Ein dagegen gestellter Antrag der Vertreiberfirma auf Unterlassung und Widerruf der Warnung hatte keinen Erfolg.
Der Entscheidung des Gerichts lag folgender Sachverhalt zu Grunde:
Das in Moskau ansässige, russische Unternehmen stellt Virenschutzsoftwareprogramme her. Die Firma „Kaspersky Labs GmbH“ mit Sitz in Deutschland vertreibt solche Virenschutzprodukte. Am 15.03.2022 veröffentlichte das BSI eine Warnung vor dem Einsatz dieser Virenschutzsoftware „Kaspersky“ mit der Begründung, dass die Zuverlässigkeit des Herstellers Kaspersky durch die aktuellen kriegerischen Aktivitäten Russlands in Frage gestellt sei und empfahl, dessen Virenschutzsoftware durch alternative Produkte zu ersetzen.
Gegen diese Warnung nahm die Firma Kaspersky Lab GmbH gerichtliche Hilfe in Anspruch und begehrte in einem Eilrechtsverfahren vor dem Verwaltungsgericht Köln vorläufigen Rechtsschutz. Am 21.03.2022 beantragte sie den Erlass einer einstweiligen Anordnung gegen das BSI auf Unterlassung und Widerruf dieser Warnung, weil diese ihrer Ansicht nach rechtswidrig sei.
Die Antragstellerin behauptete, die Virenschutzsoftware „Kaspersky“ weise keine technische Schwäche auf. Deshalb bestünde auch keine Sicherheitslücke. Außerdem hätten staatliche russische Stellen keinen Einfluss auf das Unternehmen. Zudem seien verschiedene Maßnahmen zur Erhöhung der Datensicherheit und zur -transparenz ergriffen worden. Letztlich ist sie der Auffassung, dass es sich bei der Warnung durch das BSI um eine rein politische Entscheidung handele, die mit der vorhandenen technischen Qualität des Virenschutzprogrammes Kaspersky nichts zu tun habe.
Das Verwaltungsgericht Köln sah dies anders und hat den Erlass der einstweiligen Anordnung abgelehnt.
Nach dessen Bewertung bestehe im vorliegenden Fall durchaus eine Sicherheitslücke, die das BSI zu der angegriffenen Warnung berechtigt habe. Zwar bestünden aufgrund der weitreichenden Berechtigungen von Virenschutzsoftware zu Eingriffen in das jeweilige Computersystem grundsätzlich Sicherheitslücken. Aber ein entsprechender Einsatz könne dann empfohlen werden, wenn ein hohes Maß an Vertrauen in die Zuverlässigkeit des Herstellers vorliege.
Dieses notwendige Vertrauen konnte das Gericht bei Kaspersky aus verschiedenen Gründen derzeit nicht feststellen. Angesichts des auch als Cyberkrieg geführten Angriffs Russlands auf die Ukraine und der Tatsache, dass das Unternehmen viele Mitarbeiter in Moskau beschäftige, sei nicht auszuschließen, dass russische Entwickler entweder eigenständig oder auf Druck anderer russischer Akteure die technischen Möglichkeiten der Virenschutzsoftware für Cyberangriffe auch auf deutsche Ziele ausnutzten.
Für die Richter war zudem zweifelhaft, ob sich das Unternehmen an das gesetzliche Gebot halte, Informationen nicht weiterzugeben. Außerdem habe die massive Beschränkung der Pressefreiheit in Russland gezeigt, dass dort schnell Rechtsgrundlagen geschaffen werden können, die das Unternehmen zur Informationsweitergabe verpflichten könne.
In den von der Antragstellerin angeführten Sicherheitsmaßnahmen sah das Gericht keinen ausreichenden Schutz vor staatlicher russischer Einflussnahme. Ein Zugriff russischer Programmierer auf Daten europäischer Nutzer, die in Rechenzentren der Schweiz gespeichert seien, sei nicht ausgeschlossen. Im Übrigen seien eine permanente Überwachung des Quellcodes und die Durchführung von regelmäßigen Updates praktisch unmöglich.