Jüngst haben die renommierten
IT-Sicherheitsexperten Haya Shulman
und Michael Waidner in
der F.A.Z eine Lanze für ein weit gefasstes Verständnis der „Sicherheitslücke“
gebrochen. Denn es macht ja allgemein auch Sinn: Cybersecurity ist eben nicht
nur ein rein technisches Thema, sondern auch geopolitische und strategische Erwägungen müssen im Zeitalter
hybrider Bedrohungen eine Rolle spielen. Cybersicherheit ist mehr denn je ein nicht
nur multidisziplinäres, sondern auch transnationales Thema geworden. Und das
wird auch keineswegs bestritten.
Juristisches Nullsummenspiel: die geopolitische Debatte zur Cybersicherheit
Aufpassen müssen wir jedoch, wenn wir juristisch argumentieren, denn die die Neuinterpretation eines Gesetzes, indem eine extensive Auslegung des Begriffs der Sicherheitslücke betrieben wird, kann schnell erhebliche rechtliche Folgen nach sich ziehen. Die öffentliche Debatte um die IT-Sicherheitslücke hat sich in diesem Jahr an der Warnung des BSI vor Antivirus-Produkten des Herstellers Kaspersky am 15. März erstmals öffentlich entzündet und wird bis heute kontrovers geführt. Auch der Verfasser dieses Beitrags hat sich bislang am Diskurs beteiligt (Background berichtete).
Juristisch gab es bislang leider wenig Klarheit: So sind das VG Köln und das OVG Münster im Eilrechtsschutz der mit der Warnung verbundenen Feststellung des BSI gefolgt, dass die Sicherheitslücke nicht mehr nur rein technisch verstanden werden kann, da Antivirus-Software per se eine Sicherheitslücke darstelle, soweit das notwendige Vertrauen in den Hersteller aufgrund der aktuellen geopolitisch-strategischen Lage zu Russland nicht mehr gewährleistet sei. Die Meinungen hierzu in der Security-Community sind durchaus zwiegespalten: Während einige diese juristische Auffassung befürworteten, gab es aber auch Kritik an der nach wie vor im Raum stehenden Warnung des BSI vor einem russischen Unternehmen.
Wir müssen endlich in das Gesetz schauen!
Was sagt aber das Gesetz? In § 2 Abs. 6 BSIG finden wir eine Legaldefinition des Begriffs der Sicherheitslücke: Diese wird definiert als „Eigenschaft von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion der informationstechnischen Systeme beeinflussen können“. Zwar gibt uns diese recht allgemein gehaltene Definition noch keinen Hinweis darauf, ob eine Sicherheitslücke nur technisch zu verstehen ist, jedoch können wir zur Auslegung ergänzend die Gesetzesbegründung heranziehen. Hier finden sich an verschiedenen Stellen Hinweise, die für eine technisch verstandene Auslegung sprechen, so zum Beispiel:
- „Bei den technischen Befehlen handelt es sich beispielsweise um Programme die dazu dienen, eine Sicherheitslücke zu schließen […].“ (BT-Drs. 19/26106, S. 74)
- „Hierzu kann es erforderlich sein, dass – wenn die IT-Sicherheit durch eine Sicherheitslücke in der verwendeten Hard- oder Software gefährdet wird – der Hersteller des betroffenen Produkts schnell und nachhaltig zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit beiträgt – etwa durch das zeitnahe Bereitstellen eines Sicherheitspatches.“ (BT-Drs. 19/26106, S. 90)
Für dieses technische Verständnis der Sicherheitslücke im BSIG spricht ebenso, dass der Gesetzgeber offenkundig von einer technischen Behebbarkeit ausgeht. Dies haben jedoch sowohl das BSI als auch die im Eilrechtsschutz befassten Gerichte für den Fall Kaspersky verneint, da der Hersteller eben keine geopolitisch-strategische Gefahr abwenden könne.
Doch damit nicht genug: Vergleicht man die BSI Kaspersky-Warnung mit einer vor wenigen Monaten in Verkehr gebrachten Warnung vor technischen Schließprodukten des deutschen Herstellers ABUS, wird sichtbar, dass im Falle von ABUS eine ausschließlich technische Argumentation erfolgt, eventuelle Sicherheitsbedenken gegenüber dem Unternehmen werden nicht dargestellt, obwohl als eine Warnung vor Schwachstellen rechtlich auf dieselbe Rechtsgrundlage in § 7 Abs. 1 S. 1 Nr. 1 lit. a BSIG referenziert wird. Dies legt bei gleicher rechtlicher Ausgangslage den Schluss nahe, dass es sich bei der Warnung vor Kaspersky-Produkten primär um eine Herstellerwarnung und bei der Warnung vor ABUS-Produkten um eine Produktwarnung handelt.
Zulässige Produktwarnung, unzulässige Herstellerwarnung?
Was hat das zur Folge? Bei einer formaljuristischen Auslegung muss man zu dem Schluss gelangen, dass die zur Begründung der Kaspersky-Warnung angeführten ausschließlich geopolitisch-strategischen Umstände gerade keine „Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen“ sind, wie die Legaldefinition der Sicherheitslücke in § 2 Abs. 6 BSIG aber gerade voraussetzt. Die Gesetzesbegründung verweist überdies darauf, dass es sich bei der Sicherheitslücke um eine für den Nutzer eines Programms „unerwünschte Eigenschaft“ handeln muss (BT-Drs. 16/11967, S. 12) – eine Warnung vor geopolitischen Eigenschaften, denen der Hersteller ausgesetzt sein könnte, sind jedoch keine solchen „unerwünschten Eigenschaften“, weil sie sich nicht auf den Willen des Nutzers der Antivirus-Software beziehen, sondern von diesem und damit vom eigentlichen Produkt völlig losgelöste Eigenschaften betreffen. Der Wille des Nutzers bezieht sich ausschließlich darauf, ein funktionierendes Stück Software zu haben, das die in seinem Produktumfang beschriebenen Funktionen erfüllt.
Selbst wenn man dieser juristischen Erwägungen zum Trotz annehmen würde, dass auch geopolitische Eigenschaften geeignet sind, eine Sicherheitslücke zu begründen, so gelangen wir mit Blick auf die BSI-Warnbefugnis nach § 7 BSIG zu widersprüchlichen Ergebnissen: Gewarnt werden kann vor „Sicherheitslücken in informationstechnischen Produkten und Diensten“. Im Hinblick auf die technischen Eigenschaften des Produkts selbst wird jedoch gerade keine IT-sicherheitsrelevante Aussage getroffen, denn für den Fall Kaspersky funktioniert die Antivirus-Software mit ihren beschriebenen und dokumentierten technischen Eigenschaften tadellos. Etwas Anderes wurde bislang auch nicht durch das BSI noch durch die im Eilrechtsschutz befassten Gerichte behauptet.
Versteckte Herstellerwarnungen werden durch die BSI-Warnbefugnis rechtlich nicht gedeckt
Damit kann man zu folgender rechtlicher Feststellung gelangen: Eine geopolitisch verstandene Auslegung der Sicherheitslücke ist einerseits weder vom Gesetzgeber gewünscht gewesen noch rechtlich praktikabel, da sie zu systemimmanenten Wertungswidersprüchen im BSIG führt. Das wiederum hat zur Folge, dass das BSI rechtlich nach § 7 Abs. 1 S. 1 Nr. 1 lit. a BSIG keine Warnbefugnis für geopolitisch verstandene Sicherheitslücken hat, weil diese einer unzulässigen Herstellerwarnung wie im Fall Kaspersky gleichkäme. § 7 BSIG ermöglicht somit nur eine produktbezogene Warnung und die muss eben technisch fundiert sein – wie im Fall ABUS.
Will der Staat hingegen die geopolitische Dimension in seine Betrachtungen explizit einbeziehen, muss er sich auf die sog. „Lex Huawei“ in § 9b BSIG stützen. Hier verweist sogar das Gesetz ausdrücklich auf die mittelbare Kontrolle eines Herstellers durch Regierungen von Drittstaaten als sicherheitspolitisches Problem für nationale Interessen Deutschlands. Doch auch hier gibt es klare Einschränkungen bei der Anwendbarkeit: Die Lex Huawei gilt nur im KRITIS-Umfeld und nicht allgemein und ermöglicht nur die Untersagung des Einsatzes kritischer Komponenten durch das BMI, nicht aber eine allgemeine Herstellerwarnung durch das BSI. Hier müsste somit der Gesetzgeber tätig werden, um eine solche allgemeine Herstellerwarnung zu legitimieren – alles andere wäre rechtswidrig.
Dieser Beitrag erscheint in Kürze als ausführliche rechtliche Analyse in der Zeitschrift „Datenschutz und Datensicherheit“ (DuD) beim Springer-Verlag.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.
In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Dennis-Kenji Kipker erschienen: Innovationsgesetzgebung – bessere Digitalisierung durch mehr Regulierung?!
