Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

BSI: Der Begriff der Sicherheitslücke ist weit auszulegen (Foto: nmann77 / stock.adobe.com)
Datensicherheit

VG Köln: Warnung des BSI vor Kaspersky-Virenschutzsoftware ist rechtmäßig

ESV-Redaktion Recht
05.04.2022
Darf das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Virenschutzsoftware von Kaspersky warnen? Hierüber hat das VG Köln im Rahmen eines Eilverfahrens entschieden, das ein deutsches Unternehmen aus der Kaspersky-Gruppe eingeleitet hatte.
In dem Streitfall hatte das BSI am 15.03.2022 mit einer öffentlichen Warnung die Zuverlässigkeit des russischen Herstellers Kaspersky nach § 7 BSIG in Frage gestellt. Begründet hatte die Behörde ihre Warnung mit den aktuellen kriegerischen Aktivitäten Russlands und empfohlen, die Virenschutzsoftware von Kaspersky durch Alternativ-Produkte zu ersetzen.

Kasperski: Sicherheitswarnung hat politischen Charakter

Hiergegen zog die Kaspersky Labs GmbH am 21.03.2022 mit einem Eilantrag vor das VG Köln. Das deutsche Unternehmen vertreibt die Virenschutzprodukte des russischen Herstellers und verlangte vom BSI den Widerruf und die künftige Unterlassung der Warnung. Die Begründung von Kaspersky im Kern:

  • Keine Sicherheitslücken: Die Warnung habe rein politischen Charakter und beziehe sich nicht auf die technische Qualität der Virenschutzsoftware. Jedenfalls liege keine Sicherheitslücke im Sinne einer bekannt gewordenen technischen Schwachstelle vor.
  • Keine Hinweise auf staatliche Einflussnahme: Zudem gebe es keine Anhaltspunkte für eine Einflussnahme staatlicher Stellen in Russland auf Kaspersky.
  • Ausreichende Schutzmaßnahmen: Darüber hinaus habe die Kaspersky-Gruppe verschiedene Maßnahmen getroffen, um die Datensicherheit- und Transparenz zu steigern.

Der kostenlose Newsletter Recht – Hier können Sie sich anmelden! 
Redaktionelle Meldungen zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.


VG Köln: Allgemeines Vertrauen in Antragstellerin erschüttert

Der Eilantrag hatte keinen Erfolg. Zunächst schickten die Kölner Verwaltungsrichter voraus, dass der Begriff der Sicherheitslücke weit auszulegen ist – und dass Virenschutzsoftware wegen ihrer weitgehenden Eingriffsberechtigungen in das betreffende Computersystem schon vom Grunde her alle Voraussetzungen für eine Sicherheitslücke erfüllt. Die weiteren tragenden Erwägungen des VG Köln: 

  • Vertrauen zwar bisher gegeben: Dass der Einsatz der Software bisher allgemein empfohlen wurde, ist dem Gericht zufolge auf das bisherige hohe Vertrauen in die Zuverlässigkeit des Herstellers zurückzuführen. Eine Sicherheitslücke liege aber schon dann vor, wenn das hohe Vertrauen in den Hersteller nicht mehr gerechtfertigt ist, so das VG weiter.
  • Aber – Vertrauen erschüttert: Bei Kaspersky ist dieses Vertrauen jedoch gegenwärtig erschüttert. Dies führt das Gericht darauf zurück, dass die Kaspersky-Gruppe ihren Hauptsitz in Moskau hat und dort zahlreiche Mitarbeiter beschäftigt. Vor dem Hintergrund des russischen Angriffskriegs gegen die Ukraine ist dem Gericht zufolge nicht auszuschließen, dass russische Entwickler unter dem Druck von anderen russischen Akteuren oder aus eigener Motivation die Möglichkeiten der Virenschutzsoftware auch für Cyberangriffe auf deutsche Ziele nutzen. Außerdem sei nicht davon auszugehen, dass sich staatliche Akteure in Russland an Gesetze halten, nach denen Kaspersky die Weitergabe von Informationen verweigern kann. Darüber hinaus zeige die massive Beschränkung der Pressefreiheit in Russland im Zusammenhang mit dem Ukraine-Krieg, dass entsprechende Rechtsgrundlagen schnell geschaffen werden können, führt das VG hierzu aus.
  • Sicherheitsmaßnahmen von Kaspersky nicht vor staatlicher Einflussnahme geschützt: Darüber hinaus ließen die Kölner Richter auch die von Kaspersky vorgebrachten Sicherheitsmaßnahmen nicht gelten. Demnach sind auch diese Maßnahmen nicht vor staatlichen Einflussnahmen Russlands geschützt. So wäre nicht auszuschließen, dass Programmierer in Russland auf die Daten von deutschen und europäischen Nutzern zugreifen können, die in Schweizer Rechenzentren gespeichert sind.
  • Dauerhafte Sicherheitsüberwachung unmöglich: Schließlich hielt das Gericht eine andauende Überwachung von Updates sowie von Quellcodes aufgrund der Datenmengen, der Komplexität der Programmcodes und der Häufigkeit von Updates für unmöglich.
Quelle: PM des VG Köln vom 01.04.2022 zum Beschluss vom selben Tag – 1 L 466/22

Kaspersky reicht Beschwerde ein

Zahlreichen Medienberichten zufolge ist Kaspersky gegen die Entscheidung des VG Köln mit einer Beschwerde vor das OVG Münster gezogen. Das Verfahren wird dort unter dem AZ 4 B 473/22 geführt.

 
2 in 1 für sichere Daten

Handbuch Datenschutz und IT-Sicherheit

Die DSG-VO und das neue BDSG haben den Datenschutz auf neue Grundlagen gestellt. In der Praxis allerdings fordern die oft unterschiedlichen Auslegungen mancher Normen viele Unternehmen weiter massiv heraus – auch mit Blick auf deutlich erhöhte Bußgelder, die von den Aufsichtsbehörden bereits mehrfach verhängt wurden.

Recht und IT systematisch verknüpft

Die 2. Auflage des von Schläger/Thode herausgegebenen Praxishandbuchs stellt Ihnen die wichtigsten Entwicklungen, zwischenzeitlich ergangene Rechtsprechung und bereits bewährte erste Best-Practices prägnant zusammen. Alle relevanten juristischen und IT-sicherheitsrelevante Fragen werden dabei konsequent entlang der wichtigsten Praxisthemen verknüpft:

  • Datenschutzrechtliche Grundlagen in Deutschland und in der EU
  • Datenschutzmanagement und Datenverarbeitung
  • IT-Sicherheitsmanagement und IT-Grundschutz
  • Technische und organisatorische Maßnahmen
  • IT-Penetrationstests zur Schwachstellenanalyse
Verlagsprogramm   Weitere Nachrichten aus dem Bereich Recht 


(ESV/bp)

Programmbereich: Wirtschaftsrecht