Gerichtsurteil: BSI darf vor Kasperskys Anti-Viren-Software warnen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf vor der Anti-Viren-Software von Kaspersky warnen, hat das Verwaltungsgericht Köln in einem Urteil entschieden. Damit wurde ein Eilantrag der russischen Kaspersky-Unternehmensgruppe abgelehnt.

Vor Kaspersky-Produkten warnte das BSI am 15. März mit Verweis auf §7 BSIG. Dieses Gesetz erlaubt der Behörde, aufgrund von Sicherheitslücken eine Warnung auszusprechen. Dagegen hatte Kaspersky am 21. März eine einstweilige Anordnung auf Unterlassung eingereicht. Demnach wäre der Beschluss rein politisch motiviert, eine Sicherheitslücke im Sinne einer technischen Schwachstelle würde nicht vorliegen. Zudem gebe es keine Anhaltspunkte, dass staatliche Stellen in Russland Einfluss nehmen würden.

Gericht: Anti-Viren-Software erfüllen Voraussetzungen für Sicherheitslücke

Damit scheiterte Kaspersky aber vor dem Verwaltungsgericht Köln (Az.: 1 L 466/22). So sei der Begriff der Sicherheitslücke im BSI-Gesetz so umfassend formuliert, dass Anti-Viren-Software aufgrund der weitreichenden Systemberechtigungen grundsätzlich alle Voraussetzungen erfülle. Empfehlenswert sei der Einsatz nur, wenn ein hohes Maß an Vertrauen in den Hersteller existiere. Wenn das nicht mehr der Fall ist, lässt sich Anti-Viren-Software als Sicherheitslücke bewerten, so das Gericht.

Bei Kaspersky sei nun genau das der Fall. Der Hauptsitz des Unternehmens ist in Moskau, daher sei nicht auszuschließen, dass russische Dienste die technischen Möglichkeiten ausnutzen, um Cyber-Angriffe auf deutsche Ziele über die Software zu lancieren. Auch die von Kaspersky angeführten Sicherheitsmaßnahmen würden keinen ausreichenden Schutz bieten. Selbst wenn die Dateninfrastruktur in der Schweiz liege, wären Zugriffe von Russland aus möglich.

Um ein ausreichendes Sicherheitslevel zu gewährleisten, wären etwa eine permanente Überwachung des Quellcodes und der Updates erforderlich. Das sei aber nicht praktikabel. Die Kölner Richter bestätigen somit den BSI-Beschluss im vollem Umfang, erstaunlich ist vor allem die Einschätzung von Anti-Virensoftware in dieser Deutlichkeit.

Kaspersky kann gegen den Beschluss noch Beschwerde einlegen, darüber würde dann das Oberverwaltungsgericht in Münster entscheiden.

Auch FTC warnt vor Kaspersky

Neben dem BSI warnt seit Ende März auch die amerikanisch Federal Communications Commission (FCC) vor Kaspersky. Das Unternehmen steht nun auf der Liste der Anbieter von Kommunikationsgeräten und -diensten, die als Gefahr für die nationale Sicherheit gelten.

Rechtliche Grundlage für den Beschluss ist das Gesetz, das 2019 im Konflikt um die chinesischen Netzwerk-Ausrüster entstanden ist. So befinden sich etwa auch Huawei und ZTE auf der Liste, Kaspersky ist das einzige nicht-chinesische Unternehmen.

Wie schon beim BSI bedauert Kaspersky die FCC-Entscheidung. Erneut hatte das Unternehmen in einer Stellungnahme erklärt, dieser Schritt sei politisch und nicht technisch motiviert.