Kategorien
IT-Sicherheit

OVG NRW: BSI durfte vor Virenschutzsoftware warnen

Die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware des Unternehmens Kaspersky ist rechtmäßig. Das hat das Oberverwaltungsgericht am 28.4.22 entschieden und in den Leitsätzen der Entscheidung ausgeführt:

  • Unabhängig davon, inwieweit staatliches Informationshandeln einfachgesetzlicher Normierung zugänglich ist, besteht eine Grundrechtsbindung aus Art. 12 Abs. 1 GG, wenn solches Handeln zwar die Berufstätigkeit nicht unmittelbar berührt, aber Rahmenbedingungen der Berufsausübung verändert und in Zielsetzung und mittelbar-faktischen Wirkungen einem Grundrechtseingriff als funktionales Äquivalent gleichkommt.
  • Die Grundrechtsbindung hindert staatliche Stellen nicht daran, sich überhaupt zu grundrechtlich geschützten Bereichen – auch kritisch – zu äußern. Grundrechte schützen nicht vor der Verbreitung von inhaltlich zutreffenden und unter Beachtung
    des Gebots der Sachlichkeit sowie mit angemessener Zurückhaltung formulierten Informationen durch einen Träger der Staatsgewalt.
  • Angesichts der Vielgestaltigkeit möglicher Risiken für die Sicherheit in der Informationstechnik ist es verfassungsrechtlich unbedenklich, dass der Gesetzgeber
    den Begriff der Sicherheitslücke im Sinne des § 2 Abs. 6 BSIG gerade als Tatbestandsvoraussetzung für eine amtliche Warnung weit gefasst hat, um bislang unvorhersehbare Fallgestaltungen abzudecken.
  • Liegen hinreichende Anhaltspunkte dafür vor, dass die Sicherheitsstandards insbesondere zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen (§ 2 Abs. 2 Satz 4 BSIG) nicht mehr gewährleistet werden können, sind zugleich hinreichende Anhaltspunkte dafür gegeben, dass von dem betroffenen Programm oder informationstechnischen System eine Gefahr für die Sicherheit in der Informationstechnik ausgeht.
  • Ob hinreichende Anhaltspunkte dafür vorliegen, dass von einem Produkt aufgrund einer Sicherheitslücke Gefahren für die Sicherheit in der Informationstechnik ausgehen, ist anhand aller mit vernünftigem Aufwand feststellbaren Umstände oder
    Ereignisse zu beurteilen, die nachteilige Auswirkungen auf die Sicherheit von Informationssystemen haben können. Mit Blick auf das mit dem BSIG verfolgte Ziel der umfassenden Gewährleistung der Sicherheit der Informationstechnik sind sowohl technische Kriterien als auch staatliche Sicherheitsinformationen einzubeziehen.

Anmerkung: Die Entscheidung wird wegweisend sein, insbesondere in den umfangreichen Ausführungen zu den rechtlichen Grundlagen der BSI-Warnung findet sich sehr viel, was zu einer Ausweitung der Möglichkeit von BSI-Warnungen führt. Speziell zeigt der Beschluss auf, dass man auch über externe Begutachtungen selbst bei eigener Einsichtnahme in den Quelltext hinweggehen darf, wenn Unsicherheiten („weiße Flecken“) bei der Beurteilung verbleiben.

Grundlage der Warnung sind dabei Sicherheitslücken nicht im engeren, sondern im weitesten Sinne, sodass etwa auch die (behördliche) Einflussnahme auf den Hersteller des Produkts eine Rolle spielen darf – wobei Sicherheitspolitische Erwägungen neben tatsächlichen Bedrohungen in die Einschätzung miteinbezogen werden dürfen!

Hintergrund der Warnung des BSI

Das BSI gab am 15.3.2022 eine Warnung vor der Virenschutzsoftware des Herstellers Kaspersky heraus. Virenschutzsoftware sei ein exponiertes Ziel von offensiven Operationen im Cyberraum.

Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts jüngst von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen verbunden. Durch Manipulationen an der Software oder den Zugriff auf bei Kaspersky gespeicherte Daten könnten Aufklärungs- oder Sabotageaktionen gegen Deutschland, einzelne Personen oder bestimmte Unternehmen oder Organisationen durchgeführt oder zumindest unterstützt werden. Alle Anwender der Virenschutzsoftware könnten je nach ihrer strategischen Bedeutung von einer schädigenden Operation betroffen sein. Empfohlen werde, die Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen, wobei zu einer individuellen Bewertung und Abwägung der aktuellen Situation geraten werde. Dagegen wandte sich das deutsche Tochterunternehmen, das die Virenschutzsoftware von Kaspersky vertreibt. Der Eilantrag blieb in beiden Instanzen ohne Erfolg.

Die Begründung des OVG

Zur Begründung seines Beschlusses hat der 4. Senat des Oberverwaltungsgerichts ausgeführt: Die Warnung und Empfehlung ist nach § 7 Abs. 1 und 2 BSIG rechtmäßig. Die Vorschrift verlangt als Voraussetzung hinreichende Anhaltspunkte dafür, dass aufgrund einer Sicherheitslücke von einem Produkt Gefahren für die Sicherheit in der Informationstechnik ausgehen.

Die OVG-Entscheidung im Detail zur Herausgabe von Warnungen durch das BSI

Die Voraussetzungen für die Herausgabe von Warnungen vor Sicherheitslücken in informationstechnischen Systemen und Empfehlungen von Sicherheitsmaßnahmen durch das Bundesamt für Sicherheit in der Informationstechnik hat der Gesetzgeber in § 7 Abs. 1 Nr. 1 Buchst. a), Satz 1 Nr. 2, Abs. 2 Satz 1 BSIG normiert.

Das Bundesamt ist die zentrale Stelle für Informationssicherheit auf nationaler Ebene (§ 1
Satz 2 BSIG). In seinen Aufgabenbereich fallen gemäß § 3 Abs. 1 Satz 2 Nr. 14, 14a BSIG die Beratung, Information und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik, insbesondere unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen (Nr. 14) sowie der Verbraucherschutz und die Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik, insbesondere durch Beratung und Warnung von Verbrauchern in Fragen der
Sicherheit in der Informationstechnik und unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen (Nr. 14a). Gemäß § 7
Abs. 1 BSIG kann das Bundesamt zur Erfüllung seiner Aufgaben nach § 3 Abs. 1 Satz 2 Nr. 14 und 14a BSIG unter anderem Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten an die Öffentlichkeit oder an die betroffenen Kreise richten [Satz 1 Nr. 1 Buchst. a)] und Sicherheitsmaßnahmen sowie
den Einsatz bestimmter Sicherheitsprodukte empfehlen (Satz 1 Nr. 2).

Unter Nennung der Bezeichnung und des Herstellers des betroffenen Produkts kann es nach § 7 Abs. 2 Satz 2 BSIG zur Erfüllung seiner Aufgaben nach § 3 Abs. 1 Satz 2 Nr. 14,
14a BSIG die Öffentlichkeit unter anderem vor Sicherheitslücken … in informationstechnischen Produkten und Diensten warnen oder Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen, wenn hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik hiervon ausgehen.

(aa) Nach § 2 Abs. 6 BSIG sind Sicherheitslücken Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können. Die Gesetzesbegründung macht deutlich, dass allein maßgeblich sein soll, ob ein informationstechnisches System über
eine solche – grundsätzlich unerwünschte – Beeinflussungsmöglichkeit durch Dritte verfügt. Der Begriff ist notwendigerweise weit gefasst, weil Sicherheitslücken in den
unterschiedlichsten Zusammenhängen, oftmals abhängig von der Konfiguration oder Einsatzumgebung, entstehen können. Damit hat sich der Gesetzgeber bewusst dagegen entschieden, den Begriff der Sicherheitslücke auf Fehlkonfigurationen der Hard- oder Software zu beschränken. Die entsprechende Empfehlung im Gesetzgebungsverfahren hat er nicht aufgegriffen (…)

Angesichts der Vielgestaltigkeit möglicher Risiken für die Sicherheit in der Informationstechnik ist es auch verfassungsrechtlich unbedenklich, dass der Gesetzgeber den
Begriff der Sicherheitslücke gerade als Tatbestandsvoraussetzung für eine amtliche
Warnung weit gefasst hat, um bislang unvorhersehbare Fallgestaltungen abzudecken. Die Bedrohungsszenarien für die Sicherheit in der Informationstechnologie sind vielgestaltig und außerordentlich dynamisch.

(bb) Eine Produktwarnung im Sinne von § 7 Abs. 2 Satz 1 BSIG ist aber nur dann gerechtfertigt, wenn hinreichende Anhaltspunkte dafür vorliegen, dass von einer Sicherheitslücke Gefahren für die Sicherheit in der Informationstechnik ausgehen. Die Sicherheit in der Informationstechnik und der damit verbundene Schutz von Informationen und informationsverarbeitenden Systemen vor Angriffen und unautorisierten Zugriffen erfordert die Einhaltung bestimmter Sicherheitsstandards zur Gewährleistung der informationstechnischen Grundwerte und Schutzziele durch Sicherheitsvorkehrungen in informationstechnischen Systemen, Komponenten oder Prozessen oder bei der Anwendung von informationstechnischen Systemen, Komponenten oder
Prozessen (vgl. § 2 Abs. 2 Sätze 3 und 4 BSIG).

Liegen hinreichende Anhaltspunkte dafür vor, dass die Sicherheitsstandards insbesondere zum Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen (§ 2 Abs. 2 Satz 4 BSIG) … nicht mehr gewährleistet werden können, sind zugleich hinreichende Anhaltspunkte dafür gegeben, dass von dem betroffenen Programm oder informationstechnischen System eine Gefahr für die Sicherheit in der Informationstechnik ausgeht.

Ob hinreichende Anhaltspunkte dafür vorliegen, dass von einem Produkt aufgrund einer Sicherheitslücke Gefahren für die Sicherheit in der Informationstechnik ausgehen, ist anhand aller mit vernünftigem Aufwand feststellbaren Umstände oder Ereignisse zu beurteilen, die nachteilige Auswirkungen auf die Sicherheit von Informationssystemen haben können. Mit Blick auf das mit dem BSIG verfolgte Ziel der umfassenden Gewährleistung der Sicherheit der Informationstechnik sind sowohl technische Kriterien als auch staatliche Sicherheitsinformationen einzubeziehen (…)

Dem steht § 1 Satz 3 BSIG nicht entgegen. Danach führt das Bundesamt Aufgaben gegenüber den Bundesministerien auf Grundlage wissenschaftlich-technischer Erkenntnisse durch. Der Satz wurde im Rahmen der Neufassung des § 1 BSIG durch Art. 1 Nr. 1 des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18.5.2021 (BGBl. I S. 1122) aufgenommen und dient der Klarstellung,
dass das Bundesamt Aufgaben der Beratung und Unterstützung als neutrale Stelle durchführt (Vgl. BT-Drs. 19/28844, S. 39.).

Eine Einschränkung hinsichtlich der zu berücksichtigenden Umstände bei der Beurteilung, ob hinreichende Anhaltspunkte für das Bestehen einer Gefahrenlage für die Sicherheit der Informationstechnik gegeben sind, liegt hierin nicht.

Bei Virenschutzprogrammen bestehen schon aufgrund ihrer Funktionsweise Sicherheitslücken im Sinne des Gesetzes. In der Vergangenheit hat es zahlreiche Vorfälle bei allen Herstellern von Virenschutzprogrammen gegeben, in denen Fehlfunktionen IT-Systeme blockiert haben und Daten unbemerkt an den Hersteller übertragen worden sind. Auch dass der Quellcode (teilweise) einsehbar ist, ändert daran nichts:

Die Möglichkeit der Einsichtnahme in den Quellcode, die Software-Updates und die Regeln zur Erkennung von Bedrohungen im Transparency Center in Zürich mag danach zur Förderung des Vertrauens in den Hersteller der Virenschutzprogramme geeignet sein und die Chance erhöhen, dass unabhängige Forscher mögliche backdoors entdecken. Es bleiben jedoch nach aktenkundiger Einschätzung des Bundesamts im Prozess der Binärcodeerstellung, der Softwareverteilung, aber auch durch den Umfang und die Dynamik der Software- und Signatur-Updates umfassende „weiße Flecken“, die technisch faktisch nicht überprüfbar sind. Diese Einschätzung wird von unabhängigen Fachleuten geteilt.

Nach den Erkenntnissen des BSI kann die systembedingte Berechtigung zum Zugriff auf die – eigentlich durch das Virenschutzprogramm zu schützende – IT-Infrastruktur für maliziöse Aktivitäten missbraucht werden.

Es liegen nach den vom BSI zusammengetragenen Erkenntnissen auch hinreichende Anhaltspunkte dafür vor, dass durch die Nutzung der Virenschutzsoftware von Kaspersky derzeit eine Gefahr für die Sicherheit in der Informationstechnik besteht. Die Annahme des BSI, das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die in diesem Kontext ausgesprochenen Drohungen auch gegen die Bundesrepublik Deutschland seien mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs mit weitreichenden Konsequenzen gerade unter Verwendung der Virenschutzsoftware von Kaspersky verbunden, beruht auf hinreichenden Erkenntnissen zur aktuellen Cybersicherheitslage. Das BSI hat ferner die in der Vergangenheit dokumentierte Einflussnahme der russischen Regierung auf die in Russland agierenden IT-Unternehmen, insbesondere auch auf Kaspersky, berücksichtigt.

Es hat daraus nachvollziehbar gefolgert, dass hinreichende Anhaltspunkte für die Gefahr bestehen, die russische Regierung werde auch im Rahmen des von ihr geführten Angriffskriegs auf die Ukraine russische Softwareunternehmen zur Durchführung eines Cyberangriffs nicht nur auf ukrainische, sondern auch auf andere westliche Ziele instrumentalisieren. Die Sicherheitsvorkehrungen, die Kaspersky getroffen hat, genügen in der aktuellen Situation nicht, um den Bedrohungen hinreichend entgegenzuwirken. Auch eine (externe) Begutachtung mag hier nicht abzuhelfen:

Eine abweichende Beurteilung musste sich dem Bundesamt auch nicht deshalb aufdrängen, weil die Sicherheit und Zuverlässigkeit der technischen und organisatorischen Verfahren sowie Datendienste von L. in der Vergangenheit von zwei externen, unabhängigen Prüforganisationen bestätigt worden sind. Eine fundamentale Herausforderung der Zertifizierung ist es gerade, dass Software dynamisch ist und kontinuierlich Updates zum Schließen von Schwachstellen oder zur Verbesserung ihrer Funktionalität erfordert. Die Zertifizierung ist im Grundsatz statisch. Sie sagt, wie das Bundesamt zutreffend in seiner Begründung zur Warnung ausführt, nur etwas über den Soll-Zustand zum Zeitpunkt des Audits aus, ist aber keine Garantie für den Ist-Zustand.

Das BSI hat die Entscheidung, die Warnung herauszugeben, ermessensfehlerfrei getroffen und dabei insbesondere den Grundsatz der Verhältnismäßigkeit gewahrt. Die Warnung ist nicht aufgrund sachfremder Erwägungen oder gar willkürlich herausgegeben worden. Insbesondere war sie nicht politisch motiviert und stellt keine reine Symbolpolitik dar. Angesichts der aufgezeigten Bedrohungslage dient sie allein dazu, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren. Hierzu war sie geeignet und erforderlich. Mit der Warnung erhöht das BSI signifikant das Bewusstsein für potentiell mögliche Gefahren, die sich aus dem Einsatz der Virenschutzprogramme von Kaspersky aktuell ergeben und empfiehlt nach individueller Risikobewertung einen Ersatz durch alternative Produkte. Zugleich hat es die Warnung unter Beachtung des Zurückhaltungsgebots formuliert und auf das Erforderliche beschränkt.

Der Beschluss ist unanfechtbar. Aktenzeichen: 4 B 473/22 (I. Instanz: VG Köln 1 L 466/22); Quelle: Pressemitteilung des Gerichts kombiniert mit Auszügen aus dem Beschluss

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht) (Alle anzeigen)
Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für Strafrecht & Fachanwalt für IT-Recht)

Auf Strafverteidigung & Wirtschaftsstrafrecht spezialisiert übernehmen wir ausschließlich Strafverteidigungen, Ordnungswidrigkeiten und Strafvollstreckungssachen.
Rechtsanwalt Jens Ferner ist als Fachanwalt für Strafrecht und Fachanwalt für IT-Recht Ihr Profi in Strafverteidigung, speziell in Cybercrime, Wirtschaftsstrafrecht und Arbeitsstrafrecht sowie bei Unternehmens-Bußgeldern