Kaspersky Internet Security Version 21.3 gehört aktuell zu den Top-Antivirus-Programmen für Privatanwender, die auf dem deutschen Markt angeboten werden – zumindest, wenn es nach dem AV-TEST-Institut geht, das regelmäßig unabhängige Tests von Antiviren- und Security-Software durchführt. Gänzlich anders sieht es aber das Bundesamt für Sicherheit in der Informationstechnik (BSI), und das ist in Security-Kreisen mittlerweile auch hinlänglich bekannt: Nachdem die deutsche Cybersicherheitsbehörde auf der Rechtsgrundlage des § 7 BSIG infolge des Ukrainekrieges das erste Mal vor den Kaspersky-Produkten warnte, wurde gemeinhin damit begonnen, Anwendungen aus dem Portfolio von Kaspersky durch alternative Produkte zu ersetzen. Der Grund dafür liegt erst einmal nahe: So führte das BSI seinerzeit richtigerweise aus, dass Antivirensoftware nicht nur über weitreichende Systemberechtigungen verfügt, sondern das aktuelle Vorgehen militärischer und nachrichtendienstlicher Kräfte in Russland Risiken für die Cybersicherheit birgt. So weit, so gut.
Nur eine Frage guter Argumentation, denn juristisch ist alles vertretbar?!
Doch welche rechtlichen Voraussetzungen gelten eigentlich im Einzelnen dafür, damit das BSI auf Basis dieser Faktenlage vor einem russischen Unternehmen, das besagte Antivirensoftware herstellt, warnen darf? Der Wortlaut des Gesetzes ist an dieser Stelle eigentlich auch für den juristischen Laien gut verständlich: Gefordert wird, dass „hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik“ von den Produkten oder Diensten ausgehen. Ein Blick in die einschlägige juristische Fachliteratur offenbart dazu: Die tatbestandlichen Voraussetzungen sind eng auszulegen, bedeutet: Es ist eine Sachlage erforderlich, die mit hinreichender Sicherheit zu einer Verletzung der Cybersecurity führt, wenn man das objektiv zu erwartende Geschehen einfach ungehindert ablaufen lassen würde.
Juristisch kann man nun sicherlich vortrefflich darüber streiten, ob mit den aktuellen Erkenntnissen des BSI die Voraussetzungen einer solchen konkreten Warnung erfüllt sind. Zumindest die Gerichte zweifelten bislang die Rechtmäßigkeit der Warnung des BSI nicht an und das Bundesverfassungsgericht verwarf die Verfassungsbeschwerde Kasperskys wegen Unzulässigkeit. Begründung: Es könne Kaspersky zugemutet werden, das Hauptsacheverfahren mit einer eingehenden Prüfung der technischen Sach- und Rechtslage abzuwarten. Zumindest sei nicht feststellbar, dass die Verwaltungsgerichte durch die Art und Weise der Bearbeitung des Antrags auf Erlass einer einstweiligen Anordnung gegen das BSI die Grundrechte von Kaspersky verletzt haben.
Investigativrecherche offenbart erhebliche Missstände im Verwaltungsverfahren
Diese vor einigen Monaten zumindest noch irgendwie vertretbare Ambiguität in der juristischen Wertung der BSI-Warnung vor Kaspersky dürfte sich spätestens mit den jüngsten Ergebnissen einer Investigativrecherche des Bayerischen Rundfunks und des „Spiegel“ erledigt haben (Background berichtete). Denn bekannt wurde durch die Offenlegung der internen Vorgänge für das Zustandekommen der Warnung, dass das BSI zu Beginn selbst inhaltlich keineswegs davon überzeugt gewesen ist, rechtmäßig zu handeln. Der politische Entschluss zu der Warnung hingegen stand von Anfang an fest und so bemühte man sich in immer wieder neuen Abstimmungsrunden, Material zu einer irgendwie juristisch keineswegs wasserdichten Begründung zusammenzusuchen.
Nie wurde dabei ernsthaft in Erwägung gezogen, als milderes Mittel nur allgemein vor IT-Produkten aus Russland zu warnen, oder gar ernsthaft eine Suche nach weiteren russischen IT-Unternehmen angestellt, die ebenfalls vom Ukrainekrieg betroffen sein könnten. Ganz im Gegenteil: Aktiv an das BSI gerichtete Anfragen von Kaspersky im Vorfeld der Warnung, um öffentliche Aufklärung und Transparenz zu schaffen, wurden durch Behördenchef Schönbohm persönlich und bewusst ignoriert, wie das Portal „Golem“ berichtet. Dabei gehört es zu jedem guten und rechtmäßigen Verwaltungshandeln, auch die andere Partei zu hören und ihr Gelegenheit zur Stellungnahme zu geben, bevor ein wie in diesem Falle extrem belastender Verwaltungsakt erlassen wird, der bei jedem kleineren Unternehmen sogar existenzielle Auswirkungen haben könnte. Das macht man so in einem Rechtsstaat. Das BSI hingegen bemühte sich vor allem um eines: die mühselig aus Allgemeinplätzen zusammengezimmerte Warnung schnell in der Öffentlichkeit zu positionieren, um politische Stärke und Handlungsbereitschaft im Namen einer neuen innenpolitischen Direktive der „starken Hand“ zu signalisieren.
Cybersicherheit als innenpolitischer Eintopf
Und da wären wir schon beim entscheidenden Punkt dieses ganzen Fiaskos angelangt: der Politik. Die politische Überformung der Arbeit des BSI durch das Bundesinnenministerium wird von nahezu allen Fachexperten bereits seit Jahren kritisiert – vorläufiger Höhepunkt war die desaströse Bundestagsanhörung zum IT-Sicherheitsgesetz 2.0 im März 2021. Dadurch aber hat man sich nicht beirren lassen und eifrig immer weiter an einer nationalen Cybersicherheitsarchitektur gebaut, die alle möglichen innenpolitischen Themen und Probleme in einen Topf wirft – heraus kommen dabei dann Dokumente wie die sogenannte „Cybersicherheitsagenda“. Dass das BSI selbst und auch nach seinem eigenen Verständnis der Aufgabenwahrnehmung eine „Fach“-Behörde ist, die nach § 1 BSIG selbstredend auf der Grundlage „wissenschaftlich-technischer“ Erkenntnisse arbeiten soll, kann im politischen Eifer aus Berlin schonmal schnell in Vergessenheit geraten.
Dem BSI kann man vielleicht nicht einmal einen Vorwurf machen
Wenn man also einen eingehenderen Blick auf den gegenwärtigen Status der deutschen Cybersicherheitsarchitektur wirft, die von politischen Akteuren nur so durchzogen ist, kann man dem BSI vielleicht sogar noch nicht einmal einen Vorwurf machen, wenn es sich vor allem von politischen, aber nicht von fundierten sachlichen Erkenntnissen hat leiten lassen, um eine öffentliche Warnung vor einem konkreten Unternehmen auszusprechen. Vielleicht spielt es dann auch gar keine Rolle mehr, ob man mit diesem angelegten, rein politischen Maßstab konsequenterweise auch vor anderen Unternehmen schon vor Monaten hätte warnen müssen – und das nicht nur aus Russland, sondern insbesondere auch aus der Volksrepublik China, Israel oder den USA.
Eines jedenfalls steht jenseits aller juristischen Details fest: Der Ruf des BSI als in der Vergangenheit immer propagierte unabhängige deutsche Fachbehörde zur Cybersicherheit hat durch die Warnung gelitten, die Glaubwürdigkeit wurde durch blinden politischen Aktionismus angekratzt. Dennoch brauchen wir die an sich ja vorhandene geballte technische und fachliche Kompetenz der Behörde – und das mehr denn je. Um weiteren Schaden zu vermeiden, lässt sogar das Gesetz dem BSI einen Ausweg offen: Nach § 7 Abs. 2 S. 2 BSIG ist unverzüglich öffentlich bekannt zu machen, wenn sich die im Zuge der Warnung herausgegebenen Informationen und Umstände als unzutreffend herausstellen.
Mittelfristig sollte man in der deutschen Innenpolitik dann vielleicht einmal darüber nachdenken, eine technische Fachbehörde auch ihren Fachjob machen zu lassen und sie nicht zu einem verkappten innenpolitischen Sprachrohr zu degradieren.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht in Bremen und Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.
In unserer Reihe Perspektiven ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Kipker erschienen: Innovationsgesetzgebung – bessere Digitalisierung durch mehr Regulierung?!
