21. März 2022
BSI: Warnung vor Produkten von Kaspersky
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seit dem 15. März 2022 vor dem Einsatz der Software von Kaspersky (Marktanteil wohl um die 10 %) – die von dem Unternehmen stammende Software solle ersetzt werden. Das BSI nutzt damit die ihm zugedachte Rolle, die Öffentlichkeit in Sachen IT-Sicherheit von Produkten zu warnen und zu informieren. Nicht geregelt ist allerdings, wie Verantwortliche mit den Informationen umgehen sollen.
Im Einzelnen:
Die Warnung des BSI und die Reaktion von Kaspersky
Auch ohne Nachweis einer konkreten Bedrohung durch Produkte des Herstellers Kaspersky rät das BSI von einer Verwendung ab. Wegen der weitreichenden Rechte, die die vom Unternehmen vertriebene Antivirensoftware habe, könne die Software auch für Angriffe genutzt werden, so das BSI. Angriffe durch Manipulation der Software oder der bei Kaspersky gespeicherten Daten könnten auf Druck von russischen Behörden auch gegen den Willen des Herstellers erfolgen, daher bestünden Zweifel an der Zuverlässigkeit von Kaspersky. Die Warnung, die das BSI aufgrund des § 7 BSIG erlassen hat, ist auf der Seite des BSI abrufbar(Warnung, Pressemitteilung). Welche Ermächtigungsgrundlage genau zum Einsatz gekommen ist, ist unklar. In Betracht kommt nach dem Wortlaut der Norm nur § 7 Abs. 1 Satz 1 lit. c BSIG, also eine „Warnungen bei einem Verlust oder einem unerlaubten Zugriff auf Daten“. Zu denken wäre zwar auch an „Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten“ nach § 7 Abs. 1 Satz 1 lit. d BSIG, aber die Meldung ist ausdrücklich als „Warnung“ bezeichnet.
Dass Kaspersky nach eigenen Angaben seine Server schon 2020 in die Schweiz ausgelagert hat, wird in der Stellungnahme des BSI nicht erwähnt. Kaspersky bemängelt dies in seiner Erwiderung auf die Warnung des BSI auch: Seit 2020 würden die von den Kunden eingesandten Daten in Rechenzentren außerhalb Russlands verarbeitet. In einem E-Mail-Austausch rügt das Unternehmen weiter, dass das BSI Gesprächsangebote nicht angenommen habe. Weiter ist man Kaspersky der Meinung, dass die Beteiligungsgesellschaft, die die Eigentümerin der der Unternehmen sei, die zur Kaspersky-Gruppe gehören, ihren Sitz in London habe und es sich bei Kaspersky also gar nicht um ein russisches Unternehmen handele. Außerdem habe man ein neues Audit der Software in Auftrag gegeben, dessen Ergebnis im Mai 2022 vorliegen werde. Schließlich verweist Kaspersky darauf, dass es am Abend des 21. März 2022 einstweiligen Rechtsschutz vor dem VG Köln gesucht habe.
Zum vollständigen Bild gehört auch, dass IT-Sicherheitsbehörden anderer EU-Länder offenbar keine derartige Warnung ausgesprochen haben. Wobei in diesen Ländern die Aufgaben der jeweiligen Behörden bzgl. öffentlicher Warnungen eine andere sein mag als in Deutschland. Geäußert haben sich die IT Sicherheitsbehörden Frankreichs (abgerufen am 24. März 2022) , Italiens (abgerufen am 24. März 2022), der Schweiz (abgerufen am 24. März 2022), der Niederlande (abgerufen am 24. März 2022) und Belgiens (abgerufen am 24. März 2022). In den Niederlanden scheinen ausweislich des verlinkten Artikels allerdings die öffentlichen Stellen schon seit 2018 auf eine Nutzung von Kaspersky-Produkten zu verzichten. Die schweizerische Behörde wiederum verweist darauf, dass Staaten Einfluss auf die Entwicklung und Manipulation von Softwareprodukten nehmen können.
Rechtliche Gesichtspunkte
Entscheidend an der Warnung ist die vom BSI behauptete Möglichkeiten zur Gefährdung der Endgeräte, auf denen sich installierte Instanzen der Kaspersky-Software befinden. Zu den Cloud-Diensten, die Kaspersky nennt, müsste geprüft werden, ob die Niederlassung in Russland auf die Daten Zugriff haben kann. Entscheidend ist auch die Rolle der Niederlassung Moskau im Unternehmen: Sollten dort – am Wohnsitz des Unternehmensgründers – die wesentlichen wirtschaftlichen Entscheidungen getroffen werden und legt man im Schrems-II-Urteil entwickelten Grundsätze zugrunde, dann müsste die Datenübermittlung besonders sorgfältig geprüft werden – es könnte für eine Drittlandsübermittlung nämlich ausreichen, dass die Niederlassung in Russland technisch oder rechtlich in die Daten Einsicht nehmen kann (vgl. dazu, dass Russland kein sicheres Drittland für Datentransfers ist, diese Veröffentlichung. Es stellt sich des Weiteren die Frage, ob ein durch Kaspersky-Software gesichertes System – trotz der vor dem Krieg erteilten ISO-Zertifizierung – weiter Art. 32 DSGVO entspricht, wenn aufgrund der russischen Verhältnisse die Möglichkeit besteht, dass die Niederlassung in Moskau die Software nachteilig verändern kann. Datenschutzrecht soll hier aber nicht weiter betrachtet werden.
Ungeachtet dessen stellt sich nämlich die Frage, ob mit Blick auf einen eventuellen Angriff über diesen Vektor in der Zukunft die – weiterhin erlaubte - Nutzung von Kaspersky-Software nach der Warnung mit der Sorgfalt zu vereinbaren ist, die das deutsche Recht (vgl. insb. § 43 Abs. 1 GmbHG, § 93 Abs. 1 Satz 1 AktG) an die verantwortlichen Leitungsorgane anlegt. Soweit ersichtlich liegt keine Gerichtsentscheidung vor, die die Entscheidung gegen eine Umsetzung behördlicher Warnungen aus dem IT-Sicherheitsrecht anderen Rechtsgebieten als Sorgfaltspflichtverletzung betrachtet hat. Allerdings muss ein Geschäftsführer einer GmbH berücksichtigen, ob die Gesellschafter geneigt wären, der Warnung des BSI zu folgen und muss von diesen eine Entscheidung einholen (vgl. MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 74, 75).
Weiter ist die Beweislastverteilung in den Blick zu nehmen. Vorstände einer AG trifft gem. § 93 Abs. 2 Satz 2 AktG die Beweislast dafür, dass ihre Handlungen oder Unterlassungen der Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters entsprochen haben (vgl. MüKoAktG/Spindler, 5. Aufl. 2019, AktG § 93 Rn. 203-214); für Geschäftsführer einer GmbH gilt die Norm entsprechend (vgl. MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 270-274a). Hierzu wird im Schadensfall insbesondere der Nachweis zu führen sein, dass eine angemessene Informationsgrundlage geschaffen worden ist (vgl. MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 84-85b, MüKoAktG/Spindler, 5. Aufl. 2019, AktG § 93 Rn. 55-62). Hier ist zu beachten, dass dem BSI Neutralität und Sachkunde unterstellt werden können und die Warnung plausibel erscheint; daher dürfte deren Befolgung keinen Sorgfaltsverstoß begründen (vgl. MüKoGmbHG/Fleischer, 3. Aufl. 2019, GmbHG § 43 Rn. 259, MüKoAktG/Spindler, 5. Aufl. 2019, AktG § 93 Rn. 92, 96): Insbesondere wenn sich nicht ausschließen lassen sollte, dass von der Niederlassung Moskau aus Manipulationen an der Software initiiert werden, kann ein derartiges Risiko nicht außer Acht gelassen werden. Des Weiteren hat der Krieg bereits erwiesen, dass russische Cyber-Angriffe betroffene Systeme Monate vor dem Angriff mit Maleware kompromittieren können. Die zitierten Stellungnahmen der anderen Aufsichtsbehörden können zwar ebenfalls in die Abwägung eingestellt werden. Dabei sollte aber beachtet werden, ob diese Behörden überhaupt befugt sind, Warnungen auszusprechen und die Möglichkeit eines künftigen Zugriffs aus Moskau aus nicht ausschließen. In die Abwägung müsste auch einfließen, dass ein Wechsel der Antivirensoftware insbesondere in größeren Unternehmen etwas Zeit in Anspruch nehmen dürfte. Sollten die Kaspersky-Produkte weiter im Einsatz bleiben, ist derzeit jedenfalls dazu zu raten, die Entscheidung dafür, der Warnung des BSI nicht zu folgen, gut zu dokumentieren.
In diesem Zusammenhang ist weiter zu erwähnen und zu beachten, dass Anbieter von Cyber-Versicherungen offenbar vermehrt prüfen, ob sie im Fall eines russischen Cyberangriffs die Leistungen verweigern dürfen. Daneben steht die Anpassung von Versicherungsbedingungen im Raum. Es könnte daher sein, dass im Fall eines Angriffs kein Versicherungsschutz besteht. Im Übrigen könnte es aufgrund der geltenden Sanktionen im Fall eines Ransomware-Angriffs derzeit nach dem Außenwirtschaftsgesetz sogar bei Strafe verboten sein, das Lösegeld zu bezahlen. Daten wären dann verloren. Das Thema „Versicherungsschutz“ wird auf unserer Homepage an anderer Stelle vertieft behandelt.
Welchen Mehrwert kann Taylor Wessing hierbei bieten?
Wir verfügen über die rechtliche Expertise und Erfahrung in Bezug auf das IT-Sicherheits-, das Datenschutzrecht sowie die anderen hier angesprochenen Rechtsgebiete. Dabei beraten wir namhafte Unternehmen.
