Erfolglose Verfassungsbeschwerde: Kaspersky verliert in Karlsruhe

Karlsruhe taz | Deutsche Behörden dürfen weiter vor der Antiviren-Software von Kaspersky warnen, dass diese von russischen Geheimdiensten missbraucht werden könnten. Das Bundesverfassungsgericht lehnte jetzt eine Verfassungsbeschwerde von Kaspersky ab, weil das Unternehmen den Rechtsweg noch nicht ausgeschöpft habe.

Kaspersky bezeichnet sich selbst als „weltweit führenden Anbieter von Cybersicherheit“. Die Virenschutz-Software von Kaspersky läuft auch in Deutschland auf Millionen Computern von Privatpersonen und Unternehmen. Der Marktanteil wird auf zehn Prozent geschätzt. Es war deshalb ein harter Schlag, als das Bundesamt für die Sicherheit in der Informationstechnik (BSI) Mitte März mit Blick auf den Ukraine-Krieg vor Kaspersky warnte. „Virenschutzsoftware des Unternehmens Kaspersky sollte durch alternative Produkte ersetzt werden“, hieß es in aller Deutlichkeit.

Dagegen klagte Kaspersky. Man sei ein privates Unternehmen und völlig unabhängig vom russischen Staat. Der Sitz sei inzwischen in London und die Rechenzentren von Kaspersky arbeiteten in Zürich. Man gebe Einsicht in den Quellcode der eigenen Software und sei zu jeder Kooperation mit dem BSI bereit. Doch sowohl das Verwaltungsgericht Köln als auch das Oberverwaltungsgericht (OVG) Münster lehnten im April die Eilanträge von Kaspersky ab.

Es bestünden „hinreichende Anhaltspunkte“ für die Gefahr, dass die russische Regierung russische Softwareunternehmen zur Durchführung eines Cyberangriffs auf westliche Ziele instrumentalisieren wird. Russland rechne Deutschland zu den „unfreundlichen Staaten“. Eine Virenschutz-Software, so das OVG, könne wirkungsvoll für Sabotage-Aktionen missbraucht werden, weil sie aufgrund ihrer Funktionsweise tiefen Zugriff auf die eigentlich zu schützenden Computer habe.

Deutschland auch im Fokus russischer Cyber-Attacken

Wegen der ständigen Updates könnten der Virenschutz-Software jederzeit neue Funktionen hinzugefügt werden, ohne dass die Anwender dies merken. Da Russland bei seinem Angriffskrieg gegen die Ukraine auch Cyber-Attacken ausführt, hielt es das OVG für plausibel, dass solche Angriffe auch gegen Staaten gerichtet werden, die wie Deutschland die Ukraine unterstützen. Besonders gefährdet seien Unternehmen und Einrichtungen aus den Bereichen Energie, Telekommunikation, Transport, Finanzen, Medien und Rüstung.

Dabei könne gerade auch Kaspersky von russischen Stellen für Cyber-Angriffe missbraucht werden. Die operative Konzernzentrale sei nach wie vor in Moskau, so das OVG, dort arbeiteten rund 2.000 Beschäftigte, auch führende Entwickler, für Kaspersky. Es sei bekannt, dass Russland dortige Unternehmen durch Drohungen und Verhaftungen von Mitarbeitern unter Druck setzen könne. Außerdem sei es technisch durchaus möglich, von der Moskauer Zentrale auf die Kaspersky-Rechenzentren in der Schweiz zuzugreifen.

Gegen diese Eil-Entscheidung des OVG Münster hatte Kaspersky sofort in Karlsruhe Verfassungsbeschwerde eingelegt, verbunden mit einem Eil-Antrag. Deshalb kam nun auch die Ablehnung des Bundesverfassungsgerichts relativ schnell. Kaspersky müsse vor dem Gang nach Karlsruhe erst das Hauptsache-Verfahren bei den Verwaltungsgerichten vollständig durchlaufen, so die Karlsruher Begründung.Gerade in einem komplexen Fall wie diesem sei es wichtig, dass das Bundesverfassungsgericht auf der Grundlage eines rechtlich und technisch weitgehend aufgeklärten Sachverhalts entscheiden kann. Dies könnte zwar Jahre dauern, doch das sei Kaspersky zuzumuten. Das Unternehmen habe nicht dargelegt, dass ihm irreparable Schäden drohen und zum bisherigen Umsatzrückgang widersprüchliche Angaben gemacht.