Warum das BSI vor Kaspersky warnt – und was das BVerfG dazu (nicht) sagt
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte auf seiner Website bereits am 15. März 2022 eine „BSI-Warnung gemäß BSIG § 7“. In dieser warnt das BSI vor der beliebten Virenschutzsoftware des russischen Herstellers Kaspersky. Es empfiehlt, die Kaspersky-Programme durch Alternativen zu ersetzen. BSI-Präsident Arne Schönbohm legte bei der Potsdamer Konferenz für Nationale Cybersicherheit nach: „Die Produktwarnung vor Kaspersky meine ich absolut ernst.“
Die Hintergründe der Warnung und warum sich Kaspersky diese (zunächst) gefallen lassen muss, erfahren Sie im folgenden Beitrag.
Die BSI-Warnung und ihre Begründung
Das BSI ist eine Bundesoberbehörde mit Sitz in Bonn und untersteht unmittelbar dem Bundesministerium des Innern, für Bau und Heimat. Es handelt sich um die zentrale Stelle zur Wahrung der Informationssicherheit auf nationaler Ebene (§ 1 BSIG). Die Aufgabe des BSI ist damit die Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung (§ 3 BSIG). Dazu gehört nicht nur die Abwehr von Gefahren für die Informationstechnik der öffentlichen Hand, sondern auch der Verbraucherschutz und die Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik.
Zu diesem Zweck kann das BSI in bestimmten Fällen die Öffentlichkeit oder betroffene Kreise vor Sicherheitslücken in informationstechnischen Produkten und Diensten warnen und dabei das Produkt und dessen Hersteller explizit nennen (§ 7 BSIG).
Nach § 2 Abs. 6 BSIG sind „Sicherheitslücken“ unter anderem Eigenschaften von Programmen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können. Das BSI versteht hierunter nicht nur technische Mängel eines Produkts. Vielmehr warnt das BSI davor, dass Kaspersky als russischer IT-Hersteller Teil der Cyberkrieg-Strategie des russischen Staates gegen die EU, die NATO oder Deutschland werden könnte. Es bestehe das Risiko, dass Kaspersky selbst offensive Operationen durchführen könnte, gegen seinen eigenen Willen gezwungen werden könnte, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden könnte.
Die Programme von Kaspersky seien ein besonderes Risiko für IT-Systeme. Virenschutzprogramme verfügen nämlich über weitreichende Systemberechtigungen und müssen systembedingt eine dauerhafte, verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Sie seien aus diesem Grund ein „exponiertes Ziel von offensiven Operationen im Cyberraum“. Das BSI beschränkt seine Warnung dabei nicht nur auf „Einrichtungen des Staates, der Kritischen Infrastrukturen, der Unternehmen im besonderen öffentlichen Interesse, des produzierenden Gewerbes sowie wichtiger gesellschaftlicher Bereiche“, sondern warnt auch Privatanwender davor, dass sie bei der Nutzung von Kaspersky-Programmen „Opfer von Kollateralauswirkungen“ werden könnten.
Als Handlungsempfehlung formuliert das BSI: „Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden.“
Die Entscheidungen des VG Köln und des OVG Münster
Es überrascht kaum, dass Kaspersky über diese Warnung wenig erfreut war. Noch am Tag der Veröffentlichung der Warnung auf der Website des BSI veröffentlichte das Unternehmen auf seiner eigenen Website ein Statement gegen die Warnung. Kaspersky wirft dem BSI vor, dass die Warnung politisch motiviert sei und keine begründeten Zweifel an der Qualität und Integrität von Kaspersky-Programmen bestünden.
Kaspersky reichte deshalb einen Antrag auf Eilrechtsschutz beim VG Köln ein, wonach das BSI zur Unterlassung der Warnung und dessen Widerruf, hilfsweise zur Archivierung der Warnung, verpflichtet werden sollte. Das Gericht lehnte den Antrag am 1. April 2022 (Az. 1 L 466/22) ab. Das OVG Münster bestätigte die Entscheidung des VG Köln am 28. April 2022 (Az. 4 B 473/22).
Die Gerichte waren sich dabei nicht nur im Ergebnis, sondern auch in der Begründung ihrer Entscheidungen weitgehend einig. Zwar schütze das Grundrecht auf Berufsfreiheit aus Art. 12 GG ein Unternehmen auch davor, dass seine Markt- und Wettbewerbssituation durch amtliche Informationen und Warnungen verändert wird. Jedoch bedeute dies nicht, dass solche Informationen stets unzulässig seien. Auch wettbewerbsschädliche amtliche Äußerungen seien erlaubt, wenn sie sich an die Grundsätze des Willkürverbots und der Verhältnismäßigkeit halten. Insbesondere müssten Tatsachenbehauptungen objektiv zutreffend wiedergegeben werden. Werturteile dürften nicht auf sachfremde Erwägungen gestützt werden. Die Gerichte beriefen sich dabei auf zwei „Klassiker“ der verfassungsgerichtlichen Rechtsprechung: die Entscheidung zur Zulässigkeit von Warnungen vor glykolhaltigen Weinen von 2002 und die Entscheidung zur Zulässigkeit von Warnungen vor „Jugendsekten“ von 1989.
Sowohl das VG Köln als auch das OVG Münster sahen diese Voraussetzungen als gegeben an. Insbesondere haben die Gerichte die Auslegung des Begriffs „Sicherheitslücke“ durch das BSI gebilligt. Die Gerichte beriefen sich im Zuge dessen auf die Materialien zum Gesetzgebungsprozess, wonach der Begriff „notwendigerweise weit gefasst“ sei, da „Sicherheitslücken in den unterschiedlichsten Zusammenhängen, oftmals abhängig von der Konfiguration oder Einsatzumgebung, entstehen können“ (vgl. BT-Drs. 16/11967, S. 12). Aufgrund der sich ständig ändernden Bedrohungslage für die IT-Sicherheit, sei eine flexible Anwendung der Vorschriften des BSIG geboten. Insbesondere eine weite Auslegung des Begriffs der „Sicherheitslücke“ sei erforderlich, um schnell und flexibel auf neu entstehende Gefahrenszenarien reagieren zu können.
Aufgrund des Angriffskriegs Russlands gegen die Ukraine und die Einordnung der EU-Mitgliedstaaten als „unfreundliche Staaten“ seien hinreichende Anhaltspunkte dafür gegeben, dass Virenschutzprogrammen russischer IT-Hersteller ein Risiko für die Sicherheit der Informationstechnik in Deutschland darstellen. Das OVG Münster zieht dafür umfassende Belege hinzu, um zu zeigen, dass russische Cyberangriffe eine reale und beträchtliche Gefahr für den deutschen Staat und die Wirtschaft darstellen, wobei Virenschutzprogramme exponierte Ziele seien. Dies gelte gerade für das Virenschutzprogramm von Kaspersky, das weltweit verbreitet sei und gerade in Deutschland eine hohe Marktdurchdringung aufweise.
Den Einwand von Kaspersky, es sei ein privates Unternehmen mit Servern in der Schweiz, sahen die Gerichte nicht als durchgreifende Argumente an. Die russische Regierung sei um eine stärkere Kontrolle des IT-Sektors bemüht und auch Kaspersky könne sich diesem Druck nicht entziehen. Viele Firmen von Kaspersky seien in Russland ansässig, Gesellschafter seien russische Staatsbürger und die Konzernzentrale befinde sich in Moskau.
Weiter habe Kaspersky im Bereich der Cyberkriminalität (auch) mit russischen Behörden zusammengearbeitet. Er habe sich bereits in der Vergangenheit den von der russischen Regierung angestoßenen Maßnahmen zur Kontrolle des Internets gefügt. Es sei zudem wahrscheinlich, dass Russland eine Drohkulisse aufbaue. Bereits 2017 sei ein hochrangiger Mitarbeiter wegen Hochverrats verhaftet und verurteilt worden. Schließlich sei auch die Verlagerung der Sicherheitsinfrastruktur in die Schweiz und weitere vorgetragene Sicherheitsmaßnahmen nicht geeignet, das Risiko schädigender Einflussnahme zu beseitigen. Eine einzige getarnte VPN-Verbindung oder das Einspielen eines schadhaften Codes über einen USB-Stick seien ausreichend, um einen Fernzugriff aus Russland auf die Rechenzentren in Zürich zu ermöglichen.
Die Entscheidung des BVerfG
Gegen die Beschlüsse legte Kaspersky Verfassungsbeschwerde beim BVerfG ein. Das Gericht entschied jedoch mit Beschluss vom 2. Juni 2022 (Az. 1 BvR 1071/22) die Beschwerde nicht zur Entscheidung anzunehmen.
Dies ist ein herber Rückschlag für Kaspersky, zumal „Karlsruhe“ gemeinhin als letzte Möglichkeit für Rechtsschutz gegen den deutschen Staat gesehen wird (wenn man den Europäischen Gerichtshof für Menschenrechte in Straßburg außenvor lässt). Dies ist hier jedoch nur die halbe Wahrheit. Das BVerfG ist nämlich überhaupt nicht in die sachliche Prüfung der Beschwerde eingetreten. Vielmehr hat es Kaspersky lediglich auf den vorrangigen fachgerichtlichen Rechtsschutz verwiesen.
Um dies zu verstehen, muss man zunächst den „Grundsatz der materiellen Subsidiarität“ des Verfassungsrechtsschutzes kennen. Dieser Grundsatz verhindert, dass Betroffene staatlicher Maßnahmen den fachgerichtlichen Instanzenzug „überspringen“, indem sie einen Streit direkt vor das BVerfG bringen. Da das BVerfG aber nicht das einfache Recht auf Sachverhalte anwendet, sondern staatliche Maßnahmen nur auf ihre Vereinbarkeit mit dem Grundgesetz prüft, sollen Streitigkeiten zunächst vor den „sachnäheren“ Fachgerichte verhandelt werden. Erst wenn der normale Rechtsweg erschöpft worden ist und der Betroffene sich immer noch in seinen Grundrechten verletzt sieht, soll er Verfassungsbeschwerde beim BVerfG einlegen können. Nur ganz ausnahmsweise kann eine Beschwerde beim BVerfG direkt eingelegt werden. Dies ist vor allem der Fall, wenn ein zeitaufwendiges Durchschreiten des Instanzenzugs für den Beschwerdeführer unzumutbar wäre.
Kaspersky hat den Rechtsweg noch nicht dadurch erschöpft, dass es einen Antrag auf Eilrechtsschutz beim VG Köln eingelegt hat und gegen die dessen Ablehnung (erfolglos) Beschwerde beim OVG Münster erhoben hat. Im Eilrechtsschutz nimmt ein Gericht gerade keine zeitaufwendige Prüfung des Streitgegenstandes en détail vor. Es beschränkt sich vielmehr auf eine sog. „summarische Prüfung“. Das Gericht nimmt danach keine umfangreiche Beweisaufnahme vor. Sondern es entscheidet auf Grundlage der vorgetragenen und glaubhaft gemachten Umstände.
Zudem geht das Gericht auch bei den rechtlichen Fragestellungen nicht in die gleiche Tiefe, wie es dies bei der Hauptsacheentscheidung tun würde. Es entscheidet folglich auf Grundlage einer nur vorläufigen Einschätzung der Erfolgsaussichten in der Hauptsacheklage. Mangels einer endgültigen fachgerichtlichen Entscheidung hatte Kaspersky den Rechtsweg somit noch nicht erschöpft.
Das BVerfG sah auch keinen Ausnahmefall als gegeben an, der eine vorzeitige Verfassungsbeschwerde erlaubt hätte. Es sei weder aussichtslos noch für Kaspersky unzumutbar zunächst den verwaltungsgerichtlichen Instanzenzug zu erschöpfen, bevor es sich an das BVerfG wende.
Und jetzt?
Die Warnung darf zunächst auf der Website des BSI öffentlich zugänglich bleiben. Kaspersky kann jedoch weiterhin den Rechtsweg beschreiten und gegen die Warnung – nunmehr in der Hauptsache – vorgehen.
Es fragt sich jedoch, wie wahrscheinlich es ist, dass Kaspersky am Ende Erfolg haben wird. Da eine Klage mitunter Jahre in Anspruch nehmen kann und die Eilentscheidung in wenigen Wochen ergangen ist, können die Eilrechtsentscheidung und die Entscheidung in der Hauptsache durchaus auseinanderfallen. Jedoch ist zu beachten, dass es das gleiche Gericht ist, das im Eilrechtsschutz wie in der Hauptsache entscheidet. Zudem hat insbesondere das OVG Münster bereits eine in der Sache umfassend begründete und auch in tatsächlicher Hinsicht gut belegte Entscheidung getroffen. Daher kann man durchaus daran zweifeln, ob eine Hauptsacheentscheidung anders ausfallen wird.
Das BVerfG hat hingegen noch überhaupt keine Entscheidung in der Sache getroffen, sondern lediglich über Zulässigkeitsaspekte entschieden. Es ist darum nicht in gleicher Weise „vorbelastet“ wie das VG Köln oder das OVG Münster.
Gleichzeitig kann man jedenfalls in der Ablehnung der Unzumutbarkeit vorherigen fachgerichtlichen Rechtsschutz eine Tendenz des Gerichts erkennen, dass es in der Warnung jedenfalls keinen schweren Grundrechtseingriff erkennt und darum von einer niedrigen Rechtfertigungsschwelle ausgehen wird. Zudem zeigt die bisherige Verfassungsrechtsprechung, dass amtliche Warnungen und Informationen zumeist als zulässig angesehen werden und das BVerfG lediglich in Fällen klarer Willkür oder Unsachlichkeit einen Verfassungsverstoß annimmt.
Gerade in Ausnahmesituationen, wie der Reaktion auf einen kriegerischen Konflikt, erkennt das BVerfG einen weitgehenden staatlichen Entscheidungsspielraum an. Da das BSI hier eine Vielzahl von Anhaltspunkten benennen kann, die für die Gebotenheit der Warnung sprechen, erscheint der Erfolg einer Verfassungsbeschwerde darum als unwahrscheinlich.