Rechtsstaatlichkeit in geopolitisch schwierigen Zeiten: Gelten andere Prinzipien? – Ein Fallbeispiel.

Sind rechtsstaatliche Prinzipien in geopolitisch schwierigen Zeiten, etwa angesichts des Krieges in der Ukraine, weniger wichtig? Sind in solchen Zeiten politische Zielsetzungen bedeutender als das Rechtsstaatsprinzip des Grundgesetzes der Bundesrepublik Deutschland? Am Beispiel des Handelns des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit Blick auf die Aufrechterhaltung der Warnung gegen Kaspersky Virenschutzsoftware möchte ich dieser Frage nachgegen.

Ausgangsthese

Wenn ein Produkt wie die Kaspersky Virenschutzsoftware über mehr als vier Jahre in Deutschland, Europa und weltweit unter intensivster Beobachtung steht und in dieser Zeit – trotz der theoretisch unterstellten Risiken seitens des BSI – keinerlei Vorfälle oder Manipulation aufgetreten sind, wandelt sich die theoretische Risikoannahme in eine praktisch belegte Sicherheit der Prozesse um. Legt man rechtsstaatliche Prinzipien und nicht politische Ziele als Maßstab zugrunde ergibt sich aus der seit dem 6. Dezember 2025 gültigen Rechtslage:

  • Warnungen sind zeitlich zu befristen: Mit der Änderung des BSI-Gesetz, konkret den neuen § 13 BSIG (durch das NIS-2-Umsetzungsgesetz) sind die Hürden für die Aufrechterhaltung einer Warnung gestiegen. Das BSI darf deswegen nicht einfach auf alte Dokumente verweisen, sondern muss aufzeigen, dass aktuell eine Gefährung der Cybersicherheit vorliegt.
  • Beweislastumkehr im Zeitverlauf: Während das BSI 2022 noch mit einer „abstrakten Gefahr“ argumentieren konnte, wiegt die über mehr vier Jahre bewiesene Integrität der Kaspersky-Prozesse (und davor) nun schwerer.
  • Rechtliche Konsequenz nach § 13 BSIG: Eine Warnung, deren Grundlage (die Risikoannahme) durch die tatsächliche Entwicklung der letzten Jahre entkräftet wurde, darf nach dem neuen Gesetz nicht länger Bestand haben. Sie muss daher formal entfernt werden, weil sie die Realität nicht mehr korrekt abbildet.

Fundamentales rechtsstaatliches Problem

Wenn eine Behörde eine Warnung allein auf eine Hypothese stützt, die über Jahre hinweg durch die Praxis widerlegt wird, verliert die Warnung ihre gesetzliche Rechtfertigung. Es fehlen nicht nur Beweise, sondern die Langzeitbeobachtungen der Realität widerlegen die theoretischen Annahmen des BSI. Trotzdem hält das BSI die Warnung aufrecht.

In den Sätze 3 und 4 des Absatzes 3 von § 13 Abs. 3 BSIG steht folgendes: „Warnungen nach Satz 1 sind sechs Monate nach der Veröffentlichung zu entfernen, wenn nicht weiterhin hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die Sicherheit in der Informationstechnik bestehen. Wird eine Warnung nach Satz 3 nicht entfernt, so ist diese Entscheidung regelmäßig zu überprüfen.“

Ohne hinreichende Anhaltspunkte, dass nach wie vor eine Gefährdung der Sicherheit in der Informationstechnik besteht, darf das BSI eine Warnung nicht aufrecht erhalten. Die Warnung vor Kaspersky Virenschutzsoftware besteht bereits seit dem März 2022. Gemäß dem seit dem 6. Dezember 2025 gültigen gänderten BSI-Gesetz muss sie entfernt werden, sofern keine neuen oder fortbestehenden hinreichenden Anhaltspunkte für eine Gefährdung der IT-Sicherheit vorliegen.

Das BSI benennt keine Anhaltspunkte für eine aktuelle Gefährdung der IT-Sicherheit durch Kaspersky Virenschutzoftware. Es verweist lediglich auf die Risikoannahmen einer vier Jahre alten Warnung. In den Jahren seit der Warnung (und auch davor) gab es aber keine Vorfälle mit Kaspersky Virenschutzsoftware, die die Risikoannahmen des BSI vom März 2022 bestätigt hätten.

Ein Verweis auf eine Risikoprognose von 2022, die auf dem Hintergrund des Krieges in der Ukraine entstanden ist und auf einer möglichen Manipulation durch die russischen Regierung basiert, ist aber kein Anhaltspunkt dafür, dass die Sicherheit in der Informationstechnik heute noch gefährdet ist. Eine Risikoannahme muss sich aber im Zeitverlauf erhärten, sonst verliert er seine rechtliche Tragfähigkeit als Warnungsgrundlage.

Mangelnde Transparenz

Aus Akten des BSI geht hervor, dass die Behörde Prüfung der Warnung nicht substanziell durchführt. Das BSI wiederholt hingegen die ursprüngliche Begründung, ohne (i) die von Kaspersky getroffenen Sicherheitsmaßnahmen, (ii) die Realität im Cyberraum, (iii) die umfassenden Audits und Zertifizierungen der Prozesse, Infrastruktur und Software von Kaspersky sowie (iv) unabhängige externe Tests in die Abwägung einzubeziehen.

Durch die neue explizite 6-Monats-Frist im Gesetz ist die Beweislast des BSI deutlich gestiegen. Eine Warnung, die über Jahre hinweg auf derselben abstrakten Prognose basiert, ohne dass neue Fakten hinzukommen, ist rechtlich nicht haltbar. Denn die gesetzliche Pflicht zur Entfernung ist der Regelfall („sind zu entfernen“), die Aufrechterhaltung die begründungsbedürftige Ausnahme.

Aus Sicht der IT-Sicherheit war die Warnung „prophylaktisch“ und ein „Worst-Case-Szenario“. Der langjährige Gegenbeweis in der Praxis entkräftet die vor vier Jahren möglicherweise nachvollziehbaren Risikoannahmen. Fachlich sind die empirischen Praxiserfahrungen ein eindeutiges Indiz gegen das Fortbestehen einer aktuellen Gefahr für die Sicherheit in der Informationstechnik.

§ 13 Abs. 3 BSIG sieht vor, dass Warnungen kein Dauerzustand sein dürfen, wenn sie sich nicht durch Fakten erhärten. Dass das BSI die Warnung seit 2022 aufrechterhält, ohne Anhaltspunkte für die Gefährdung der IT-Sicherheit zu benennen, steht in deutlichem Widerspruch zur gesetzlichen Löschfrist und den geforderten regelmäßigen Überprüfungen. Es deutet auf ermessensfehlerhaftes oder sogar willkürliches Behördenhandeln hin. Und darauf, dass der Behörde politisches Wohlverhalten wichtiger erscheint als rechtsstaatliches Handeln.

Hinterlasse einen Kommentar