El Tribunal Administrativo de Colonia dictaminó que la Oficina Federal de Seguridad de la Información (BSI) puede advertir contra el software de protección antivirus de Kaspersky. El Tribunal Administrativo de Colonia lo dictaminó hoy y rechazó así la solicitud urgente de una empresa del Grupo Kaspersky con sede en Alemania.
El 15 de marzo de 2022, la Oficina Federal para la Seguridad de la Información (BSI, por sus siglas en inglés) publicó una advertencia en la que afirmaba que las actividades bélicas actuales de Rusia ponían en duda la confiabilidad del fabricante ruso Kaspersky y recomendaba reemplazar el software antivirus Kaspersky con productos alternativos.
Kaspersky está solicitando una orden judicial
El 21 de marzo de 2022, Kaspersky Labs GmbH, que vende productos antivirus del fabricante ruso, solicitó una orden judicial para cesar y desistir y revocar esta advertencia. Explicó que fue una decisión puramente política sin relación con la calidad técnica del software de protección antivirus.
La advertencia debería haber sido puramente política.
No hay brecha de seguridad en el sentido de una vulnerabilidad técnica conocida. Tampoco hay indicios de que las agencias gubernamentales en Rusia estén influyendo en Kaspersky. Además, se han tomado diversas medidas para aumentar la seguridad y transparencia de los datos.
El tribunal no siguió eso. La legislatura ha formulado ampliamente el concepto de una brecha de seguridad que da derecho a la BSI a emitir una advertencia. El software de protección antivirus básicamente cumple con todos los requisitos para tal brecha de seguridad debido a las amplias autorizaciones para acceder al sistema informático respectivo. No obstante, el hecho de que se recomiende su uso se basa únicamente en el alto grado de confianza en la fiabilidad del fabricante. Por lo tanto, existe una brecha de seguridad si el alto nivel de confianza requerido en el fabricante no está (o ya no) está garantizado.
La falta de confianza es vista como una brecha de seguridad
Este es actualmente el caso de Kaspersky. La empresa tiene su sede en Moscú y emplea a un gran número de personas allí. En vista de la guerra de agresión rusa en Ucrania, que también se está librando como una "guerra cibernética", tampoco se puede descartar con suficiente certeza que los desarrolladores rusos exploten las posibilidades técnicas del software de protección antivirus para ataques cibernéticos contra objetivos alemanes. por iniciativa propia o bajo la presión de otros actores rusos.
Kaspersky podría ser mal utilizado como software de ataque
Tampoco se puede suponer que los actores estatales en Rusia se adherirán a las leyes de manera constitucional, según las cuales Kaspersky no está obligado a transmitir información. Además, las restricciones masivas a la libertad de prensa en Rusia durante la guerra con Ucrania han demostrado que se puede crear rápidamente la base legal correspondiente. Las medidas de seguridad citadas por Kaspersky no ofrecen suficiente protección contra la interferencia del estado.
Influencia estatal no excluida
No se puede descartar que programadores con sede en Rusia puedan acceder a los datos de usuarios europeos almacenados en centros de datos en Suiza. Por otro lado, el monitoreo permanente del código fuente y las actualizaciones parece prácticamente imposible debido a la cantidad de datos, la complejidad del código del programa y la frecuencia necesaria de las actualizaciones.
Los involucrados pueden presentar una apelación contra la decisión, que sería decidida por el Tribunal Administrativo Superior de Münster. Ref.: 1 L 466/22
Más en VG-Koeln.nrw.de