„Bei Virenschutzprogrammen bestehen schon aufgrund ihrer Funktionsweise Sicherheitslücken“: OVG NRW zur Warnung vor Kaspersky

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 28.04.2022

Nachdem das BSI am 15. März vor Virenschutzprodukten des russischen Herstellers Kaspersky gewarnt hatte und ein Eilbeschluss des VG Köln am 1. April 2022 abgelehnt wurde, stellte nun auch das OVG Nordrhein-Westfalen in einem Beschluss (Az. 4 B 473/22, https://www.ovg.nrw.de/behoerde/presse/pressemitteilungen/28_220428/index.php) fest, dass die Warnung des BSI rechtens, ermessensfehlerfrei, verhältnismäßig, geeignet, erforderlich und nicht eine „reine Symbolpolitik“ war, wie manch einer zuvor festgestellt und behauptet hatte.

Die Begründung für diesen Beschluss ist jedoch – mit Verlaub – eine juristische Katastrophe und eigentlich selbst eine sachfremde Erwägung. Die Vorschrift des § 7 BSIG verlangt bei öffentlichen Warnungen vor Herstellern „hinreichende Anhaltspunkte“ für eine Gefährdung der IT-Sicherheit. Nun führt das OVG in seiner Begründung aus, dass bei Virenschutzprogrammen „schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes“ bestehen. Das einmal angenommen, müsste das BSI eigentlich täglich damit beschäftigt sein, vor IT-Sicherheitsprodukten jedweder Hersteller zu warnen, und dies nicht nur aus Russland, sondern ebenso aus den USA, nachdem schon im Jahr 2013 bekannt wurde, dass mit PRISM jahrelang ein rechtswidriges globales Überwachungsprogramm mit allerlei Schnittstellen zu den großen US-amerikanischen Tech-Konzernen durch die NSA geführt wurde.

Weitergehend pauschalisiert das OVG, dass es „in der Vergangenheit […] zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben [habe], in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind“. Auch das einmal angenommen, drängt sich doch jedem die Frage auf, warum das Geschäftsmodell der Virenschutzprogramme überhaupt noch funktioniert, wenn ohnehin alle kompromittiert sind und nur zu unberechtigten Datenabflüssen führen.

Sodann stellt das Gericht fest, dass die durch § 7 BSIG für eine öffentliche Warnung tatbestandsmäßig geforderten „hinreichenden Anhaltspunkte“ vorliegen und beruft sich auf „militärische und/oder nachrichtendienstliche Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die BRD“. Was haben diese Drohungen der russischen Regierung jedoch mit der Geschäftstätigkeit von Kaspersky gemein, das schon vor Jahren kritische Services in Schweizer Rechenzentren ausgelagert hat? Für die sodann durch das OVG zitierte „Instrumentalisierung“ von Kaspersky durch russische Funktionäre bleibt dann kaum noch Raum.

Die aktuelle Entscheidung des OVG NRW belegt eindrucksvoll die schon mit dem IT-Sicherheitsgesetz 2.0 begonnene und immer stärkere, eigentlich unzulässige Vermengung von politischen Erwägungen, rechtlichen Anforderungen und technisch-organisatorischen Maßnahmen zur Cybersecurity, die im Ergebnis niemandem, der effektive IT-Sicherheit machen will, zugutekommt.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

6 Kommentare

Kommentare als Feed abonnieren

Interessant ist es, nicht nur die Pressemitteilung sondern den gesamten Beschluss des OVG zu lesen. Wer das tut, wird schnell einige Fehler und Quellenangaben finden, deren Wahrheitsgehalt offensichtlich nicht geprüft wurde. Das der globale GReAT-Chef von Kaspersky in Moskau sitzt, behauptet das Gericht an zwei Stellen (S. 24 und 26). Tatsächlich sitzt er in der EU in Bukarest und ist Rumäne. Und oberdrauf eine abenteuerliche "Räuberpistole" auf S. 26: die mysteriöse Verhaftung eines ehemaligen Kaspersky Mitarbeiters in Moskau zu einem Tatbestand, der vor seiner Beschäftig bei Kaspersky lag. Das OVG sieht darin einen Beleg dafür, dass der Kreml Kaspersky unter Druck setzen kann. Wie gesagt, interessant zu lesen. Gemäß OVG legt das BSI stets "überzeugend", "schlüssig", "zutreffend" dar (S. 24, 26, 27, 29). Die Argumente von Kaspersky "greifen aber nicht durch" (S. 7, 15, 27). Es scheint fast so zu sein dass "greift nicht durch" der Code des Gerichtes dafür ist, etwas nicht erklären zu wollen oder zu können. Fast gänzlich schweigt sich das Gericht dazu aus, worum es eigentlich geht. Warum ist AV Software eine Schwachstelle und warum ist §7 BSIG tatsächlich Ermächtigungsgrundlage für die Warnung? Und seitenweise wird die russische Aggression und die Cyberoperationen Russland dargestellt, ohne dass es einen Zusammenhang mit Kaspersky gibt. Alles ein bisschen kafkaesk, finde ich zumindest.

Selbst wenn es sich bei der Verhaftung "nur" um eine Räuberpistole handeln sollte, impliziert der "Hochverrat", der dem Kollegen vorgeworfen wurde dann nicht entgegen den Ausführungen des OLG vielmehr, dass sich die Mitarbeiter eben nicht durch Gewaltandrohung einschüchtern lassen?

5

Das mag sein. Aber es handelte sich tatsächlich um ein Vergehen, das vor der Tätigkeit bei Kaspersky begannen wurde und keinen Bezug zu Kaspersky hatte. Ich habe das deswegen erwähnt, weil ich von einem Gericht nicht erwartet hätte, ungeprüft solche Behauptungen zu übernehmen, die einer Prüfung nicht standhalten. Immerhin stützt das Gericht seine Entscheidung unter anderem darauf, dass es Erkenntnisse gibt, dass Kaspersky vom Kreml unter Druck gesetzt wurde. Hier der Text des Gerichtes von S. 26: "Auch der IT-Hersteller Kaspersky war hiervon in der Vergangenheit bereits betroffen. Nach den vom Bundesamt herangezogenen Erkenntnissen war es etwa im Jahr 2017 unter unklaren Umständen zur Verhaftung und späteren Verurteilung eines hochrangigen Mitarbeiters von Kaspersky wegen Hochverrats gekommen. Vermutet wurde, dass hinter dem Verfahren die Motivation Russlands stand, die Zusammenarbeit zwischen russischen IT-Sicherheitsexperten und westlichen Stellen im Bereich der Cyberkriminalität zu unterbinden und Kaspersky mit der Verhaftung unter Druck zu setzen." 

Bei der Beurteilung von eher kompexen, u.a. technischen Sachverhalten zeigen viele Verwaltungsrichter erhebliche Schwächen. Das kann Klägern schon bei so offensichtlichen Sachen passieren, wie einer vom VG Lüneburg im Jahr 2006 wegen der Unübersichtlichkeit und Gefährlichkeit des Verkehrs verteidigten Einbahstraßenregelung auch für Fahrräder in einem verkehrsberuhigten Bereich in Celle oder von Radwegebenutzungspflichten für seit Jahren zu einem Parkplatz umfunktionierte bzw. von beiden Seiten seit Jahren undurchdringlich eingewachsene Radwege, wegen der Gefahren des Radfahrens auf der Fahrbahn in Hamburg. Wenn es ums Ausland geht, in dem nicht deutsch gesprochen wird und man auch nicht deutsch schreibt, wird's für viele Richter erst Recht schwierig. Wenn ich alleine an Asylverfahren denke, wird mir da ganz anders. In der Summe dürften auf ein richtiges und korrekt begründetes Urteil sicher mehrere falsche oder falsch begründete Urteile kommen.

4

Kommentar hinzufügen