08.04.2022

Warnung vor Virenschutzsoftware nach einer vorläufigen Entscheidung im einstweiligen Rechtschutz bestätigt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf die russische Auseinandersetzung mit der Ukraine reagiert und eine Warnung vor der bekannten russischen Virenschutzsoftware der Firma Kaspersky ausgesprochen sowie den Ersatz durch alternative Produkte empfohlen.

Das Verwaltungsgericht Köln hat im Wege des einstweiligen Rechtsschutzes entschieden, dass diese Warnung rechtmäßig war.

Dies ergebe sich insbesondere aus der von der Software ausgehenden Sicherheitslücke, vor welcher das BSI die Öffentlichkeit warnen darf.

Denn § 7 Abs.2 S.1 BSIG berechtigt das BSI die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes vor Sicherheitslücken in informationstechnischen Produkten und Diensten und vor Schadprogrammen zu warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Produkte und Dienste empfehlen.

Eine solche Sicherheitslücke konnte im vorliegenden Fall angenommen werden. Dabei wollte nicht nur der Gesetzgeber den Begriff der Sicherheitslücke weit verstanden wissen, die weite Auslegung ergibt auch schon aus dem Sinn und Zweck des BSIG, welches der Gefahrenabwehr dient. Denn die Einschätzung der Gefahrenlage sowie Art und Ausmaß der Bedrohungsszenarien können sich im Bereich der IT-Sicherheit schnell ändern. Hierbei ist es erforderlich, schnell und flexibel auf neu entstehende Gefahrenszenarien reagieren zu können. Dies wird nur durch ein weites Verständnis des Begriffs der Sicherheitslücke ermöglicht.

Dem derart weit verstandenen Begriff der Sicherheitslücke unterfällt Virenschutzsoftware aufgrund der ihr eingeräumten weitreichenden Berechtigungen zu Eingriffen in das jeweilige Computersystem jedenfalls dann, wenn das erforderliche hohe Maß an Vertrauen in den Hersteller nicht (mehr) gewährleistet ist.

Denn schon aufgrund der weitreichenden (System-)Berechtigungen, die diesen Programmen eingeräumt sind, der ständigen Programmupdates und der hierzu notwendigerweise regelmäßigen Verbindung mit den Servern des Herstellers sowie der technischen Ausgestaltung, die grundsätzlich dazu geeignet sein kann, Dritten unbefugten Zugang zu einem Computersystem zu ermöglichen, können Virenschutzprogramme als Sicherheitslücke eingestuft werden.

Dass der Einsatz dieser Programme dennoch empfohlen wird, beruht letztlich allein auf einem hohen Maß an Vertrauen in die Kompetenz und Zuverlässigkeit des Herstellers. Wird dieses Vertrauen erschüttert, können Virenschutzprogramme als Sicherheitslücke einzustufen sein. Auf ein Verschulden des Herstellers kommt es dabei nicht an.

Dabei durfte das BSI annehmen, dass es angesichts der kriegerischen Auseinandersetzung Russlands mit der Ukraine, die auch als „Cyberkrieg“ geführt wird, nicht auszuschließen ist, dass russische Entwicklerteams aus eigenem Antrieb oder unter dem Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzprogramme ausnutzen, um Computersysteme in anderen Staaten zu korrumpieren.

Auch war davon auszugehen, dass Unternehmen direktem Druck ausgesetzt werden, der Regierung benötigte Dienste zur Verfügung zu stellen und mit dem Staat zu kooperieren.

Außerdem habe die massive Beschränkung der Pressefreiheit in Russland im Zuge des Kriegs mit der Ukraine gezeigt, dass entsprechende Rechtsgrundlagen schnell geschaffen werden können.

Die von Kaspersky angeführten Sicherheitsmaßnahmen würden keinen ausreichenden Schutz gegen eine staatliche Einflussnahme bieten. Es könne nicht ausgeschlossen werden, dass in Russland ansässige Programmierer auf die in Rechenzentren in der Schweiz gespeicherten Daten europäischer Nutzer zugreifen können. Eine permanente Überwachung des Quellcodes und von Updates erscheine demgegenüber wegen der Datenmengen, der Komplexität der Programmcodes und der notwendigen Häufigkeit von Updates praktisch unmöglich.

Autor: Thomas Hertl