Schlappe für Softwarebauer: BSI darf Sicherheitskonzept als „auffällig“ rügen

Die staatliche Bewertung von IT-Produkten ist für Softwareanbieter ein zweischneidiges Schwert: Während positive Testate den Absatz fördern, können kritische Berichte von Cybersicherheitsbehörden die Marktposition eines Unternehmens erschüttern. Ein aktueller Beschluss des Verwaltungsgerichts Köln (Az.: 1 L 3105/25) vom 2. Dezember verdeutlicht nun, dass sich Firmen gegen solche drohenden Veröffentlichungen nur in extremen Ausnahmefällen im Voraus wehren können.

In dem Verfahren ging ein Unternehmen, das auch Software herstellt, gegen das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Die Bonner Behörde untersuchte laut der jetzt veröffentlichten Entscheidung im Rahmen des Projekts „E.W.“ die Sicherheitsarchitektur bestimmter Produkte und beanstandete diese. Die 1. Kammer entschied, dass ein Softwarehersteller nicht ohne Weiteres die Unterlassung einer geplanten behördlichen Produktbewertung verlangen kann. Daran änderte auch die Tatsache nichts, dass eine solche Warnung negative Auswirkungen auf den Markt haben könnte.

Der Streit entzündete sich an dem geplanten Abschlussbericht, in dem das BSI das Sicherheitskonzept der betroffenen Produkte als „auffällig“ bezeichnete und ihnen eine mangelnde Erfüllung üblicher Sicherheitserwartungen attestierte. Das betroffene Unternehmen fühlte sich damit unzulässig an den Pranger gestellt und befürchtete irreversible Reputationsschäden.

Gegendarstellungen bleiben möglich

Mit einem Eilantrag auf vorbeugenden Rechtsschutz wollte der Hersteller erzwingen, dass die Behörde diese Erkenntnisse nicht veröffentlicht – noch bevor der Bericht überhaupt erschien. Das Verwaltungsgericht betonte nun aber im Einklang mit der gefestigten Rechtsauffassung, dass ein vorbeugender Rechtsschutz nach Paragraf 123 der Verwaltungsgerichtsordnung (VwGO) die Ausnahme bleiben müsse. Grundsätzlich setze die VwGO auf nachträglichen Rechtsschutz, um die Gewaltenteilung zu wahren. Ein Eingriff in behördliches Handeln vor dessen Vollzug sei nur dann gerechtfertigt, wenn dem Betroffenen das Abwarten nicht zugemutet werden könne. Dies träfe etwa zu, wenn irreversible Fakten geschaffen würden.

In dem Fall fehlte es laut den Kölner Richtern an einem solchen qualifizierten Rechtsschutzbedürfnis: Die potenziellen Nachteile waren für den Softwareanbieter nicht als irreparabel einzustufen.

Der IT-Rechtler Jens Ferner wertet die Entscheidung als richtungsweisend für die Branche: „Die Veröffentlichung behördlicher Sicherheitsbewertungen kann für Softwareanbieter existenzbedrohend sein. Doch nicht jede Warnung rechtfertigt einen vorbeugenden gerichtlichen Eingriff“ – das zeige dieser Beschluss deutlich. Wer sich gegen staatliche Produktbewertungen wehren wolle, müsse nachweisen, dass die Publikation „unwiederbringliche Schäden verursacht – etwa durch gezielte Prangerwirkung oder unwiderlegbare Falschdarstellungen.“

Das Gericht verwies darauf, dass eine Institution verlorenes Vertrauen durch eigene Gegendarstellungen wiederherstellen könne. Dafür kämen etwa Presseerklärungen oder aktualisierte Bewertungen infrage. Anders als bei lebensmittelrechtlichen Warnungen, die oft unwiderruflich wirken, gelten technische Produktbewertungen als dynamischer. Zudem war der Bericht nicht prominent platziert, sondern Teil einer umfassenden Untersuchung.

Der Fall Kaspersky lässt grüßen

Für bemerkenswert hält Ferner die rechtliche Einbettung: Seit Dezember ist die Umsetzung der NIS2-Richtlinie in Kraft, die behördliche Warnungen nun ausdrücklich in Paragraf 13 des BSI-Gesetzes (BSIG) normiere. An dieser neuen gesetzlichen Basis müssten sich behördliche Warnungen künftig messen lassen. Die Entscheidung zeige jedoch, dass die Gerichte die behördliche Informationspolitik nicht vorschnell blockierten, solange diese im Rahmen des gesetzlichen Auftrags bleibe. Die Balance zwischen Verbraucherschutz und unternehmerischer Freiheit sei damit weiterhin eine Frage des Einzelfalls.

Hinter dem im Verfahren als „C.“ anonymisierten Unternehmen könnte laut Produktdetails die Velberter Firma BKS stehen, eine Tochterfirma der Gretsch-Unitas-Gruppe (GU). Darauf deuten die im Beschluss genannten Produktbezeichnungen „G. U.“ und „A.“ hin, die eine direkte Verbindung zum Markennamen und dem Zutrittskontrollsystem Gemos Access nahelegen. Sollte tatsächlich ein Traditionshaus für allgemeine Sicherheitstechnik auf dem Weg zum Anbieter digitaler Ökosysteme wegen softwarebasierter Schutzkonzepte in den Fokus des BSI geraten sein, würde das auch die wachsende Bedeutung von IT-Security in der klassischen Gebäudeautomation unterstreichen.

2022 zog sich der Streit über eine BSI-Warnung vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky einige Zeit hin. Das Oberverwaltungsgericht Nordrhein-Westfalens entschied damals, dass der Hinweis rechtmäßig gewesen sei. Es lehnte die Beschwerde des Konzerns gegen einen entsprechenden Eilantrag des Verwaltungsgerichts Köln ab.

(nen)