, Gefahrenabwehr, Unterlassung, Ermessensfehler, Bundesamt, BeckRS 2022, 7471 (erste Instanz)

 

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.