VirenschutzBSI warnt weiter, Kaspersky bleibt aber noch eine Chance
Karte von Kaspersky zur Cyberbedrohung
Copyright: picture alliance/dpa
Köln – Seit Mitte März warnt das Bundesamt für Sicherheit (BSI) vor der Virenschutzsoftware des britisch-russischen Softwareherstellers Kaspersky – und darf das zunächst weiter tun. Das Bundesverfassungsgericht nahm eine Klage der deutschen Tochtergesellschaft nicht an, teilten die Richter in Karlsruhe mit. Die Begründung: Es müsste zunächst die Entscheidung in der Hauptsache durch das Verwaltungsgericht abgewartet werden – einen Eilantrag hatte das Verwaltungsgericht Köln bereits abgelehnt, auch eine Beschwerde am nordrhein-westfälischen Oberverwaltungsgericht blieb erfolglos. Eine Chance hat Kaspersky aber noch.
Begonnen hatte die Auseinandersetzung mit besagter Warnung, die das BSI etwa drei Wochen nach Beginn des russischen Angriffskriegs auf die Ukraine veröffentlicht hatte. Das BSI empfiehlt darin, „Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen“. Antivirensoftware zuverlässig funktioniere, benötige sie weitreichende Systemberechtigungen und heutzutage eine dauerhafte Internetverbindung. Daher sei Vertrauen in den Hersteller wichtig. Wenn aber Zweifel an der Zuverlässigkeit bestünden, sei die Software ein besonderes Risiko, so das BSI.
„Entscheidung aus politischen Gründen“
Entsprechende Berechtigungen ermöglichen sämtlichen Virenschutzsoftware-Herstellern Zugriff auf sensible Informationen. Im Zuge der russischen Invasion und erfolgten Drohungen gegen die EU, die Nato und Deutschland erwarte das BSI auch Cyberangriffe vonseiten Russlands. „Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“, erklärt das BSI.
Noch am selben Tag veröffentlichte Kaspersky, deren Software vor allem von Unternehmen und Privatanwendern genutzt wird, eine Stellungnahme: „Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben – sondern, dass sie aus politischen Gründen getroffen wurde.“ Als privat geführtes Unternehmen habe man keine Verbindung zur russischen oder anderen Regierungen. Zudem werde man regelmäßig von unabhängigen Dritten überprüft.
BSI soll Quellcode einsehen
Einen Tag später folgten deutlichere Worte: „Die Warnung, die am 15. März 2022 veröffentlicht wurde, ohne dass Kaspersky ausreichend Zeit für eine ausführliche Stellungnahme hatte, scheint mit Blick auf eines der weltweit größten und renommiertesten Cybersicherheitsunternehmen und langjährigen Partner des BSI weder verfahrenstechnisch noch sachlich gerechtfertigt zu sein.“ Neben weiteren Entkräftigungsversuchen der Warnung, lud Kaspersky das BSI ein, Quellcode und sicherheitstechnisch relevante Informationen einzusehen.
Eine Woche später reichte Kaspersky schließlich einen Eilantrag eines Erlasses einer einstweiligen Anordnung auf Unterlassung und Widerruf dieser Warnung am Verwaltungsgericht Köln ein: Es handele sich um eine rein politische Entscheidung des BSI ohne Bezug zur technischen Qualität der Software. Das Gericht jedoch gab dem nicht statt, weil der Gesetzgeber die Definition von Sicherheitslücken, die das BSI zur Warnung berechtige, weit fasse. Virenschutzsoftware erfülle aufgrund ihres Systemeingriffs grundsätzlich die Möglichkeit, eine Sicherheitslücke darzustellen.
Das könnte Sie auch interessieren:
Letztlich der Gang zum Bundesverfassungsgericht: Doch das teilte mit, Kaspersky habe nicht ausgeführt, dass die Verwaltungsgerichte Grundrechte verletzt hätten. Das müsste das BVerfG erst eingehend prüfen, sowie die Umstände der Sicherheit der Software von Fachrichtern aufgeklärt werden. Kaspersky sah sich dadurch bestärkt. „Kaspersky erwägt nun eine eingehende Prüfung der Sach- und Rechtslage durch die Fachgerichte zu beantragen.“ Das Unternehmen hoffe „auf eine Rückkehr zu einer konstruktiven Zusammenarbeit mit dem BSI, um die Cybersicherheit und Resilienz in Deutschland und Europa zu stärken“. (mit dpa)