„Bei Virenschutzprogrammen bestehen schon aufgrund ihrer Funktionsweise Sicherheitslücken“: OVG NRW zur Warnung vor Kaspersky
Gespeichert von Prof. Dr. Dennis-Kenji Kipker am
Nachdem das BSI am 15. März vor Virenschutzprodukten des russischen Herstellers Kaspersky gewarnt hatte und ein Eilbeschluss des VG Köln am 1. April 2022 abgelehnt wurde, stellte nun auch das OVG Nordrhein-Westfalen in einem Beschluss (Az. 4 B 473/22, https://www.ovg.nrw.de/behoerde/presse/pressemitteilungen/28_220428/index.php) fest, dass die Warnung des BSI rechtens, ermessensfehlerfrei, verhältnismäßig, geeignet, erforderlich und nicht eine „reine Symbolpolitik“ war, wie manch einer zuvor festgestellt und behauptet hatte.
Die Begründung für diesen Beschluss ist jedoch – mit Verlaub – eine juristische Katastrophe und eigentlich selbst eine sachfremde Erwägung. Die Vorschrift des § 7 BSIG verlangt bei öffentlichen Warnungen vor Herstellern „hinreichende Anhaltspunkte“ für eine Gefährdung der IT-Sicherheit. Nun führt das OVG in seiner Begründung aus, dass bei Virenschutzprogrammen „schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes“ bestehen. Das einmal angenommen, müsste das BSI eigentlich täglich damit beschäftigt sein, vor IT-Sicherheitsprodukten jedweder Hersteller zu warnen, und dies nicht nur aus Russland, sondern ebenso aus den USA, nachdem schon im Jahr 2013 bekannt wurde, dass mit PRISM jahrelang ein rechtswidriges globales Überwachungsprogramm mit allerlei Schnittstellen zu den großen US-amerikanischen Tech-Konzernen durch die NSA geführt wurde.
Weitergehend pauschalisiert das OVG, dass es „in der Vergangenheit […] zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben [habe], in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind“. Auch das einmal angenommen, drängt sich doch jedem die Frage auf, warum das Geschäftsmodell der Virenschutzprogramme überhaupt noch funktioniert, wenn ohnehin alle kompromittiert sind und nur zu unberechtigten Datenabflüssen führen.
Sodann stellt das Gericht fest, dass die durch § 7 BSIG für eine öffentliche Warnung tatbestandsmäßig geforderten „hinreichenden Anhaltspunkte“ vorliegen und beruft sich auf „militärische und/oder nachrichtendienstliche Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die BRD“. Was haben diese Drohungen der russischen Regierung jedoch mit der Geschäftstätigkeit von Kaspersky gemein, das schon vor Jahren kritische Services in Schweizer Rechenzentren ausgelagert hat? Für die sodann durch das OVG zitierte „Instrumentalisierung“ von Kaspersky durch russische Funktionäre bleibt dann kaum noch Raum.
Die aktuelle Entscheidung des OVG NRW belegt eindrucksvoll die schon mit dem IT-Sicherheitsgesetz 2.0 begonnene und immer stärkere, eigentlich unzulässige Vermengung von politischen Erwägungen, rechtlichen Anforderungen und technisch-organisatorischen Maßnahmen zur Cybersecurity, die im Ergebnis niemandem, der effektive IT-Sicherheit machen will, zugutekommt.