[English]Das Oberverwaltungsgericht in Münster hat am 28. April 2022 über die Beschwerde der in Deutschland ansässigen Dependance des Unternehmens aus der russischen Kaspersky-Gruppe gegen das erstinstanzliche Urteil des Landgerichts Köln geurteilt. Die Beschwerde, wurde abgewiesen und das frühere Urteil des Landgerichts Köln bestätigt. Dieses hatte dem BSI bescheinigt, dass die Behörde vor Virenschutzsoftware von Kaspersky warnen durfte.
Anzeige
Die Vorgeschichte
Angesichts des russischen Einmarschs in die Ukraine und durch die anhaltenden Kriegshandlungen steht auch die Frage im Raum, ob Software von russischen Unternehmen in Deutschland – speziell im Bereich Computersicherheit – eingesetzt werden soll. Nach Bewertung der Lage kam zum 15. März 2022 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) die Warnung vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Das BSI empfahl, Anwendungen aus dem Portfolio von Virenschutzsoftware des Unternehmens Kaspersky durch alternative Produkte zu ersetzen. Ich hatte das im Blog-Beitrag Das BSI warnt nun vor dem Einsatz von Kaspersky-Virenschutzprodukten angesprochen. Unter dem Strich ist das eine politische Entscheidung, die aber begründet wurde.
(Quelle: Pexels CC0 Lizenz)
Ein in Deutschland ansässiges Unternehmen der russischen Kaspersky-Gruppe (das müsste die Kaspersky Labs GmbH in Ingolstadt sein) hatte zum 21. März 2022 beim Verwaltungsgericht Köln den Erlass einer einstweiligen Anordnung auf Unterlassung und Widerruf der BSI-Warnung beantragt. Am Freitag, den 1. April 2022, haben die Richter des Verwaltungsgerichts in Köln aber diesen Eilantrag abgewiesen (Az.: 1 L 466/22). Gegen diesen Beschluss war eine Beschwerde zugelassen.
Kaspersky legt Beschwerde vor dem OLG ein
Gegen diesen Beschluss (v. 01.04.2022, Az. 1 L 466/22) war aber eine Beschwerde zugelassen. Diese hat die deutsche Dependance von Kaspersky dann vor dem Oberlandesgericht (OVG) in Münster eingereicht. Der 4. Senat des OVG hat in dem am 28. April 2022 verkündeten Beschluss die Beschwerde von Kaspersky abgewiesen. Die Richter haben die Beschwerde der deutschen Tochtergesellschaft von Kaspersky gegen den Eilbeschluss des Verwaltungsgerichts Köln vom 1.4.2022 abgelehnt. Der 4. Senat urteilte, dass die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor der Nutzung von Virenschutzsoftware des Unternehmens Kaspersky ist rechtmäßig sei und begründeten dies laut dieser Mitteilung so:
Das BSI hat die Entscheidung, die Warnung herauszugeben, ermessensfehlerfrei getroffen und dabei insbesondere den Grundsatz der Verhältnismäßigkeit gewahrt. Die Warnung ist nicht aufgrund sachfremder Erwägungen oder gar willkürlich herausgegeben worden.
Insbesondere war sie nicht politisch motiviert und stellt keine reine Symbolpolitik dar. Angesichts der aufgezeigten Bedrohungslage dient sie allein dazu, das Risiko von Angriffsmöglichkeiten auf die Sicherheit in der Informationstechnik zu reduzieren. Hierzu war sie geeignet und erforderlich.
Mit der Warnung erhöht das BSI signifikant das Bewusstsein für potentiell mögliche Gefahren, die sich aus dem Einsatz der Virenschutzprogramme von Kaspersky aktuell ergeben und empfiehlt nach individueller Risikobewertung einen Ersatz durch alternative Produkte. Zugleich hat es die Warnung unter Beachtung des Zurückhaltungsgebots formuliert und auf das Erforderliche beschränkt.
Der Beschluss (Aktenzeichen: 4 B 473/22) ist unanfechtbar.
Ähnliche Artikel:
Sind Kaspersky & Co. als Sicherheitslösungen noch einsetzbar?
Das BSI warnt nun vor dem Einsatz von Kaspersky-Virenschutzprodukten
Kaspersky-Einsatz in Deutschland – das BSI schweigt
Kaspersky in US-Behörden endgültig verboten
Kaspersky kommt auf US-FCC-Liste und fliegt aus dem HackerOne Bug-Bounty-Programm
USA: Sanktionen gegen Kaspersky könnte Cyberrisiko aus Russland erhöhen
VG Köln: BSI darf zu Recht vor dem Einsatz von Kaspersky-Virenschutz warnen
2015
Wo war die Warnung des BSI nicht politisch? Für mich nur! Kasperskys Mutter sitzt in Russland. Sollte K. sich gegen eine Weisung aus Moskau sträuben, rückt dort dessen SWAT ein, übernimmt die Zentrale und tauscht alle regimeunfreundlichen Mitarbeiter aus.
Insofern verstehe ich auch die vielen Kritiker aus dem heiseversum, die das BSI fragen, warum es mit Microsoft so freundlich umgeht. Donald T. ist noch unberechenbarer als Putin und seine Chancen auf eine zweite Amtszeit stehen nicht schlecht. Darum kann für mich die Warnung des BSI nur politisch motiviert sein. Klärt mich auf.
Grüße
Sie meinen das im Ernst? Erstens ist Trump Pensionär in Florida und nicht an den Schalthebeln der Macht, zweitens unterliegt auch Trump dem Rechtsstaatsprinzip der US-Justiz und kann im Gegensatz zu Putins Behörden nicht willkürlich Recht beugen, drittens, selbst wenn es so wäre, das Ausmaß und die potentielle Bedrohung für deutsche Versorgungsbetriebe der Kritischen Infrastruktur und somit für den deutschen Staat und die deutsche Gesellschaft ist mitnichten zu vergleichen zwischen "russischen" Zugriffen auf die EDV und "amerikanischen". Nicht die Amerikaner haben die Erweiterung ihres Territoriums mit kriegerischen Mitteln angekündigt sondern Putin hat das. Putin und Medwedew drohen notorisch mit Atomwaffen, nicht Biden. Die Qualität der konkreten Bedrohung unserer Wirtschaft und unseres freiheitlichen Staatswesens ist eine gänzlich andere.
Kann dem nur voll und ganz zustimmen; leider sind Putins Trolls überall…
An Wil Ballerstedt: Danke, 1+.
Die 'US-Trolle' in diesem Thread haben sich erkennbar nicht mit einschlägigen Rechtsnormen, wie u. a. dem amerikanischen HSA oder dem Römischen Statut des Internationalen Strafgerichtshofs befasst. Auch die USA und ihre Organe können auf aussenpolitischem Parkett de facto tun und lassen was sie wollen, sei es, weil sie internationalen Verträgen nicht beitraten oder in nationalen Gesetzen weitreichende Rechtfertigungsgründe für die Ausserkraftsetzung der Grundrechte von Ausländern schufen. Ich finde es schon ziemlich degoutant angesichts /1/, /2/ und weiterer Quellen, Sätze abzusondern wie "unterliegt auch [ein amerikanischer Präsident] dem Rechtsstaatsprinzip der US-Justiz und kann … nicht willkürlich Recht beugen".
Zur Sicherheitsdoktrin Deutschlands sollte gehören: Wir wollen keine 'Ausländer' in unseren Netzen; weder Russen noch Amerikaner noch sonst jemanden.
/1/
https://de.wikipedia.org/wiki/Irakkrieg#V%C3%B6lkerrechtliche_Einsch%C3%A4tzungen_und_Kriegsverbrechen
/2/
https://de.wikipedia.org/wiki/Gefangenenlager_der_Guantanamo_Bay_Naval_Base#Rechtslage_der_Gefangenen
Der Kölner Rechtsanwalt Christian Solmecke erklärte vor drei Wochen die rechtlichen Hintergründe des ersten Urteils vom Landgericht Köln:
https://www.youtube.com/watch?v=y48PAOWqdGs
Wenn man die juristischen Hintergründe betrachtet, ist auch das zweite Urteil vom Oberlandesgericht durchaus nachvollziehbar.
Es handelt sich hier nur um eine juristischen Bewertung und nicht um eine fachliche Beurteilung aus Sicht der IT-Sicherheit.
Vielleicht äußert sich Herr Solmecke in seinem Youtube-Kanal in den nächsten Tagen erneut zum Vorgang.
Lies bitte den vorhergehenden Kommentar mit dem Verweis auf die juristische Einschätzung von Solmecke. Ich habe keine Probleme damit, dass Du den Sachverhalt anders siehst. Was mir nicht gefällt, sind Vergleiche, die auf die unseelige deutsche Vergangenheit zielen. Ich habe den Text daher in Teilen zensiert – andernfalls hätte ich den gesamten Kommentar löschen müssen.
Hallo Günter, dann lösche bitte den kompletten Beitrag. Das Verändern von Zitaten geht nunmal gar nicht, ohne vorher gefragt zu haben. Du musst wissen, was Du in den Kommentaren haben willst oder nicht. Dann aber bitte ganz oder gar nicht. Danke.
Beitrag ist wunschgemäß komplett gelöscht
Was schreibst du für einen Unsinn!?
Ich sehe leider nurmehr den teils zensierten Beitrag, aber der alleine ist Schwachsinn genug. Die Zunahme von Idioten auf der Welt ist haarsträubend
Das BSI warnt vor einer bestimmten Software, auf die polit. Einfluss genommen werden könnte, mit möglichen Folgen für die Nutzer im Zuständigkeitsbereich des BSI.
Soweit völlig klar und nachvollziehbar. Dafür ist das BSI da.
Warum das BSI nicht auch vor anderer Software warnt, auf die anderswo polit. Einfluss genommen werden könnte, das ist eine absolut wichtige und völlig berechtigte andere Frage, die so öffentlichkeitswirksam wie nur möglich diskutiert werden müsste. Gerade wenn andere Software viel alternativloser ist als irgendein optionaler Virenscanner.
Wenn man für solche Hinweise dann z.B. als Putintroll bezeichnet wird, dann ist das bezeichnend für den Bezeichner, aber natürlich Unsinn.
Gegen eine Diskussion als solches hier im Blog habe ich nichts. Und es kann auch über die Verwendung anderer Software diskutiert werden. Man kann eine Meinung sauber begründen, sollte dann die Kirche aber im Dorf lassen. Wo ich aber inzwischen rigoros eingreife:
– Wenn Positionen der russischen Regierung bezüglich des Kriegs gegen die Ukraine hier eingestellt werden.
– Wenn Kommentare kommen, die Sachverhalte aus der Nazi-Zeit als Vergleich zur obigen Entscheidung heranziehen.
Beides geht gar nicht. Was ich inzwischen – unabhängig von der Diskussion hier – rigoros lösche, sind anonyme Kommentare, die erkennbar nichts zur Thematik eines Blog-Beitrags oder Vor-Kommentars beitragen und lediglich Stimmung machen sollen.
Den Kommentar eines Lesers, der zu Diskussionen führte und von mir teil-zensiert wurde, ist inzwischen auf Wunsch des Verfassers komplett gelöscht worden.
Sehr gute, klare und saubere Einstellung! Vielen Dank für Ihre erstklassige Moderationsarbeit. Die Grenzen eines jeden Beitrags sollten natürlich immer zuerst geltendes Recht und Gesetz sein. Danach ob der Beitrag nicht grob am Thema vorbei geht – auch wenn er sich an Recht und Gesetz hält. Der schwierigste Punkt dürfte der sein, Meinungen zu löschen, die einfach grundlegend gegen Positionen "verstoßen", über die man sich zwar theoretisch streiten könnte (!), aber sich ein Diskurs einfach aus diversen historischen und aktuellen Zusammenhängen trotzdem generell verbietet:
>> Der Überfall auf die Ukraine lässt sich einfach durch absolut nichts rechtfertigen, da dieser einfach ein lupenreines Verbrechen in gleich mehrfacher Hinsicht darstellt. Somit schließt sich eine Pro-/Contra-Diskussion von vornherein aus.
>> Die deutsche Vergangenheit von 1933 – 1945 ist ein einmaliges und mit nichts anderem zu vergleichenden Verbrechen gewesen – somit verbieten sich auch hier von vornherein irgendwelche Vergleiche, oder Diskussionen. Der einzige zulässige Vergleich dürfte wohl der damalige/heutige Beginn des gesamten Horrors sein – nämlich ein zu 100 % verbrecherischer Überfall eines anderen Landes. Und evtl. noch die erschreckend parallele(n) Richtung(en) nach (!) dem Überfall wie sich alles damals und heute entwickelt hat und im Moment am entwickeln ist.
(Das ist auch genau der Punkt, der mir persönlich an dem ganzen Desaster im Moment am meisten Bauchschmerzen verursacht …)
Betr. "Die deutsche Vergangenheit von 1933 – 1945 ist ein einmaliges und mit nichts anderem zu vergleichenden Verbrechen gewesen – somit verbieten sich auch hier von vornherein irgendwelche Vergleiche, oder Diskussionen.":
Nö. Dass Vergleiche oder Diskussionen statthaft, ja notwendig sind, hat schon in den 80ern der https://de.wikipedia.org/wiki/Historikerstreit vor Augen geführt.
Könnt ihr da ja gerne zitieren. Nur ich will solche Vergleiche hier nicht haben – speziell, wenn es um den oben genannten Sachverhalt geht. Daher lösche ich solche Kommentare – Punkt!
Irgendwie komme ich aus dem Kopfschütteln nicht mehr raus. Was so mancher hier loslässt findet bei mir wenig bis kein Verständnis. Warum meinen manche diese Warnung politisieren zu müssen? Dabei reicht schon etwas Logik und gesunder Menschenverstand.
Die Währung in der Sicherheitsbranche ist Vertrauen.
Kann man einem Anbieter von Sicherheitssoftware vertrauen, wenn sein Heimatland Krieg führt und in diesem Zusammenhang auch Angriffe übers Netz durchführt? Einem Anbieter der im Zweifelsfall verpflichtet ist die Befehle aus seinem Heimatland umzusetzen?
Es gibt da Begriffe wie Sorgfaltspflicht, kennt jeder der Verantwortung zu tragen hat. In politische Untiefen braucht man sich da nun wirklich nicht versteigen.
> Kann man einem Anbieter von Sicherheitssoftware vertrauen, … ? Einem Anbieter der im Zweifelsfall verpflichtet ist die Befehle aus seinem Heimatland umzusetzen?
Leseempfehlung:
https://de.wikipedia.org/wiki/National_Security_Letter
mit "Geheimhaltungsanordnung, die es dem Empfänger verbietet, über den Inhalt oder auch nur den Erhalt eines National Security Letter zu sprechen"
https://de.wikipedia.org/wiki/USA_PATRIOT_Act
v.a. Unterpunkt "Auswirkungen auf den Schutz personenbezogener Daten und geistigen Eigentums"
Kurz: Nein. Man kann niemandem vertrauen. Nie. Nirgends. Wer trotzdem vertraut, ist naiv.
Klar die Seiten kenne ich – danke. Grundsätzlich ist alles kritisch zu beurteilen. Nicht nur im Netz wird der Sicherheitsfrage immer wieder nachgegangen, jeder kann sich seine Meinung bilden.
Absolute Sicherheit ist jedoch nicht möglich, auch für den Bereich OpenSource trifft das zu – oder wer schaut sich schon den Quelltext des Kernel an und versteht alles.
Jedoch sehe ich durchaus einen Unterschied zwischen Unsicherheiten weil bestimmte Dienste an Daten kommen könnten die diese garnichts angehen, man sollte meinen, die dort auch nicht von Interesse sind und von Leuten die anderen Raketen hinterher schießen und die IT in anderen Lädern mindestens stören wollen.
Deine Argumentation weitergedacht dürfte man also garnichts einsetzen, einen Abacus vielleicht, aber da bitte vorher die Vorhänge zuziehen.
> dürfte man also garnichts einsetzen
Doch, einfach ausschliesslich Anbieter aus dem von Dir zitierten "Heimatland".
Und wenn es da keine gibt, muss man als "Heimatland" eben die entspr. Rahmenbedingungen schaffen, dass es da welche geben kann.
Und dazu vor diesem grundsätzlichen Problem externer Abhängigkeiten laut und deutlich und immer wieder und dann nochmal und wieder weiter warnen, denn durch den allgegenwärtigen Cloud-Wahn nehmen die Risiken, denen man sich als naiver Vertrauender aussetzt tagtäglich immer weiter zu.
Die BSI Warnung vor Kaspersky war ein guter Anfang. Jetzt einfach weiterdenken.
Und wo gibt es dieses deutsche "Fenster 10" Betriebssysten?
@Blupp:
Das mit dem Kopfschütteln habe ich schon geraume Zeit!
Ja klar kann man vor Software aus Russland warnen. Eben weil sie laut div. Tageszeitungen aktiv Cyberkrieg betreiben.
Aber vermutlich bin ich da so ein Gerechtigkeitstyp. Warum die einen bestrafen und sanktionieren? Und die anderen in den Himmel loben? Ja klar sind wir in Europa auf die Gnade der USA angewiesen! […] Somit ist es für mich eine politisch motivierte Empfehlung.
Übrigens hat Gysi mal den Konflikt zwischen Russland vs. USA & Ukraine beleuchtet. https://www.youtube.com/watch?v=jbsn-w6AJ8w
Ich fand die Erläuterung interessant!
Es ist alles politisch so gewollt. Zumindest sehe ich es so.
Es wird vermutlich auch nicht mehr lange dauern, bis man lieber seine Klappe hält. Wer weiß, wer dann an die Tür klopf und man gefragt wird, auf welcher Seite man den eigentlich steht…
Na schön. Dann dürfen sie halt höchstrichterlich genehmigt warnen. Nur:
– Muss man alles machen, was man darf?
– Macht das Urteil die Warnung fachlich richtiger?
– Waum wird nicht auch vor "Virus Total" gewarnt?
(s. aktuelles CT_Magazin)
Irgendwie riecht das schon nach Interessen- oder besser Zeitgeistgelenkt. Man wollte eben auch auf den fahrenden Zug aufspringen und grundsätzlich alles, was aus Russland kommt, ganz schlimm finden.
Mag sich jeder selbst seinen Teil dazu denken.
Freundliche Grüße P.B.
Betr. "– Waum wird nicht auch vor "Virus Total" gewarnt? (s. aktuelles CT_Magazin)":
Was genau meinen Sie? Etwa https://www.heise.de/news/Einbrecher-fuehren-eigenen-Code-auf-Googles-Virustotal-Servern-aus-7065048.html? Oder geht es um grundlegende Bedenken gegen die Nutzung von VirusTotal? Würde mich interessieren.
Ich habe die Kommentierung für den Artikel deaktiviert, da die letzten Kommentare erkennbar wenig zum Erkenntnisgewinn zu obigem Urteil beitragen, sondern sich deutlich in andere Gefilde bewegten. Einige Kommentare habe ich dann auch gelöscht.
Ich habe inzwischen nur noch die Option, entweder a) bestimmte Themen hier im Blog entfallen zu lassen, b) die Kommentierung zu deaktivieren oder c) rigoros zu moderieren. Schade, vielleicht doch langsam Zeit, nachzudenken, wie lange ich den Blog hier noch weiter laufen lassen will.