Das OVG NRW, sachfremde Erwägungen, die Schweiz und unterschiedliche Lagebilder

ENGLISH VERSION BELOW!

Natürlich hat jedes Land bzw. jeder Staat seine Eigenheiten. Aber mit Blick auf die aktuelle Diskussion zur geopolitischen Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) lohnt sich ein Blick über die Alpen, in unser Nachbarland Schweiz. Dort sieht das Nationale Zentrum für Cybersicherheit (NCSC) keinen Grund oder Anlass, vor der Antiviren-Software von Kaspersky zu warnen. Warum? Vielleicht, weil das NCSC die Zuverlässigkeit von Kaspersky intensiv geprüft hat? Vielleicht, weil es Fakten-basiert entscheidet? Vielleicht, weil es zwischen Geopolitik auf der einen Seite und technischen Kriterien auf der anderen Seite unterscheidet?

Das BSI hat einen anderen Weg eingeschlagen. Neuerdings. Einen geopolitischen. Warum? Und das Verwaltungsgericht Köln definiert den Begriff der „Sicherheitslücke“ völlig neu. Warum? Das Oberverwaltungsgericht NRW (OVG) in Münster bestätigt die Entscheidung. Warum?

Prof. Dr. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen und Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR), schreibt dazu folgendes:

„Die Begründung für diesen Beschluss ist jedoch – mit Verlaub – eine juristische Katastrophe und eigentlich selbst eine sachfremde Erwägung.“

Und weiter:

„Nun führt das OVG in seiner Begründung aus, dass bei Virenschutzprogrammen „schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes“ bestehen. Das einmal angenommen, müsste das BSI eigentlich täglich damit beschäftigt sein, vor IT-Sicherheitsprodukten jedweder Hersteller zu warnen, und dies nicht nur aus Russland, sondern ebenso aus den USA, nachdem schon im Jahr 2013 bekannt wurde, dass mit PRISM jahrelang ein rechtswidriges globales Überwachungsprogramm mit allerlei Schnittstellen zu den großen US-amerikanischen Tech-Konzernen durch die NSA geführt wurde.“

(Quelle: https://community.beck.de/2022/04/28/bei-virenschutzprogrammen-bestehen-schon-aufgrund-ihrer-funktionsweise-sicherheitsluecken-ovg-nrw-zur-warnung; aufgerufen am 6.5.2022, 19.15 CET;)

Interessant ist auch, dass die Gerichte die Beweislast umdrehen: Unreflektiert übernimmt das OVG die Formulierung des VG, dass alle von Kaspersky getroffenen Sicherheitsmaßnahmen in der aktuellen geopolitischen Lage nicht ausreichen würden. Aber keines der Gerichte sagt, welche Sicherheitsmaßnahmen denn ausreichend wären! Das sagt übrigens auch das BSI nicht. Wenn Kaspersky das wüsste, würde das Unternehmen alles tun, um diese Kriterien so schnell wie möglich zu erfüllen.

Noch ein interessanter Punkt: Das BSI hat am 14. März 2022, also vor knapp zwei Monaten, von Gefahr im Verzug gesprochen. Mit an 100% Sicherheit grenzender Wahrscheinlichkeit lag also ein Schadensfall unmittelbar bevor. Deswegen kam am 15. März um 10.00 Uhr die Warnung. Gut zwei Monate später sind alle Kunden von Kaspersky immer noch bestens und zuverlässig geschützt. Der russische Staat bedient sich im Cyberkrieg offensichtlich anderer Methoden, Akteure und Techniken.

Und das übergeordnete Bundesministerium des Innern und für Heimat zeichnet für die Bundesregierung in seiner Antwort auf eine Kleine Anfrage der CDU/CSU-Bundestagsfraktion unter anderem zur Entwicklung von #Cyberattacken im Zusammenhang mit dem Ukraine Krieg irgendwie ein anderes Bild (https://dserver.bundestag.de/btd/20/014/2001428.pdf; S. 11):

„Generell besteht ein abstrakt erhöhtes Risiko von Cyberangriffen gegen deutsche Stellen (v. a. gegen Kritische Infrastrukturen (KRITIS)) in Reaktion auf Sanktionen und die Entscheidung der Bundesregierung, sich an Waffenlieferungen zu beteiligen. Bisher konnte jedoch weder quantitativ noch qualitativ ein signifikant erhöhtes Aufkommen an russischen staatlichen Stellen zugeschriebenen Cyberangriffen auf Deutschland festgestellt werden.“

Gefahr im Verzug hatte ich mir anders vorgestellt!

English version:

The Higher Administrative Court NRW, unrelated considerations, Switzerland and different ways of assessing the threat situation

Of course, every country or state has its own characteristics. But in view of the current discussion on the BSI’s geopolitical warning, it is worth taking a look across the Alps, to our neighbor Switzerland. There, the National Cyber Security Center (NCSC) sees no reason or cause to warn against Kaspersky’s AV Software. Why? Perhaps, because the NCSC has intensively tested Kaspersky’s reliability? Perhaps, because it makes fact-based decisions? Perhaps, because it distinguishes between geopolitics on the one hand and technical facts on the other?

The German Federal Office for Information Security (BSI) has taken a different approach. Recently. A geopolitical one. Why? The Cologne Administrative Court (VG) completely redefines the term „security gap“. Why? And the Higher Administrative Court of North Rhine-Westphalia (OVG) in the city of Münster confirmed the decision.

Prof. Dr. Dennis-Kenji Kipker, Professor of IT Security Law at the University of Bremen and Scientific Director of the Institute for Information, Health and Medical Law (IGMR), writes the following about this:

„However, the reasoning for this decision is – if you’ll pardon the expression – a legal disaster and actually itself an extraneous consideration.“

And further:

„Now the OVG states in its reasoning that in the case of virus protection programs there are „already security gaps in the sense of the law“ due to their mode of operation. Assuming that, the BSI should actually be busy every day to warn against IT security products of any manufacturer, and this not only from Russia, but also from the U.S., after it became known as early as 2013 that with PRISM, an illegal global surveillance program with all kinds of interfaces to the major U.S. tech companies was run by the NSA for years.“

(Source: https://community.beck.de/2022/04/28/bei-virenschutzprogrammen-bestehen-schon-aufgrund-ihrer-funktionsweise-sicherheitsluecken-ovg-nrw-zur-warnung; Retrieved 5/6/2022, 19:15 CET;)

It is also interesting that the courts are reversing the burden of proof: Unreflectively, the OVG adopts the formulation of the VG Cologne that the security measures taken by Kaspersky are not sufficient in the current geopolitical situation. But the court does not say which security measures would be sufficient instead! The BSI doesn’t say that either. If Kaspersky knew that, then Kaspersky would do everything it could to meet those criteria.

One more interesting point: the BSI spoke of imminent danger on March 14, almost two months ago. So with a probability bordering on 100% certainty, a damaging event was imminent. That’s why the warning came at 10:00 a.m. on March 15. A good two months later, all Kaspersky customers are still perfectly and reliably protected. The Russian state uses other cyber weapons, as Kaspersky and other companies show in their threat intelligence reports.

And the higher-level Federal Ministry of the Interior and Homeland somehow paints a different picture for the FederalGovernment in its answer to a small inquiry by the CDU/CSU parliamentary group on, among other things, the development of #cyberattacks in connection with the Ukraine war (https://dserver.bundestag.de/btd/20/014/2001428.pdf; p. 11):

„In general, there is an abstract increased risk of cyberattacks against German entities (especially against Critical Infrastructures (CRITIS)) in response to sanctions and the decision of the German government to participate in arms deliveries. So far, however, no significantly increased incidence of cyberattacks on Germany attributed to Russian state entities has been detected, either quantitatively or qualitatively.“

I had imagined imminent danger differently.