Das Kölner Verwaltungsgericht entschied, dass die Warnung vor dem Antiviren-Hersteller Kaspersky legitim sei. Der Vertrauensverlust angesichts des Ukraine-Kriegs und der Tatsache, dass Kasperskys Hauptsitz in Moskau ist, sei als Sicherheitslücke zu werten.
1997 gegründet, stieg die russische Firma von Natalja Kasperskaja und Jewgeni Kasperski schnell zu eine der führenden Anbieter von Antiviren-Software auf. Im privaten Umfeld wird vielerorts auf Kaspersky gesetzt, um den Computer vor Viren zu schützen. Doch auf politischer Ebene wackelte das Vertrauen. 2017 wurde Kaspersky in allen US-Behörden untersagt. Nach dem Einmarsch Russlands in die Ukraine, ging das Bundeszentrum für Sicherheit in der Informationstechnik (BSI) sogar noch weiter und warnte Behörden, Unternehmen wie Privatpersonen vor dem Einsatz der russischen Software. Kaspersky zog deswegen vor Gericht und verlor.
Rückblick: Zwei Wochen nach Beginn des Ukraine-Kriegs warnte das BSI öffentlich vor dem Einsatz von Kaspersky-Produkten. Vertrauen in Hersteller von Antiviren-Software und den damit verbundenen Cloud-Diensten sei unabdingbar. Dieses sei aber in Bezug auf Kaspersky nicht mehr gegeben, hieß es in der Erklärung: "Wenn Zweifel an der Zuverlässigkeit des Herstellers bestehen, birgt Virenschutzsoftware ein besonderes Risiko für eine zu schützende IT-Infrastruktur".
Ein russischer IT-Hersteller könne selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen oder selbst Opfer eines Angriffs werden und ohne sein Wissen ausspioniert oder als Werkzeug für Angriffe gegen seine Kunden missbraucht werden, erklärt das BSI. Betroffen davon könnten nicht nur Unternehmen und Behörden sein, sondern eben auch Privatpersonen. Das BSI empfiehlt daher seitdem einen geplanten, aber zügigen Umstieg auf alternative Produkte.
Eilantrag abgelehnt
Kaspersky wollte diese Warnung nicht unkommentiert stehen lassen und führte politische Beweggründe ins Feld. Es handle sich bei der Warnung des BSI demnach nicht um eine technische Bewertung: "Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als privates Unternehmen hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung". Ein Gericht sollte nun klären, ob die Warnung des BSI gerechtfertigt war, bzw. ist.
Das Verwaltungsgericht Köln kam zur Auffassung, ja, darf es. Der Eilantrag von der Kaspersky-Gruppe wurde abgelehnt. Der Argumentation, dass keine Sicherheitslücken vorlägen, und, dass es auch keine Anhaltspunkte für eine Einflussnahme staatlicher russischer Stellen gäbe, folgte das Gericht nicht. Auch die ergriffenen Maßnahmen, um die Datensicherheit zu erhöhen und Datentransparenz zu schaffen, stimmte das Gericht nicht um: Es ist als Sicherheitslücke anzusehen, wenn das erforderlich hohe Maß an Vertrauen in den Hersteller nicht mehr gegegeben ist und das sei bei Kaspersky der Fall. Angesichts des Ukraine-Kriegs und Kasperskys Hauptsitz in Moskau sowie die Tatsache, dass dieser Krieg auch online stattfinde, lässt sich nicht ausschließen, dass die Software für Cyberangriffe verwendet wird.