BSI darf vor Kaspersky-Virenschutz warnen
VG Köln v. 1.4.2022 - 1 L 466/22
Der Sachverhalt:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 15.3.2022 eine Warnung, wonach die Zuverlässigkeit des russischen Herstellers Kaspersky durch die aktuellen kriegerischen Aktivitäten Russlands in Frage gestellt sei, und empfohlen, Virenschutzsoftware von Kaspersky durch alternative Produkte zu ersetzen.
Die antragstellende Kaspersky Labs GmbH, die Virenschutzprodukte des russischen Herstellers vertreibt, beantragte daraufhin am 21.3.2022 den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf dieser Warnung. Zur Begründung führte sie aus, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität der Virenschutzsoftware handle. Eine Sicherheitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle liege nicht vor. Anhaltspunkte für eine Einflussnahme staatlicher Stellen in Russland auf Kaspersky bestünden ebenfalls nicht. Zudem seien verschiedene Maßnahmen zur Erhöhung der Datensicherheit und -transparenz ergriffen worden.
Das VG gab dem Antrag nicht statt. Gegen den Beschluss können die Beteiligten Beschwerde einlegen, über die das OVG entscheiden würde.
Die Gründe:
Der Gesetzgeber hat den Begriff der Sicherheitslücke, die das BSI zu einer Warnung berechtigt, weit formuliert. Virenschutzsoftware erfüllt aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Sicherheitslücke. Dass ihr Einsatz dennoch empfohlen wird, beruht allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liegt jedenfalls dann eine Sicherheitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet ist.
Dies ist bei Kaspersky derzeit der Fall. Das Unternehmen hat seinen Hauptsitz in Moskau und beschäftigt dort zahlreiche Mitarbeiter. Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als "Cyberkrieg" geführt wird, ist nicht hinreichend sicher auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen. Ebenso wenig kann davon ausgegangen werden, dass sich staatliche Akteure in Russland in rechtstaatlicher Weise an Gesetze halten werden, nach denen Kaspersky nicht zur Weitergabe von Informationen verpflichtet ist.
Außerdem hat die massive Beschränkung der Pressefreiheit in Russland im Zuge des Kriegs mit der Ukraine gezeigt, dass entsprechende Rechtsgrundlagen schnell geschaffen werden können. Die von Kaspersky angeführten Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz gegen eine staatliche Einflussnahme. Es kann nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können. Eine permanente Überwachung des Quellcodes und von Updates erscheint demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich.
Mehr zu Thema:
VG Köln PM vom 1.4.2022
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 15.3.2022 eine Warnung, wonach die Zuverlässigkeit des russischen Herstellers Kaspersky durch die aktuellen kriegerischen Aktivitäten Russlands in Frage gestellt sei, und empfohlen, Virenschutzsoftware von Kaspersky durch alternative Produkte zu ersetzen.
Die antragstellende Kaspersky Labs GmbH, die Virenschutzprodukte des russischen Herstellers vertreibt, beantragte daraufhin am 21.3.2022 den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf dieser Warnung. Zur Begründung führte sie aus, dass es sich um eine rein politische Entscheidung ohne Bezug zur technischen Qualität der Virenschutzsoftware handle. Eine Sicherheitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle liege nicht vor. Anhaltspunkte für eine Einflussnahme staatlicher Stellen in Russland auf Kaspersky bestünden ebenfalls nicht. Zudem seien verschiedene Maßnahmen zur Erhöhung der Datensicherheit und -transparenz ergriffen worden.
Das VG gab dem Antrag nicht statt. Gegen den Beschluss können die Beteiligten Beschwerde einlegen, über die das OVG entscheiden würde.
Die Gründe:
Der Gesetzgeber hat den Begriff der Sicherheitslücke, die das BSI zu einer Warnung berechtigt, weit formuliert. Virenschutzsoftware erfüllt aufgrund der weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem grundsätzlich alle Voraussetzungen für eine solche Sicherheitslücke. Dass ihr Einsatz dennoch empfohlen wird, beruht allein auf dem hohen Maß an Vertrauen in die Zuverlässigkeit des Herstellers. Daher liegt jedenfalls dann eine Sicherheitslücke vor, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet ist.
Dies ist bei Kaspersky derzeit der Fall. Das Unternehmen hat seinen Hauptsitz in Moskau und beschäftigt dort zahlreiche Mitarbeiter. Angesichts des russischen Angriffskriegs auf die Ukraine, der auch als "Cyberkrieg" geführt wird, ist nicht hinreichend sicher auszuschließen, dass russische Entwickler aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzen. Ebenso wenig kann davon ausgegangen werden, dass sich staatliche Akteure in Russland in rechtstaatlicher Weise an Gesetze halten werden, nach denen Kaspersky nicht zur Weitergabe von Informationen verpflichtet ist.
Außerdem hat die massive Beschränkung der Pressefreiheit in Russland im Zuge des Kriegs mit der Ukraine gezeigt, dass entsprechende Rechtsgrundlagen schnell geschaffen werden können. Die von Kaspersky angeführten Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz gegen eine staatliche Einflussnahme. Es kann nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können. Eine permanente Überwachung des Quellcodes und von Updates erscheint demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich.
Mehr zu Thema:
- Aufsatz: Schneider, Streitz - Umsetzung der neuen Anforderungen bei der Vertragsgestaltung (CR 2022, 141)
- Aufsatz: Auer-Reinsdorff - Vertragsbeziehungen im Internet of Things (ITRB 2022, 91)
- Beratermodul IT-Recht
Die perfekte Online-Ausstattung für das IT-Recht (DSGVO/BDSG).
Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge.
Ihr Vorteil: Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT!
4 Wochen gratis nutzen!