Kaspersky zieht vors OVG NRW: Durfte das BSI vor rus­si­scher Viren­schutz-Soft­ware warnen?

Mit Beschluss vom 1. April 2022 hat das Verwaltungsgericht (VG) Köln einen Eilantrag abgewiesen, mit der sich die russische IT-Sicherheitsfirma Kaspersky dagegen wehren wollte, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor ihren Produkten warnt (Az. 1 L 466/22). Kaspersky kündigte am vergangenen Mittwoch an, nach der juristischen Niederlage in erster Instanz vor das Oberverwaltungsgericht (OVG) Münster zu ziehen.

Nach Auffassung von Kaspersky und auch renommierten IT-Sicherheitsexperten handelt es sich bei der durch das BSI ausgesprochenen Warnung um reine Symbolpolitik, bei der unzulässigerweise technische und politische mit rechtlichen Sachverhalten vermengt werden. Begründet hat das BSI die Warnung seinerzeit damit, dass der Krieg in der Ukraine dazu führe, dass sich Kaspersky als russischer IT-Hersteller durch den russischen Staat gezwungen sehen könnte, offensive Cyber-Operationen durchzuführen, oder zum Angriff auf bestimmte IT-Systeme durch russische staatliche Einrichtungen genötigt werden könnte. Auch könnte der Hersteller nach Auffassung des BSI selbst Opfer einer russischen Cyber-Attacke werden. Insgesamt bestünde damit ein erhöhtes Risiko, dass eigentlich nützliche IT-Sicherheitswerkzeuge gegen die eigenen Kunden missbraucht werden.

Eine öffentliche Warnung kann Unternehmen sehr schaden

Dass das BSI die Möglichkeit hat, vor unsicheren oder schädlichen IT-Produkten zu warnen, ist in § 7 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verankert. Demnach darf die Behörde die Öffentlichkeit nicht nur vor Schadprogrammen, sondern auch vor Sicherheitslücken in informationstechnischen Produkten und Diensten warnen.

Da eine öffentliche Warnung in ganz erheblichem Maße in die wirtschaftlichen Interessen von Unternehmen eingreifen kann, bedarf es für eine solche nicht nur einer Rechtsgrundlage. Zusätzlich müssen auch die Anforderungen an die Richtigkeit und Sachlichkeit der Warnungen, Informationen und Empfehlungen erfüllt sein. In diesem Zusammenhang heben Kritiker regelmäßig zu Recht hervor, dass die Informationstätigkeit des BSI bislang teilweise sehr intransparent ist.

Es geht vor allem um den Begriff der "Sicherheitslücke"

Für die rechtliche Beurteilung der Warnungen ist vor allem die Auslegung des Begriffs der "Sicherheitslücke" entscheidend. Das VG Köln hatte argumentiert, dass der Begriff nicht nur weit auszulegen sei, sondern eine Sicherheitslücke bereits dann vorliege, wenn das an sich notwendige Herstellervertrauen nicht mehr gewährleistet ist. Dies sei für den Russland-Ukraine-Krieg der Fall – insbesondere auch deshalb, weil sich Russland nicht an rechtsstaatliche Grundsätze halte.

Das BSIG schreibt jedoch vor, dass für Warnungen vor Produkten eines Herstellers unter dessen öffentlicher Nennung besondere Anforderungen gelten. So müssen hinreichende Anhaltspunkte dafür vorliegen, dass IT-Sicherheitsgefahren von dem Produkt ausgehen. Der Begriff dieser "hinreichenden Anhaltspunkte" ist dabei sehr eng zu fassen. Er erfordert eine Sachlage, die mit hinreichender Sicherheit zu einer Verletzung der IT-Sicherheit führt, wenn man das objektiv zu erwartende Geschehen einfach ungehindert ablaufen lassen würde.

Was bedeutet das für den Fall Kaspersky? Allein aus der Möglichkeit, dass Kaspersky-Produkte theoretisch kompromittiert werden könnten, folgt nicht zwangsläufig, dass es auch so kommen wird. Insoweit dürfte man nur schwerlich von "hinreichenden Anhaltspunkten" sprechen können, die Chancen für den russischen IT-Hersteller vor dem OVG stehen damit gar nicht schlecht.

Denn selbst wenn man es für notwendig erachtet, dass eine öffentlichkeitswirksame Kommunikation des BSI im Fall Kaspersky notwendig ist, stellt sich die Frage, warum die ausgesprochene Warnung nicht zunächst im Rahmen eines abgestuften Vorgehens nur als objektive "Information" formuliert worden ist. Diese Möglichkeit hätte das BSI nämlich auch gehabt.

Insoweit bestehen - entgegen der Rechtsprechung des VG Köln - berechtigte Zweifel an der Rechtmäßigkeit des Vorgehens des BSI. Sollte das OVG NRW im Ergebnis feststellen, dass eine Falschinformation vorliegt, müsste das BSI die unzutreffend wiedergegebenen Umstände unverzüglich öffentlich bekannt machen. Überdies könnte Kaspersky Amtshaftungsansprüche geltend machen.

Der Autor Prof. Dr. Dennis-Kenji Kipker lehrt IT-Sicherheitsrecht an der Universität Bremen. Er ist u.a. Mitglied des Vorstands der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und der unabhängigen AG KRITIS. Zu seinen Schwerpunktgebieten zählen Cybersecurity, Polizei- und Nachrichtendienstrecht, internationales IT-Recht sowie digitale Souveränität.