Russisches IT-Sicherheitsunternehmen Kaspersky scheitert vor Oberverwaltungsgericht mit Beschwerde gegen BSI-Warnung

In zweiter und letzter Instanz bleibt es dabei: Das Bundesamt für Sicherheit in der Informationstechnik durfte vor dem Einsatz von Kaspersky-Software warnen. Es handele sich nicht um Willkür oder Symbolpolitik.
IT-Sicherheitsunternehmen Kaspersky auf dem "Mobile World Congress" in Barcelona 2022 (Symbolbild)

IT-Sicherheitsunternehmen Kaspersky auf dem "Mobile World Congress" in Barcelona 2022 (Symbolbild)

Foto: ALBERT GEA / REUTERS

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) darf vor dem Einsatz von Produkten des russischen IT-Sicherheitsunternehmens Kaspersky warnen. Das entschied das nordrhein-westfälische Oberverwaltungsgericht (OVG) am Donnerstag und bestätigte damit eine Entscheidung des Verwaltungsgerichts Köln. Die Ablehnung der Beschwerde der deutschen Tochtergesellschaft von Kaspersky durch das OVG ist nicht anfechtbar (Az.: 4 B 473/22).

Mitte März hatte das Bundesamt mit Sitz in Bonn vor dem Hintergrund des Ukrainekriegs auf ein »erhebliches Risiko« eines erfolgreichen IT-Angriffs Russlands hingewiesen und geraten, Kaspersky-Software durch Alternativen zu ersetzen. Die Argumentation der Behörde lautete: »Ein russischer IT-Hersteller kann selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyberoperation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden.« (Lesen Sie hier mehr zu den Hintergründen.)

Kaspersky hält die Warnung für politisch motiviert

Firmengründer Eugene Kaspersky schrieb in einem offenen Brief, das seien »reine Spekulationen, die durch keine objektiven Beweise oder technischen Details gestützt werden«. Deshalb zog die Firma, die Kaspersky in Deutschland vertreibt, vor das Kölner Verwaltungsgericht. Sie wollte die Warnung kippen lassen und dem BSI auch künftig solche aus ihrer Sicht politisch motivierten Wortmeldungen verbieten.

Der 4. Senat des OVG aber bewertet die Warnung als rechtmäßig und lehnte das geforderte Verbot ab. Demnach liegen nach den vom BSI zusammengetragenen Erkenntnissen hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik bestehe, so das OVG.

Die Warnung des BSI sei nicht willkürlich herausgegeben worden oder aufgrund von Symbolpolitik. Die Warnung diene dazu, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren und das Bewusstsein für mögliche Gefahren zu erhöhen. »Das BSI hat ferner die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt«, teilte das OVG mit .

Die Behörde habe daraus »nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren«. Die Sicherheitsvorkehrungen, die Kaspersky getroffen hat, genügen dem Gericht zufolge nicht, um den Bedrohungen hinreichend entgegenzuwirken.

Das Unternehmen äußerte sich enttäuscht: »Kaspersky bedauert zutiefst die Entscheidung des Oberverwaltungsgerichts Münster«. Man hoffe aber »auf eine Rückkehr zu einer konstruktiven Zusammenarbeit mit dem BSI, um die Cybersicherheit und Resilienz in Deutschland und Europa zu stärken«.

pbe/dpa