Kaspersky kündigte an, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu verklagen bzw. rechtliche Schritte einzuleiten, sollte die Behörde ihre seit 2022 bestehende Warnung nicht entfernen. Der Konflikt ist ein Lehrstück darüber, wie stark staatliche Risikowarnungen Märkte beeinflussen können - und wie schwierig die Abgrenzung zwischen technischer Sicherheitsbewertung, geopolitischem Risiko und Rechtsrahmen geworden ist.
Was ist aktuell passiert?
Laut Berichten hat die deutsche Niederlassung von Kaspersky die Behörde aufgefordert, die Warnung zurückzunehmen bzw. zu entfernen - andernfalls behält man sich rechtliche Schritte vor. In der öffentlichen Debatte tauchte dabei schnell das Stichwort „Schadenersatz in Millionenhöhe” auf.
Rückblick: Warum gab es die BSI-Warnung überhaupt?
Im März 2022 veröffentlichte das BSI eine Warnung vor dem Einsatz von Kaspersky-Virenschutzsoftware. Begründung in Kurzform: Antivirus-Software sitzt extrem tief im System und hat weitreichende Rechte. Im Kontext des russischen Angriffskriegs gegen die Ukraine sah die Behörde das Risiko, dass der Hersteller unter Druck geraten oder zur Mitwirkung an Angriffen gezwungen werden könnte, da er eine starke Bindung an Russland hat.
Diese Argumentation ist zwar politisch aufgeladen, aber nicht rein politisch: Sie basiert auf dem Sicherheitsmodell „maximale Privilegien + potenzieller externer Zwang = systemisches Risiko“ - unabhängig davon, ob eine konkrete technische Schwachstelle nachgewiesen wurde. Genau diesen Punkt betont das BSI in seinen FAQ zur Warnung.
Was Kaspersky vorwirft - und was das BSI entgegnet
Kasperskys Kernargument: Die Warnung sei nicht (mehr) gerechtfertigt, da es keine belastbaren Anhaltspunkte für fortbestehende Gefahren gebe. Das BSI müsse eine Warnung entfernen, wenn deren Voraussetzungen nicht mehr vorlägen. In einem Statement gegenüber Golem wird sinngemäß argumentiert, dass sich aus den Akten keine Anhaltspunkte für aktuelle Gefahren ergeben, die ein Festhalten an der Warnung rechtfertigen würden.
BSI-Position: Die Gründe sind weiterhin unverändert gültig, daher bleibt die Warnung bestehen.
Juristische Ausgangslage: Kaspersky hat schon mehrfach verloren
Der Streit ist nicht neu. Bereits im Jahr 2022 versuchte die deutsche Vertriebsgesellschaft von Kaspersky, die Warnung gerichtlich zu stoppen - ohne Erfolg. Das Verwaltungsgericht Köln lehnte den Eilantrag ab und das Oberverwaltungsgericht NRW bestätigte später die Rechtsauffassung, dass das BSI warnen durfte.
Auch vor dem Bundesverfassungsgericht hatte Kaspersky keinen Erfolg: Die Verfassungsbeschwerde wurde nicht zur Entscheidung angenommen (sinngemäß: Hauptsacheverfahren abwarten).
Das bedeutet jedoch nicht, dass eine neue Klage automatisch scheitert - die Messlatte ist allerdings hoch: Kaspersky müsste plausibel machen, dass die Voraussetzungen für die Warnung heute nicht mehr gegeben sind oder das BSI seine gesetzlichen Grenzen bei der Fortführung der Warnung überschreitet.
Kaspersky hat das BSI in den vergangenen Jahren transparent, offen und konstruktiv informiert. Dabei hat #Kaspersky dargelegt, wie es über einen Secure Software Development Lifecycle, Security by Design und ausgefeilte Kontrollmechanismen hoch sichere Prozesse umsetzt und diese wirksam vor Manipulation schützt. In der Praxis wird das dadurch belegt, dass es mit Kaspersky Software weder in Deutschland, noch in Europa noch in anderen Regionen der Welt Sicherheitsvorfälle gegeben hat, die die damaligen Risikovermutungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt haben. Die Risikoannahmen sind hypothetisch geblieben. Das BSI Gesetz fordert in §13 seit dem 6.12.2025, dass das BSI Warnungen nach sechs Monate zu entfernen hat, wenn nicht weiterhin hinreichende Anhaltspunkte dafür vorliegen, dass Gefahren für die IT-Sicherheit bestehen. Genau das tut das BSI nicht und verweist im Jahr 2026 (!) auf die Gründe des Warnung von 2022(!), ohne die Entwicklungen, Erkenntnisse und von Kaspersky umgesetzten Maßnahmen im Zeitverlauf in Erwägung zu ziehen. Das bezeichnen Juristen als ermessensfehlerhaft oder als willkürlich. Und genau das gefährdet das Vertrauen in das #BSI und die Cybersicherheit.