Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware der Firma Kaspersky soll rechtmäßig sein. Das hat jedenfalls das Oberverwaltungsgericht (OVG) für das Land NRW in Münster am Donnerstag (28.4.) beschlossen und damit die Beschwerde der deutschen Tochtergesellschaft von Kaspersky gegen den Eilbeschluss des Verwaltungsgerichts Köln vom 1.4.2022 zurückgewiesen (Aktenzeichen: 4 B 473/22). Die Begründung umreisst das Gericht in einer Pressemitteilung vom selben Tag.
Interessant ist es aber, nicht nur die Pressemitteilung, sondern den gesamten Beschluss des OVG zu lesen. Wer das tut, wird Fehler, Ungenauigkeiten und Quellenangaben finden, deren Wahrheitsgehalt offensichtlich nicht geprüft wurde. Dass der globale GReAT-Chef von Kaspersky in Moskau sitzt, behauptet das OVG an zwei Stellen (S. 24 und 26). Tatsächlich sitzt er in der EU in Bukarest und ist Rumäne. Und oberdrauf verweist das OVG auf eine abenteuerliche Geschichte auf S. 26: die mysteriöse Verhaftung eines ehemaligen Kaspersky Mitarbeiters in Moskau zu einem Tatbestand, der vor seiner Beschäftig bei Kaspersky lag. In einem Beschluss hätte ich so etwas nicht erwartet. Das OVG sieht darin allerdings einen Beleg dafür, dass der Kreml Kaspersky unter Druck setzen kann.
Dass sich Kaspersky als globales Unternehmen an die jeweilige nationale Rechtsetzung hält und für russische Nutzer in Russland russisches Recht anwendet, ist dem OVG zufolge kein Zeichen rechtmäßigen Handelns, sondern zeige, das Kaspersky mit dem Russischen Staat in unangemessener Weise kollaboriere (S. 25). Und dass Kasperskys ausschließlich mit technischer Expertise Strafverfolgungsbehörden – auch in Russland – im Rahmen der jeweils geltenden Gesetzte und nach klaren Transparenzkriterien (in einem freiwilligen Transparenzbericht 2x jährlich öffentlich verfügbar gemacht) zur Bekämpfung von Cyberkriminalität unterstützt (S. 24). wertet das OVG ebenfalls als Unzuverlässigkeit und vermisst auf S. 25 eine Distanzierung hiervon.
Wie gesagt, interessant zu lesen. Das OVG erstattet dem BSI stets das Zeugnis, „überzeugend“, „schlüssig“, „zutreffend“ argumentiert zu haben (S. 24, 26, 27, 29). Die Argumente von Kaspersky, auf die das Gericht in dem Beschluss eingeht, „greifen nicht durch“ (S. 7, 15, 27). Und auf zahlreiche Argumente von Kaspersky geht das Gericht gar nicht ein. Auf mich wirkt das so, als setze das OVG „greift nicht durch“ immer dann ein, wenn es etwas nicht erklären will oder kann.
Fast gänzlich schweigt das Gericht dazu, worum es eigentlich geht. Nämlich darum, warum AV Software eine Schwachstelle gemäß BSI-Gesetz sein soll und warum §7 BSIG eine Ermächtigungsgrundlage für die Warnung bietet? Mich würde dann auch interessieren, ob das OVG weitere Software, wie z. B. Betriebssysteme, auch als Schwachstelle definieren würde. Konsequent wäre es jedenfalls.
Seitenweise legt das OVG die russische Aggression und die Cyberoperationen Russlands dar. Der Zusammenhang zur Warnung vor AV Software von Kaspersky erschließt sich mir nicht. Doch, einer besteht, nämlich dass Kaspersky Software vor solchen Cyberattacken wirkungsvoll schützt und die z. T. in dem Beschluss genannte Cyberlage offensichtlich unter anderem auch auf Threat Intelligence von Kaspersky beruht.
Am 15. März, also vor mehr als 6 Wochen hat das BSI vor der Kaspersky Software gewarnt, und hat dabei Gefahr im Verzuge geltend gemacht. D. h., am 15. März stand mit an Sicherheit grenzender Wahrscheinlichkeit ein Schadensfall unmittelbar bevor. Jetzt, gut sechs Wochen später schützt die AV Software von Kaspersky die Infrastruktur und Systeme ihrer Kunden immer noch zuverlässig und in bester Qualität, und zwar auch gegen die Cyberoperationen Russlands. Irgendwie kommt mir das alles ein bisschen kafkaesk vor.
Rechtsstaat in Deutschland hatte ich mir anders vorgestellt, auch in Zeiten geopolitischer Spannungen und angesichts eines völkerrechtswidrigen, brutalen Angriffskriegs Russlands gegen die Ukraine, den Kaspersky wie die große Mehrheit der Digitalwirtschaft ablehnt und verurteilt.
Politik - um die Ecke gedacht! 