Druckversion
Montag, 16.06.2025, 20:14 Uhr


Legal Tribune Online
Schriftgröße: abc | abc | abc
https://www.lto.de//recht/hintergruende/h/kaspersky-software-virenschutz-warnung-bsi-it-sicherheit-rechtswidrig-neue-erkenntnisse-recherche
Fenster schließen
Artikel drucken
49240

BSI und russische Software: War die War­nung vor Kas­persky poli­tisch moti­viert?

Gastkommentar von Prof. Dr. Dennis-Kenji Kipker

05.08.2022

Das Bundesamt für Sicherheit in der Informationstechnik in Bonn

Handelte das BSI auf politische Weisung des Bundesinnenministeriums, als es vor dem Hersteller Kaspersky warnte? Foto: Tobias Arhelger – stock.adobe.com

Wegen des Ukraine-Krieges warnte das BSI vor der Software des russischen Herstellers Kaspersky. Eine Investigativrecherche legt nahe: Diese Warnung war rechtswidrig. Dennis-Kenji Kipker ordnet die Ergebnisse rechtlich ein.

Anzeige

Im Zuge des Angriffskrieges Russlands gegen die Ukraine sah das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein "erhebliches Risiko eines erfolgreichen IT-Angriffs" – und warnte vor der Verwendung von Virenschutz-Software des russischen Unternehmens Kaspersky. Ein russischer IT-Hersteller könne in einer solchen Situation entweder selbst Cyberattacken durchführen oder gegen seinen Willen zum Angriff auf bestimmte Systeme gezwungen werden, so die Behörde.

Kaspersky hingegen sieht das gänzlich anders – und hält die Warnung für reine Symbolpolitik, bei der unzulässigerweise technische und politische mit rechtlichen Sachverhalten vermengt werden. Neue und belastende Erkenntnisse einer Investigativrecherche des BR und des Spiegel legen nahe, dass die Warnung des BSI rechtswidrig ist. Auch die Tagesschau berichtete.

Diese jüngst veröffentlichten Erkenntnisse weisen nach, dass das BSI für den Fall Kaspersky nicht – wie es gemäß § 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) eigentlich seine Aufgabe gewesen wäre – objektiv auf der Grundlage "wissenschaftlich-technischer Erkenntnisse" gehandelt hat, sondern sich vielmehr von extrem subjektiven – weil politischen – Erwägungen hat leiten lassen. Das an sich überrascht nicht, denn das BSI ist der Fachaufsicht des Bundesinnenministeriums (BMI) und damit dessen Aufsicht über die Recht- und Zweckmäßigkeit von Verwaltungshandeln unterstellt.

Nach § 7 BSIG setzt eine konkrete Warnung hinreichende Anhaltspunkte für Gefahren für die IT-Sicherheit voraus. Diese konnte das BSI seinerzeit nicht vorlegen. Es existierten zwar Mutmaßungen, aber keine Sachlage, die mit hinreichender Sicherheit zu einer Verletzung der IT-Sicherheit führt, wenn man das objektiv zu erwartende Geschehen einfach ungehindert ablaufen lassen würde.

BVerfG: Kaspersky kann das Hauptsacheverfahren abwarten

Kaspersky zog gegen die BSI-Warnung vor das Verwaltungsgericht (VG) Köln, das Oberverwaltungsgericht Nordrhein-Westfalen (OVG NRW) und letztlich gar bis vor das Bundesverfassungsgericht (BVerfG), das die Verfassungsbeschwerde jedoch wegen Unzulässigkeit nicht annahm (Beschl. v. 02.06.2022, Az. 1 BvR 1071/22). Grund dafür: Es könne Kaspersky zugemutet werden, das Hauptsacheverfahren mit einer eingehenden Prüfung der technischen Sach- und Rechtslage abzuwarten.

Somit hat das BVerfG in der Sache keine Entscheidung getroffen, sondern nur festgestellt, dass die verwaltungsgerichtlichen Instanzen durch die Art und Weise der Bearbeitung des Antrags auf Erlass einer einstweiligen Anordnung gegen das BSI keine Grundrechte des Herstellers verletzt haben.

Hieraus schloss Kaspersky, dass es juristisch durchaus Sinn ergeben könnte, die Warnung des BSI auch im Hauptsacheverfahren anzufechten.

Handelte das BSI auf politische Weisung des BMI?

In der Hauptsache könnte das Unternehmen mehr Erfolg haben – wenn sich die Erkenntnisse der Investigativrecherche bewahrheiten. Das BSI konnte sich insbesondere für den Fall Kaspersky kaum eine eigene fachliche Meinung zum technischen Sachverhalt bilden – genau das wurde jedoch gegenüber der Öffentlichkeit, den betroffenen Kreisen und auch der Presse kommuniziert. Vielmehr handelte das BSI auf politische Weisung des BMI, als es vor dem Hersteller Kaspersky warnte.

Die Investigativrecherche und die ihr zugrundeliegenden Dokumente aus BMI und BSI verdeutlichen die politischen Abhängigkeiten und Verstrickungen, die ansonsten nie nach außen kommuniziert worden wären. Dabei geht es vor allem um geopolitische, nicht jedoch um fachliche Erwägungen. Dies könnte man seitens der Behörde auch als ein sachfremdes Bewerten und Vorgehen bezeichnen.

Aus den durch eine IFG-Anfrage erlangten internen, teilweise geschwärzten Dokumenten geht außerdem hervor, dass vom Ergebnis her gearbeitet wurde. Dies entspricht einem Vorgehen auf der Basis "wissenschaftlich-technischer Erkenntnisse" nicht im Geringsten. So wird deutlich, dass in jedem Falle eine Warnung ergehen musste und die dafür zur juristischen Begründung notwendigen Nachweise erst im Nachgang an diese Entscheidung mühsam zusammengetragen wurden. Mithin ging es offensichtlich nicht darum, in fachlich-sachlicher Hinsicht eine berechtigte Warnung vor den Produkten eines ausländischen Herstellers auszustellen.

Vielmehr sollte der Öffentlichkeit gegenüber innenpolitische Aktivität gezeigt werden, obwohl sowohl das BMI als auch das BSI gewusst haben müssen, dass die Ausführungen zur Begründung der Warnung – gemessen an den Maßstäben des § 7 BSIG – rechtlich nicht wasserdicht sein würden.

Kaspersky war als prominentester russischer IT-Hersteller greifbar

Die internen Dokumente belegen überdies, dass auf Leitungsebene der Behörden krampfhaft nach jedem Strohhalm gesucht wurde, der die Warnung untermauern könnte. Trotz dieser Bemühungen hat es aber letztlich für nicht mehr als einige vage Allgemeinplätze gereicht. 

Eine vernünftige Analyse möglicherweise auch anderer (russischer) Unternehmen konnte und wollte man vermutlich auch nicht durchführen. Kaspersky war als größter und im öffentlichen Bild prominentester Hersteller greifbar. Das Unternehmen stellte das Opfer dar, um sich innenpolitisch wegen Untätigkeit im Zuge des rechtswidrigen russischen Angriffskrieges gegen die Ukraine nicht selbst angreifbar zu machen.

Schließlich zeigen die Dokumente auch, dass Kaspersky sich von Anfang an – und noch vor der offiziellen Warnung des BSI – darum bemühte, Klarheit und Transparenz zu schaffen. Dies belegen Nachrichten, die das Unternehmen an das BSI schickte. Diese Anfragen ignorierte die BSI-Behördenleitung ohne erkennbaren Grund – wohl um möglichst zügig und ohne Kontroversen im Vorfeld die Warnung veröffentlichen zu können. 

Weder BSI noch BMI versuchten im Vorfeld der Warnung, mit dem eigentlich Betroffenen den Kontakt herzustellen, um dadurch mögliche Verdachtsgrade gemeinsam auszuräumen. Dies wäre verwaltungsrechtlich jedoch eine Pflicht gewesen. Auch wurde dem Unternehmen keine angemessene Frist zu einer Stellungnahme mit Blick auf die erheblich belastenden Vorwürfe eingeräumt.

Ist das BSI objektiv genug?

Im Ergebnis müssen all diese Erkenntnisse aus dem internen behördlichen Ablauf zur Erarbeitung der Warnung vor Kaspersky dazu führen, dass die Sachlage in juristischer Hinsicht gänzlich neu bewertet wird. Und: Wenn sich die aus den internen Dokumenten hervorgehenden Tatsachen bewahrheiten sollten, muss die Objektivität des BSI als zentrale deutsche Cybersicherheitsbehörde in Frage gestellt werden: Offensichtlich wird intensive politische Kollaboration mit dem BMI betrieben.

In den vergangenen Jahren diskutierte die Fachcommunity regelmäßig die fehlende Unabhängigkeit und damit nur eingeschränkte Vertrauenswürdigkeit des BSI. Diese Diskussionen wurden als belanglos abgewimmelt, sind jetzt aber wieder aktuell. Es geht folglich nicht nur um abstrakte Rechtmäßigkeitserwägungen für behördliche Verwaltungsakte. Vielmehr müssen politisch definierte Zuständigkeiten des BMI auch für weitere Sicherheitsbehörden des Bundes und den behördlichen Umgang mit Sicherheitslücken in den Fokus rücken. Letztlich zeigt sich: Wirkliche Cybersicherheit im technisch, und nicht in einem politisch verstandenen Sinne gibt es nur mit einem politisch weitestgehend unabhängigen BSI.

Auch Haftungsfragen stellen sich: Sollte sich das Vorgehen des BSI nun auch gerichtlich in einem Hauptsacheverfahren als rechtswidrig herausstellen, haben viele Unternehmen und Verbraucher ihre IT (rechts)grundlos umgestellt, um den Stand der Technik in der IT-Sicherheit einhalten zu können und sich keinen rechtlichen Risiken auszusetzen. Auch die nachhaltige wirtschaftliche Schädigung von Kaspersky selbst hat bislang noch keine Berücksichtigung gefunden.

Diese Erkenntnisse stellen die IT-Sicherheitsarchitektur in Deutschland, wie wir sie jetzt kennen und wie sie politisch stets verteidigt wurde, in Frage.

Der Autor Prof. Dr. Dennis-Kenji Kipker lehrt IT-Sicherheitsrecht an der Universität Bremen. Er ist u.a. Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID). Zu seinen Schwerpunktgebieten zählen Cybersecurity, Polizei- und Nachrichtendienstrecht, internationales IT-Recht sowie digitale Souveränität.

  • Drucken
  • Senden
  • Zitieren
Zitiervorschlag

BSI und russische Software: . In: Legal Tribune Online, 05.08.2022 , https://www.lto.de/persistent/a_id/49240 (abgerufen am: 16.06.2025 )

Infos zum Zitiervorschlag
  • Mehr zum Thema
    • IT-Sicherheit
    • Russland
    • Ukraine-Krieg
    • Unternehmen
    • Wirtschaft
Tanker "Eventin" 06.06.2025
Seerecht

Putins Schattenflotte in der Ostsee:

Rechte der Küs­ten­staaten sind beg­renzt

Der Konflikt um Russlands Schattenflotte spitzt sich immer mehr zu. EU-Küstenstaaten gehen mittlerweile stringenter gegen verdächtige Öltanker vor. Welche Maßnahmen das internationale Seerecht zulässt, ist umstritten.

Artikel lesen
Im Inneren der Veltins-Brauerei 05.06.2025
Bier

LG Arnsberg klärt Erbschaftsstreit in Brauerei-Familie:

Der Vel­tins-Sohn geht leer aus

In ihrem Testament schloss sie den Sohn aus: Das Millionenerbe der langjährigen Brauerei-Chefin Rosemarie Veltins ging an allein dessen Schwestern. Zu Recht, entschied nun ein Gericht. Auch den Pflichtteil bekommt Clemens Veltins nicht.

Artikel lesen
Warnschild mit der Aufschrift Militärischer Sicherheitsbereich, unbefugtes Betreten verboten, vorsicht Schußwaffengebrauch, Wilhelmshaven, Niedersachsen, Deutschland, Europa 05.06.2025
Bundeswehr

Militärisches Sicherheitsrecht:

Was darf die Bun­des­wehr, um sich selbst zu schützen?

Ausspähversuche und Einbrüche – der russische Angriffskrieg in der Ukraine hat auch Auswirkungen auf deutschem Boden. Die Eigensicherungsbefugnisse der Bundeswehr sind allerdings seit 60 Jahren so gut wie unverändert. Ein Unsicherheitsfaktor?

Artikel lesen
Das Bild zeigt Elemente eines Podcasts über Unternehmensrecht mit Notizen, einem Smartphone und einem Porträt eines Anwalts. 04.06.2025
Anwaltsberuf

Jura-Karriere-Podcast:

Als Anwalt im Unter­neh­mens­recht

Einsatz von KI im Recht, internationale Restrukturierungen und was junge Juristen heute mitbringen sollten: Christian König zu Gast bei Irgendwas mit Recht. Besonders spannend für alle mit Interesse an Legal Tech und Wirtschaftsrecht.

Artikel lesen
Der peruanische Bergbauer und Bergführer Saúl Luciano Lliuya vor der mündlichen Verhandlung seiner Klimaklage gegen RWE am 17. März 2025 vor dem OLG Hamm 28.05.2025
Klimaschutz

Peruanischer Bauer gegen RWE:

Was das Urteil des OLG Hamm bedeutet

Die Klimaklage eines peruanischen Bauern gegen RWE scheiterte, das Gericht sieht keine konkrete Gefahr für sein Haus. Dennoch stellt das OLG fest: Große Emittenten können im Grundsatz zur Verantwortung gezogen werden.

Artikel lesen
Ukrainian Prime Minister Denys Shmyhal, EU High Representative for Foreign Affairs Kaja Kallas and Ukrainian Foreign Minister Andriy Sybiha at a press conference at the meeting of EU Foreign Affairs Ministers on May 9, 2025. 27.05.2025
Englische Texte

Russia's war of aggression against Ukraine:

The Euro­pean path to the Spe­cial Tri­bunal

A Special Tribunal for the war in Ukraine has long been called for. Now the Council of Europe has decided to set it up. What happens next and how the tribunal will be organised, explains Franziska Rinke.

Artikel lesen
ads lto paragraph
lto karriere logo
ads career people

Wir haben die Top-Jobs für Jurist:innen

Jetzt registrieren
logo lto karriere
TopJOBS
Logo von DLA Piper UK LLP
As­so­cia­te/Se­nior As­so­cia­te im Be­reich Tax

DLA Piper UK LLP , Mün­chen

Logo von held jaguttis
Rechts­an­wäl­tin/Rechts­an­walt (m/w/d) für das Öf­f­ent­li­che Recht/Öf­f­ent­li­che...

held jaguttis , Köln

Logo von DLA Piper UK LLP
As­so­cia­te/Se­nior As­so­cia­te im Be­reich Tax

DLA Piper UK LLP , Frank­furt am Main

Logo von Gleiss Lutz
Rechts­an­wäl­te Kar­tell­recht (m/w/d)

Gleiss Lutz , Brüs­sel

Logo von SES Berlin Rechtsanwälte Dr. Würtz Dr. Fischer Wendt Dr. Nagelschmidt Dallmann PartG mbB
Rechts­an­walt (w/m/d) – Ar­beits­recht mit Per­spek­ti­ve auf...

SES Berlin Rechtsanwälte Dr. Würtz Dr. Fischer Wendt Dr. Nagelschmidt Dallmann PartG mbB , Ber­lin

Logo von CMS Deutschland
Rechts­an­wäl­te (m/w/d) für den Be­reich Re­struk­tu­rie­rung und In­sol­venz

CMS Deutschland , Düs­sel­dorf

Logo von BLD Bach Langheid Dallmayr Rechtsanwälte Partnerschaftsgesellschaft mbB
RECHTS­AN­WALT (W/M/D) FÜR VER­KEHRS­RECHT

BLD Bach Langheid Dallmayr Rechtsanwälte Partnerschaftsgesellschaft mbB , Mün­chen

Logo von Rechtsanwalt Dr. Dr. Thomas Ruppel
Rechts­an­wäl­tin / Rechts­an­walt (m/w/d) mit In­ter­es­se am Me­di­zin­recht

Rechtsanwalt Dr. Dr. Thomas Ruppel , Lü­beck

Mehr Stellenanzeigen
logo lto events
Digital Dialog: Arbeitsrechtliche Restrukturierungsmaßnahmen

24.06.2025

Logo von Georg-August-Universität Göttingen
Kolloquium "Unterschiede und Gemeinsamkeiten der Digitalisierung der Gerichtsbarkeiten"

23.06.2025

NomosWebinar: Cyber Resilience Act

25.06.2025

Alles nach Plan – Unternehmenssanierung durch Insolvenz- und Restrukturierungsplan (§ 15 FAO)

24.06.2025

Webinar: ChatGPT für Jurist:innen – jetzt von ChatGPT & DeepSeek profitieren!

24.06.2025

Mehr Events
Copyright © Wolters Kluwer Deutschland GmbH