BSI und russische Software: War die War­nung vor Kas­persky poli­tisch moti­viert?

Im Zuge des Angriffskrieges Russlands gegen die Ukraine sah das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein "erhebliches Risiko eines erfolgreichen IT-Angriffs" – und warnte vor der Verwendung von Virenschutz-Software des russischen Unternehmens Kaspersky. Ein russischer IT-Hersteller könne in einer solchen Situation entweder selbst Cyberattacken durchführen oder gegen seinen Willen zum Angriff auf bestimmte Systeme gezwungen werden, so die Behörde.

Kaspersky hingegen sieht das gänzlich anders – und hält die Warnung für reine Symbolpolitik, bei der unzulässigerweise technische und politische mit rechtlichen Sachverhalten vermengt werden. Neue und belastende Erkenntnisse einer Investigativrecherche des BR und des Spiegel legen nahe, dass die Warnung des BSI rechtswidrig ist. Auch die Tagesschau berichtete.

Diese jüngst veröffentlichten Erkenntnisse weisen nach, dass das BSI für den Fall Kaspersky nicht – wie es gemäß § 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) eigentlich seine Aufgabe gewesen wäre – objektiv auf der Grundlage "wissenschaftlich-technischer Erkenntnisse" gehandelt hat, sondern sich vielmehr von extrem subjektiven – weil politischen – Erwägungen hat leiten lassen. Das an sich überrascht nicht, denn das BSI ist der Fachaufsicht des Bundesinnenministeriums (BMI) und damit dessen Aufsicht über die Recht- und Zweckmäßigkeit von Verwaltungshandeln unterstellt.

Nach § 7 BSIG setzt eine konkrete Warnung hinreichende Anhaltspunkte für Gefahren für die IT-Sicherheit voraus. Diese konnte das BSI seinerzeit nicht vorlegen. Es existierten zwar Mutmaßungen, aber keine Sachlage, die mit hinreichender Sicherheit zu einer Verletzung der IT-Sicherheit führt, wenn man das objektiv zu erwartende Geschehen einfach ungehindert ablaufen lassen würde.

BVerfG: Kaspersky kann das Hauptsacheverfahren abwarten

Kaspersky zog gegen die BSI-Warnung vor das Verwaltungsgericht (VG) Köln, das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) und letztlich gar bis vor das Bundesverfassungsgericht (BVerfG), das die Verfassungsbeschwerde jedoch wegen Unzulässigkeit nicht annahm (Beschl. v. 02.06.2022, Az. 1 BvR 1071/22). Grund dafür: Es könne Kaspersky zugemutet werden, das Hauptsacheverfahren mit einer eingehenden Prüfung der technischen Sach- und Rechtslage abzuwarten.

Somit hat das BVerfG in der Sache keine Entscheidung getroffen, sondern nur festgestellt, dass die verwaltungsgerichtlichen Instanzen durch die Art und Weise der Bearbeitung des Antrags auf Erlass einer einstweiligen Anordnung gegen das BSI keine Grundrechte des Herstellers verletzt haben.

Hieraus schloss Kaspersky, dass es juristisch durchaus Sinn ergeben könnte, die Warnung des BSI auch im Hauptsacheverfahren anzufechten.

Handelte das BSI auf politische Weisung des BMI?

In der Hauptsache könnte das Unternehmen mehr Erfolg haben – wenn sich die Erkenntnisse der Investigativrecherche bewahrheiten. Das BSI konnte sich insbesondere für den Fall Kaspersky kaum eine eigene fachliche Meinung zum technischen Sachverhalt bilden – genau das wurde jedoch gegenüber der Öffentlichkeit, den betroffenen Kreisen und auch der Presse kommuniziert. Vielmehr handelte das BSI auf politische Weisung des BMI, als es vor dem Hersteller Kaspersky warnte.

Die Investigativrecherche und die ihr zugrundeliegenden Dokumente aus BMI und BSI verdeutlichen die politischen Abhängigkeiten und Verstrickungen, die ansonsten nie nach außen kommuniziert worden wären. Dabei geht es vor allem um geopolitische, nicht jedoch um fachliche Erwägungen. Dies könnte man seitens der Behörde auch als ein sachfremdes Bewerten und Vorgehen bezeichnen.

Aus den durch eine IFG-Anfrage erlangten internen, teilweise geschwärzten Dokumenten geht außerdem hervor, dass vom Ergebnis her gearbeitet wurde. Dies entspricht einem Vorgehen auf der Basis "wissenschaftlich-technischer Erkenntnisse" nicht im Geringsten. So wird deutlich, dass in jedem Falle eine Warnung ergehen musste und die dafür zur juristischen Begründung notwendigen Nachweise erst im Nachgang an diese Entscheidung mühsam zusammengetragen wurden. Mithin ging es offensichtlich nicht darum, in fachlich-sachlicher Hinsicht eine berechtigte Warnung vor den Produkten eines ausländischen Herstellers auszustellen.

Vielmehr sollte der Öffentlichkeit gegenüber innenpolitische Aktivität gezeigt werden, obwohl sowohl das BMI als auch das BSI gewusst haben müssen, dass die Ausführungen zur Begründung der Warnung – gemessen an den Maßstäben des § 7 BSIG – rechtlich nicht wasserdicht sein würden.

Kaspersky war als prominentester russischer IT-Hersteller greifbar

Die internen Dokumente belegen überdies, dass auf Leitungsebene der Behörden krampfhaft nach jedem Strohhalm gesucht wurde, der die Warnung untermauern könnte. Trotz dieser Bemühungen hat es aber letztlich für nicht mehr als einige vage Allgemeinplätze gereicht. 

Eine vernünftige Analyse möglicherweise auch anderer (russischer) Unternehmen konnte und wollte man vermutlich auch nicht durchführen. Kaspersky war als größter und im öffentlichen Bild prominentester Hersteller greifbar. Das Unternehmen stellte das Opfer dar, um sich innenpolitisch wegen Untätigkeit im Zuge des rechtswidrigen russischen Angriffskrieges gegen die Ukraine nicht selbst angreifbar zu machen.

Schließlich zeigen die Dokumente auch, dass Kaspersky sich von Anfang an – und noch vor der offiziellen Warnung des BSI – darum bemühte, Klarheit und Transparenz zu schaffen. Dies belegen Nachrichten, die das Unternehmen an das BSI schickte. Diese Anfragen ignorierte die BSI-Behördenleitung ohne erkennbaren Grund – wohl um möglichst zügig und ohne Kontroversen im Vorfeld die Warnung veröffentlichen zu können. 

Weder BSI noch BMI versuchten im Vorfeld der Warnung, mit dem eigentlich Betroffenen den Kontakt herzustellen, um dadurch mögliche Verdachtsgrade gemeinsam auszuräumen. Dies wäre verwaltungsrechtlich jedoch eine Pflicht gewesen. Auch wurde dem Unternehmen keine angemessene Frist zu einer Stellungnahme mit Blick auf die erheblich belastenden Vorwürfe eingeräumt.

Ist das BSI objektiv genug?

Im Ergebnis müssen all diese Erkenntnisse aus dem internen behördlichen Ablauf zur Erarbeitung der Warnung vor Kaspersky dazu führen, dass die Sachlage in juristischer Hinsicht gänzlich neu bewertet wird. Und: Wenn sich die aus den internen Dokumenten hervorgehenden Tatsachen bewahrheiten sollten, muss die Objektivität des BSI als zentrale deutsche Cybersicherheitsbehörde in Frage gestellt werden: Offensichtlich wird intensive politische Kollaboration mit dem BMI betrieben.

In den vergangenen Jahren diskutierte die Fachcommunity regelmäßig die fehlende Unabhängigkeit und damit nur eingeschränkte Vertrauenswürdigkeit des BSI. Diese Diskussionen wurden als belanglos abgewimmelt, sind jetzt aber wieder aktuell. Es geht folglich nicht nur um abstrakte Rechtmäßigkeitserwägungen für behördliche Verwaltungsakte. Vielmehr müssen politisch definierte Zuständigkeiten des BMI auch für weitere Sicherheitsbehörden des Bundes und den behördlichen Umgang mit Sicherheitslücken in den Fokus rücken. Letztlich zeigt sich: Wirkliche Cybersicherheit im technisch, und nicht in einem politisch verstandenen Sinne gibt es nur mit einem politisch weitestgehend unabhängigen BSI.

Auch Haftungsfragen stellen sich: Sollte sich das Vorgehen des BSI nun auch gerichtlich in einem Hauptsacheverfahren als rechtswidrig herausstellen, haben viele Unternehmen und Verbraucher ihre IT (rechts)grundlos umgestellt, um den Stand der Technik in der IT-Sicherheit einhalten zu können und sich keinen rechtlichen Risiken auszusetzen. Auch die nachhaltige wirtschaftliche Schädigung von Kaspersky selbst hat bislang noch keine Berücksichtigung gefunden.

Diese Erkenntnisse stellen die IT-Sicherheitsarchitektur in Deutschland, wie wir sie jetzt kennen und wie sie politisch stets verteidigt wurde, in Frage.

Der Autor Prof. Dr. Dennis-Kenji Kipker lehrt IT-Sicherheitsrecht an der Universität Bremen. Er ist u.a. Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID). Zu seinen Schwerpunktgebieten zählen Cybersecurity, Polizei- und Nachrichtendienstrecht, internationales IT-Recht sowie digitale Souveränität.