Durfte das BSI vor Kaspersky-Virenschutz warnen?

Klassisches Klausurproblem: Grundlagen und Grenzen hoheitlichen Informationshandelns und amtlicher Äußerungsbefugnisse

Verbraucher:innen, Behörden und Unternehmen sollten das Virenschutzprogramm des russischen Herstellers Kaspersky austauschen. Dies verkündete das BSI in einer Warnung Mitte März. Die Kaspersky Labs GmbH aus der Unternehmens-Gruppe mit Sitz in Deutschland zog dagegen vor Gericht – mit Erfolg?

Worum geht es?

Schon seit sechs Wochen dauert der russische Angriffskrieg auf die Ukraine an. Die Bundesrepublik Deutschland hat darauf bereits mit Sanktionen und Maßnahmen reagiert, weitere könnten folgen. Vor dem VG Köln gab es nun eine der ersten Entscheidungen zu dieser Thematik: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte vor dem Einsatz der Virenschutzsoftware des russischen Herstellers Kaspersky gewarnt. Die Kaspersky Labs GmbH versuchte sich dagegen zu wehren – der Fall erinnert an einen Klassiker der Rechtsprechung aus dem Öffentlichen Recht.

BSI warnt vor Software

Mitte März hat das BSI vor dem Einsatz von Virenschutzsoftwaren des russischen Herstellers Kaspersky auf seinem Internetauftritt gewarnt. Die Zuverlässigkeit von Kaspersky sei durch die aktuellen Ereignisse durch Russland in Frage gestellt, schrieb das BSI in seiner Warnung, man sehe bei der Software ein „erhebliches Risiko“ eines IT-Angriffs von russischer Seite. Das Unternehmen könnte Cyber-Angriffe ausführen oder selbst Opfer solcher Angriffe werden, etwa indem es ausspioniert oder als „Werkzeug für Angriffe gegen seine Kunden missbraucht“ werde. Verbraucher:innen, Unternehmen und Behörden sollten die Programme daher durch alternative Produkte ersetzen.

Wie viele Nutzer:innen der Warnung Folge leisteten, ist nicht erfasst. Die erste Reaktion kam allerdings prompt vom Fußball-Bundesligisten Eintracht Frankfurt, der mit sofortiger Wirkung den Sponsoringvertrag mit dem russischen Softwareunternehmen kündigte. Als Begründung habe der Verein auf die Warnung des BSI verwiesen.

Die Kaspersky Labs GmbH beantragte am 21.03.2022 vor dem VG Köln den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf dieser Warnung. Die Mitteilung des BSI stelle eine rein politische Entscheidung ohne Bezug zur technischen Qualität ihrer Produkte dar, eine technische Sicherheitslücke liege nicht vor. Außerdem bestünden keine Anhaltspunkte für eine etwaige Einflussnahme staatlicher Stellen in Russland.

Wie hat das VG Köln entschieden?

VG Köln: Virenschutzsoftware als mögliche Sicherheitslücke

Das Kölner Gericht lehnte den Antrag der Kaspersky Labs GmbH ab. Beginnend führte es aus, dass das BSI grundsätzlich nach § 7 BSI-Gesetz die Möglichkeit habe, Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten an die Öffentlichkeit zu richten. Der Begriff der „Sicherheitslücke“ sei dabei weit gefasst. Virenschutzsoftware erfülle jedenfalls alle Voraussetzungen, um eine mögliche Sicherheitslücke darzustellen – schließlich habe die Software umfangreiche Berechtigungen zu Eingriffen auf das Computersystem.

Der Einsatz von Virenprogrammen werde aber trotzdem grundsätzlich empfohlen. Aber: Dies beruhe, so das VG Köln, allein auf dem Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Sollte dieses Vertrauen nicht (mehr) gewährleistet seien, liege eine Sicherheitslücke iSd § 7 BSI-Gesetz vor.

Kaspersky biete kein Vertrauen aktuell

Dies sei bei Kaspersky derzeit der Fall, so das Gericht. Es führte aus, dass das Unternehmen an seinem Hauptsitz in Moskau zahlreiche Mitarbeiter:innen beschäftigt habe. Angesichts des russischen Angriffskriegs sei nicht hinreichend sicher auszuschließen, dass sich durch die Software die Möglichkeit eines Cyberangriffs auf deutsche Ziele ergebe. Entweder durch die russischen Entwickler aus eigenem Antrieb oder aufgrund des Drucks anderer russischer Akteure.

Außerdem sei Kaspersky gegen einen staatlichen russischen Eingriff nicht geschützt. Das VG Köln verwies darauf, dass aufgrund der aktuellen Situation zum einen nicht davon ausgegangen werden könne, dass sich Russland in rechtsstaatlicher Weise an Gesetze halten werde. Zum anderen habe die jüngste massive Beschränkung der Pressefreiheit in Russland gezeigt, dass entsprechende Rechtsgrundlagen schnell ermöglicht werden könnten. In der Mitteilung heißt es:

Die von Kaspersky aufgeführten Sicherheitsmaßnahmen böten keinen ausreichenden Schutz gegen staatliche Einflussnahmen.

Die Warnung durch das BSI sei aufgrund der Sicherheitslücke daher gerechtfertigt. Es könne nicht ausgeschlossen werden, dass auf die Rechenzentren in der Schweiz, auf denen die Daten der europäischen Nutzer:innen gespeichert seien, durch russische Programmierer zugegriffen werde. Eine permanente Überwachung des Quellcodes und technischen Daten sei dabei praktisch unmöglich. 

Das VG Köln lehnte damit im Ergebnis den Eilantrag ab. Gegen den Beschluss kann Beschwerde vor dem OVG Münster eingelegt werden.

Parallelen zum Klassiker des BVerfG “Glykol-Fall”?

Das Kölner Gericht musste sich mit der Verfassungsmäßigkeit der Warnung des BSI beschäftigen. Solch staatliche Warnungen sind nicht unproblematisch – schließlich können sie in verschiedene Grundrechte eingreifen, so etwa in die Berufsfreiheit aus Art. 12 GG. Darum ging es auch im berühmten Klassiker Glykol-Fall, in dem sich die Verfassungsrichter mit Grundlagen und Grenzen des hoheitlichen Informationshandelns befassen mussten.

Fragen zu den Grundlagen und Grenzen hoheitlichen Informationshandelns oder amtlicher Äußerungsbefugnisse sind immer wieder aktuell und werden regelmäßig in Klausuren geprüft – erinnert sei dabei an die berühmte Spinner-Entscheidung oder die Entscheidung zur Aktion “Lichter aus!” – sie sollten Dir daher bekannt sein.