Warnung des BSI vor Virenschutzsoftware von Kaspersky war rechtmäßig
Das BSI gab am 15.3.2022 eine Warnung vor der Virenschutzsoftware des Herstellers Kaspersky heraus. Virenschutzsoftware sei ein exponiertes Ziel von offensiven Operationen im Cyberraum. Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts jüngst von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden. Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten könnten Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden. Alle Anwender der Virenschutzsoftware könnten je nach ihrer strategischen Bedeutung von einer schädigenden Operation betroffen sein. Empfohlen werde, die Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen, wobei zu einer individuellen Bewertung und Abwägung der aktuellen Situation geraten werde. Gegen diese Warnung des BSI wandte sich das deutsche Tochterunternehmen, das die Virenschutzsoftware von Kaspersky vertreibt. Der Eilantrag blieb vor dem Verwaltungsgericht Köln (Az. 1 L 466/22) und auch vor dem Oberverwaltungsgericht (OVG) Nordrhein-Westfalen ohne Erfolg.
Hinreichende Anhaltspunkte für Gefahren für die Sicherheit in der Informationstechnik durch Virensoftware
Zur Begründung seines Beschlusses hat das Oberverwaltungsgericht Nordrhein-Westfalen ausgeführt:
Die Warnung und Empfehlung ist nach § 7 Abs. 1 und 2 BSIG rechtmäßig. Die Vorschrift verlangt als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicherheitslücke von einem Produkt Gefahren für die Sicherheit in der Informationstechnik ausgehen. Bei Virenschutzprogrammen bestehen schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes. In der Vergangenheit hat es zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind. Nach den Erkenntnissen des BSI kann die systembedingte Berechtigung zum Zugriff auf die - eigentlich durch das Virenschutzprogramm zu schützende - IT-Infrastruktur für maliziöse Aktivitäten missbraucht werden. Es liegen nach den vom BSI zusammengetragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht.
Erhebliches Risiko eines erfolgreichen IT-Angriffs
Die Annahme des BSI, das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden, beruht auf hinreichenden Erkenntnissen zur aktuellen Cybersicherheitslage.
Einflussnahme der russischen Regierung auf IT-Unternehmen
Das BSI hat ferner die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt. Es hat daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren. Die Sicherheitsvorkehrungen, die Kaspersky getroffen hat, genügen in der aktuellen Situation nicht, um den Bedrohungen hinreichend entgegenzuwirken.
Ermessensfehlerfreie Entscheidung des BSI
Das BSI hat die Entscheidung, die Warnung herauszugeben, ermessensfehlerfrei getroffen und dabei insbesondere den Grundsatz der Verhältnismäßigkeit gewahrt. Die Warnung ist nicht aufgrund sachfremder Erwägungen oder gar willkürlich herausgegeben worden. Insbesondere war sie nicht politisch motiviert und stellt keine reine Symbolpolitik dar. Angesichts der aufgezeigten Bedrohungslage dient sie allein dazu, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren. Hierzu war sie geeignet und erforderlich. Mit der Warnung erhöht das BSI signifikant das Bewusstsein für potentiell mögliche Gefahren, die sich aus dem Einsatz der Virenschutzprogramme von Kaspersky aktuell ergeben und empfiehlt nach individueller Risikobewertung einen Ersatz durch alternative Produkte. Zugleich hat es die Warnung unter Beachtung des Zurückhaltungsgebots formuliert und auf das Erforderliche beschränkt.
Der Beschluss ist unanfechtbar.
(OVG Nordrhein-Westfalen, Beschluss v. 28.4.2022 4 B 473/22)
Hinweis:
§ 7 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) lautet:
§ 7 Warnungen
(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 und 14a kann das Bundesamt
1. die folgenden Warnungen und Informationen an die Öffentlichkeit oder an die betroffenen Kreise richten:
a) Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten,
b) Warnungen vor Schadprogrammen,
c) Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten und
d) Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten.
2. Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen.
Das Bundesamt kann zur Wahrnehmung der Aufgaben nach Satz 1 Dritte einbeziehen, wenn dies für eine wirksame und rechtzeitige Warnung erforderlich ist.
(1a) Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung der Warnungen zu informieren. Diese Informationspflicht besteht nicht,
1. wenn hierdurch die Erreichung des mit der Maßnahme verfolgten Zwecks gefährdet wird oder
2. wenn berechtigterweise davon ausgegangen werden kann, dass der Hersteller an einer vorherigen Benachrichtigung kein Interesse hat.
Soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekannt werden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist, kann es den Kreis der zu warnenden Personen einschränken. Kriterien für die Auswahl des zu warnenden Personenkreises nach Satz 3 sind insbesondere die besondere Gefährdung bestimmter Einrichtungen oder die besondere Zuverlässigkeit des Empfängers.
(2) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 und 14a kann das Bundesamt die Öffentlichkeit unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts und Dienstes vor Sicherheitslücken in informationstechnischen Produkten und Diensten und vor Schadprogrammen warnen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen, oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter informationstechnischer Produkte und Dienste empfehlen. Stellen sich die an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zugrunde liegenden Umstände als unzutreffend wiedergegeben heraus, ist dies unverzüglich öffentlich bekannt zu machen.
-
Personalakten im öffentlichen Dienst
3731
-
Schafft das Mitarbeitergespräch ab!
138
-
Öffentliche Verwaltung ohne Personal? 4 Wege aus der Krise!
83
-
Ist der Fachkräftemangel zu Ende?
83
-
Bis Ende 2025 alle Dienstleistungen für die Wirtschaft digital
59
-
Faxgeräte in Behörden - Bann oder Beibehaltung?
59
-
Arbeitsverträge künftig per E-Mail möglich
58
-
Wie Behörden erfolgreich kommunizieren
552
-
Studie: Bedarf und Wachstumspotenziale von KI in der Verwaltung noch größer als im Privatsektor
47
-
Fünf Tipps für erfolgreiche Behördenkommunikation
36
-
Flexibilität weiter denken
16.12.2024
-
Bis Ende 2025 alle Dienstleistungen für die Wirtschaft digital
04.12.2024
-
Bürgerbeauftragter: Digitale Verwaltung muss verständlich bleiben
26.11.2024
-
Deutsche Bürokratie kostet jährlich 146 Milliarden Euro an Wirtschaftsleistung
20.11.2024
-
Projekt KERN erhält Preis für „Gute Verwaltung“: Ein UX-Standard für die gesamte deutsche Verwaltung
12.11.2024
-
Studie: Bedarf und Wachstumspotenziale von KI in der Verwaltung noch größer als im Privatsektor
28.10.2024
-
Landkreis darf auf Homepage kein kostenloses Stellenportal führen
25.10.2024
-
Bürger erwarten bessere digitale Dienstleistungen der Verwaltung
18.10.2024
-
Nicht mehr aufs Amt: Digitale Wohnsitzanmeldung in Schleswig-Holstein landesweit möglich
11.10.2024
-
Lasst sie einfach ihren Job machen!
02.10.2024