BVerfG lehnt Entscheidung zu Kasperksy ab

Das BSI empfiehlt am 15.3.2022 vor dem Hintergrund des Ukraine-Krieges und der Cybertätigkeit Rußlands, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen.

 

Dazu entscheidet das OVG Münster wie folgt:

“Die Warnung und Empfehlung ist nach § 7 Abs. 1 und 2 BSIG rechtmäßig. Die Vorschrift verlangt als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicherheitslücke von einem Produkt Gefahren für die Sicherheit in der Informationstechnik ausgehen. Bei Virenschutzprogrammen bestehen schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes. In der Vergangenheit hat es zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind. Nach den Erkenntnissen des BSI kann die systembedingte Berechtigung zum Zugriff auf die – eigentlich durch das Virenschutzprogramm zu schützende – IT-Infrastruktur für maliziöse Aktivitäten missbraucht werden. Es liegen nach den vom BSI zusammengetragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht. Die Annahme des BSI, das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden, beruht auf hinreichenden Erkenntnissen zur aktuellen Cybersicherheitslage. Das BSI hat ferner die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt. Es hat daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren. Die Sicherheitsvorkehrungen, die Kaspersky getroffen hat, genügen in der aktuellen Situation nicht, um den Bedrohungen hinreichend entgegenzuwirken.”

 

 

“Die Verfassungsbeschwerde ist unzulässig, womit sich der Eilantrag erledigt. Die Darlegungen der Beschwerdeführerin genügen den gesetzlichen Anforderungen nicht. Es ist nicht ausgeführt, dass die Verwaltungsgerichte gerade durch die Art und Weise der Bearbeitung des Antrags auf Erlass einer einstweiligen Anordnung Grundrechte verletzt haben. Zudem erscheint es der Beschwerdeführerin nach den Darlegungen nicht unzumutbar, eine Entscheidung in der Hauptsache vor den Verwaltungsgerichten abzuwarten. Daher ist die Verfassungsbeschwerde hier subsidiär. Erst die eingehende Prüfung der Sach- und Rechtslage durch die Fachgerichte versetzt das Bundesverfassungsgericht in die Lage, die grundrechtsrelevanten Fragen entscheiden zu können. Hier kommt es auf die tatsächlichen Umstände der Gewährleistung der Sicherheit in der Informationstechnik der von Beschwerdeführerin vertriebenen Virenschutzsoftware an, die fachgerichtlich aufgeklärt werden muss. Dass hier ausnahmsweise vorher zu entscheiden wäre, weil der Beschwerdeführerin bei Abwarten der Entscheidung im Hauptsacheverfahren ein schwerer und unabwendbarer Nachteil droht, ist nicht hinreichend dargelegt.”