Il tribunale amministrativo di Colonia ha stabilito che l'Ufficio federale per la sicurezza informatica (BSI) può mettere in guardia contro il software antivirus di Kaspersky. Lo ha deciso oggi il tribunale amministrativo di Colonia, respingendo così la domanda d'urgenza di una società del gruppo Kaspersky con sede in Germania.
Il 15 marzo 2022, l'Ufficio federale per la sicurezza delle informazioni (BSI) ha pubblicato un avviso in cui si afferma che l'affidabilità del produttore russo Kaspersky è stata messa in discussione dalle attuali attività belliche della Russia e ha raccomandato di sostituire il software antivirus Kaspersky con prodotti alternativi.
Kaspersky chiede un'ingiunzione
Il 21 marzo 2022, Kaspersky Labs GmbH, che vende prodotti antivirus del produttore russo, ha chiesto un'ingiunzione per cessare e desistere e revocare questo avviso. Ha spiegato che si trattava di una decisione puramente politica senza alcuna relazione con la qualità tecnica del software antivirus.
L'avvertimento avrebbe dovuto essere puramente politico
Non vi è alcuna lacuna di sicurezza nel senso di una vulnerabilità tecnica nota. Non ci sono inoltre indicazioni che le agenzie governative in Russia stiano influenzando Kaspersky. Inoltre, sono state adottate varie misure per aumentare la sicurezza e la trasparenza dei dati.
La corte non lo ha seguito. Il legislatore ha ampiamente formulato il concetto di gap di sicurezza che autorizza BSI a emettere un avviso. Il software di protezione antivirus soddisfa sostanzialmente tutti i requisiti per una tale lacuna di sicurezza a causa delle autorizzazioni di vasta portata per l'accesso al rispettivo sistema informatico. Il fatto che il loro uso sia comunque raccomandato si basa esclusivamente sull'elevato grado di fiducia nell'affidabilità del produttore. Pertanto, esiste una lacuna di sicurezza se l'elevato livello di fiducia richiesto nel produttore non è (o non è più) garantito.
La mancanza di fiducia è vista come una lacuna di sicurezza
Questo è attualmente il caso di Kaspersky. L'azienda ha sede a Mosca e vi impiega un gran numero di persone. Alla luce della guerra di aggressione russa in Ucraina, anch'essa condotta come una "guerra informatica", non si può escludere con sufficiente certezza che gli sviluppatori russi sfrutteranno le possibilità tecniche del software di protezione antivirus anche per attacchi informatici contro obiettivi tedeschi di propria iniziativa o sotto la pressione di altri attori russi.
Kaspersky potrebbe essere utilizzato in modo improprio come software di attacco
Né si può presumere che gli attori statali in Russia aderiscano alle leggi in modo costituzionale, secondo le quali Kaspersky non è obbligato a trasmettere informazioni. Inoltre, le massicce restrizioni alla libertà di stampa in Russia nel corso della guerra con l'Ucraina hanno dimostrato che la base giuridica corrispondente può essere creata rapidamente. Le misure di sicurezza citate da Kaspersky non offrono una protezione sufficiente contro le interferenze statali.
L'influenza dello Stato non è esclusa
Non si può escludere che i programmatori con sede in Russia possano accedere ai dati degli utenti europei archiviati nei data center in Svizzera. D'altra parte, il monitoraggio permanente del codice sorgente e degli aggiornamenti sembra praticamente impossibile a causa della quantità di dati, della complessità del codice del programma e della necessaria frequenza degli aggiornamenti.
Le persone coinvolte possono presentare ricorso contro la decisione, che sarà decisa dal tribunale amministrativo superiore di Münster. Rif.: 1 L 466/22
Maggiori informazioni su VG-Koeln.nrw.de