BSI darf vor Kaspersky warnen
Wie das Verwaltungsgericht in Köln entschieden hat, darf das Bundesamt für Informationstechnik (BSI) vor der Virenschutzsoftware der Firma Kaspersky warnen. Vor dem Hintergrund des russischen Angriffskrieges hatte das BSI via Pressemeldung empfohlen, die Software des Moskauer Unternehmens durch Alternativprodukte zu ersetzen. Dagegen war Kaspersky mit Antrag auf Erlass einer einstweiligen Anordnung vorgegangen.
Stiftung Warentest hat beschlossen, die Testurteile – zuletzt mit der Note „sehr gut“ – für die aktuellen Antivirenprogramme zurückzuziehen, Fußball-Bundesligist Eintracht Frankfurt steigt aus dem Sponsorenvertrag mit dem russischen Unternehmen aus und stoppt jegliche Bewerbung. Der Krieg hat handfeste wirtschaftliche Folgen. Deshalb wollte Kaspersky auch die Unterlassung und Widerruf der Äußerungen des BSI erreichen. Vergeblich, wie sich nun zeigte.
 

Vertrauen in den Hersteller erschüttert

IBegründet hat Kaspersky sein Anliegen damit, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität der Virenschutzsoftware handele. Eine Sicherheitslücke im Sinne einer bekannt gewordenen Schwachstelle liege nicht vor. Und: Anhaltspunkte dafür, dass der russische Staat Einfluss auf Kaspersky nähme, gäbe es nicht. Das Verwaltungsgericht Köln widersprach den Ausführungen und betonte, dass der Gesetzgeber den Begriff der Sicherheitslücke weit gefasst hat. In den Fokus stellte das Gericht in diesem Zusammenhang das „erforderliche hohe Maß an Vertrauen in Hersteller von Virenschutzsoftware“. Das sei vorliegend nicht mehr gewährleistet.
 

Cyberangriffe auf deutsche Betriebe denkbar

Das Unternehmen hat seinen Hauptsitz in Moskau und beschäftigt dort zahlreiche Mitarbeiter. Weil der russische Angriffskrieg auf die Ukraine auch ein Cyberkrieg sei, sei nicht auszuschließen, dass die Antivirensoftware missbraucht werde. Entweder weil russische Entwickler unter dem Druck anderer russischer Akteure oder sogar aus eigenem Antrieb die technischen Möglichkeiten für Cyberangriffe auch auf deutsche Ziele nutzen könnten. Niemand könne garantieren, dass sich staatliche Stellen an Gesetze halten, nach denen Kaspersky nicht zur Weitergabe von Informationen berechtigt sei. Der Umgang mit der Presse habe gezeigt, wie schnell der russische Staat neue Grundlagen schaffen könne.
 

Sicherheitsmaßnahmen unzureichend

Das Unternehmen hat zwar eigens geschaffene Sicherheitsmaßnahmen genannt. Diese reichten dem Verwaltungsgericht indes nicht aus. Außerdem erscheine die permanente Überwachung des Quellcodes und von Updates wegen der großen Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates unmöglich. Gegen den gerichtlichen Beschluss kann Kaspersky Beschwerde einlegen.
(VG Köln, Az. 1 L 466/22)Bildnachweise: © IMAGO / ITAR-TASS