Kaspersky ist mit seiner Beschwerde gegen die Warnung des BSI vor Kaspersky-Produkten auch vor dem Oberverwaltungsgericht Münster gescheitert. Das Gericht hat damit die frühere Entscheidung des Verwaltungsgerichts Köln bestätigt. "Die Annahme des BSI, das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden, beruht auf hinreichenden Erkenntnissen zur aktuellen Cybersicherheitslage", begründet das Oberverwaltungsgericht Münster seine Entscheidung.
Dem Gericht zufolge habe das BSI "die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt. Es hat daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren."
Kasperskys Sicherheitsvorkehrungen genügen nicht
Die von Kaspersky getroffenen Sicherheitsvorkehrungen - etwa Transparenzzentren oder Umzug der Server in die Schweiz - genügen nach Ansicht des Gerichts "in der aktuellen Situation nicht, um den Bedrohungen hinreichend entgegenzuwirken." Kaspersky bedauert in einer Stellungnahme die Entscheidung des Gerichts und prüft deren Begründung derzeit noch.
Das Unternehmen kündigt aber schon einmal an: "Wir werden unsere Partner und Kunden weiterhin von der Qualität und Integrität unserer Produkte überzeugen und hoffen auf eine Rückkehr zu einer konstruktiven Zusammenarbeit mit dem BSI, um die Cybersicherheit und Resilienz in Deutschland und Europa zu stärken." Es bleibt damit auf seinem früher eingeschlagenen Kurs. Außerdem betont es erneut, dass Kaspersky ein privat geführtes, globales Cybersicherheitsunternehmen sei und als privates Unternehmen keine Verbindungen zur russischen oder einer anderen Regierung habe.
Jeder Virenschutz hat "Sicherheitslücken im Sinne des Gesetzes"
Dem Oberverwaltungsgericht zufolge ist die BSI-Warnung nach § 7 Abs. 1 und 2 BSIG rechtmäßig. "Die Vorschrift verlangt als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicherheitslücke von einem Produkt Gefahren für die Sicherheit in der Informationstechnik ausgehen", so das Gericht. Es erklärt weiter: "Bei Virenschutzprogrammen bestehen schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes. In der Vergangenheit hat es zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind." Die systembedingte Berechtigung zum Zugriff auf die - eigentlich durch das Virenschutzprogramm zu schützende - IT-Infrastruktur könne nach den Erkenntnissen des BSI "für maliziöse Aktivitäten missbraucht werden."
Damit ließe sich allerdings auch eine Warnung vor dem Einsatz von Virenschutzschutzsoftware allgemein begründen. In der Vergangenheit hatte sich das BSI jedoch darauf beschränkt, vor einzelnen, konkreten Sicherheitslücken zu warnen - auch in Sicherheitssoftware. Von der Nutzung von Produkten eines bestimmten Anbieters generell abzuraten, war ein Novum.
Abweichende Einschätzung anderer europäischer Behörden
Der Öffentlichkeit gegenüber blieb das BSI in seiner Begründung recht vage. Dem Gericht gegenüber hat es möglicherweise tiefergehende Einblicke gegeben. Denn das erklärt: "Es liegen nach den vom BSI zusammengetragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht." Pendants des BSI in anderen europäischen Ländern, etwa der Schweiz, Österreich, Belgien, den Neiderlanden oder Italien sehen diese Anhaltspunkte jedoch nicht. Sie erklärten erst kürzlich auf Anfrage von Medien, dass sie keinen Anlass sehen, vor Kaspersky-Produkten explizit zu warnen.