Köln İdare Mahkemesi, Federal Bilgi Güvenliği Ofisi'nin (BSI) Kaspersky'nin virüs koruma yazılımlarına karşı uyarıda bulunabileceğine karar verdi. Bu, bugün Köln'deki idare mahkemesi tarafından kararlaştırıldı ve böylece Almanya merkezli Kaspersky Group'tan bir şirketin acil başvurusu reddedildi.
15 Mart 2022'de Federal Bilgi Güvenliği Ofisi (BSI), Rus üretici Kaspersky'nin güvenilirliğinin Rusya'nın mevcut savaş benzeri faaliyetleri nedeniyle sorgulandığını belirten bir uyarı yayınladı ve Kaspersky antivirüs yazılımının alternatif ürünlerle değiştirilmesini önerdi.
Kaspersky ihtiyati tedbir için başvuruyor
21 Mart 2022'de Rus üreticiden anti-virüs ürünleri satan Kaspersky Labs GmbH, bu uyarıyı durdurmak ve bu uyarıdan vazgeçmek ve iptal etmek için ihtiyati tedbir başvurusunda bulundu. Bunun tamamen siyasi bir karar olduğunu ve virüs koruma yazılımının teknik kalitesiyle hiçbir ilgisi olmadığını açıkladı.
Uyarı tamamen siyasi olmalıydı
Bilinen bir teknik güvenlik açığı anlamında bir güvenlik açığı yoktur. Ayrıca Rusya'daki devlet kurumlarının Kaspersky'yi etkilediğine dair hiçbir belirti yok. Ayrıca veri güvenliğini ve şeffaflığı artırmak için çeşitli önlemler alınmıştır.
Mahkeme buna uymadı. Yasama organı, BSI'ya bir uyarı yayınlama yetkisi veren bir güvenlik açığı kavramını geniş bir şekilde formüle etmiştir. Virüs koruma yazılımı, ilgili bilgisayar sistemine erişim için geniş kapsamlı yetkiler nedeniyle temelde böyle bir güvenlik açığı için tüm gereksinimleri karşılar. Yine de kullanımlarının tavsiye edilmesi, yalnızca üreticinin güvenilirliğine olan yüksek derecede güvene dayanmaktadır. Bu nedenle, üreticiye gereken yüksek düzeyde güven garanti edilmezse (veya artık garanti edilmiyorsa) bir güvenlik açığı vardır.
Güven eksikliği bir güvenlik açığı olarak görülür
Şu anda Kaspersky'de durum böyle. Şirketin merkezi Moskova'dadır ve orada çok sayıda insanı istihdam etmektedir. Aynı zamanda bir “siber savaş” olarak sürdürülen Ukrayna'daki Rus saldırganlık savaşı göz önüne alındığında, Rus geliştiricilerin Alman hedeflerine yönelik siber saldırılar için virüs koruma yazılımının teknik olanaklarından yararlanmaları da yeterince kesin olarak göz ardı edilemez. kendi inisiyatifleriyle veya diğer Rus aktörlerin baskısı altında.
Kaspersky, saldırı yazılımı olarak kötüye kullanılabilir
Rusya'daki devlet aktörlerinin, Kaspersky'nin bilgi iletmek zorunda olmadığı yasalara anayasal bir şekilde bağlı kalacağı da varsayılamaz. Ayrıca, Ukrayna ile savaş sırasında Rusya'da basın özgürlüğüne getirilen büyük kısıtlamalar, ilgili yasal zeminin hızla oluşturulabileceğini göstermiştir. Kaspersky tarafından belirtilen güvenlik önlemleri, devlet müdahalesine karşı yeterli koruma sağlamaz.
Devlet etkisi hariç tutulmadı
Rusya merkezli programcıların, İsviçre'deki veri merkezlerinde depolanan Avrupalı kullanıcıların verilerine erişebileceği göz ardı edilemez. Öte yandan, veri miktarı, program kodunun karmaşıklığı ve gerekli güncelleme sıklığı nedeniyle kaynak kodun ve güncellemelerin kalıcı olarak izlenmesi neredeyse imkansız görünmektedir.
İlgililer, Münster'deki Yüksek İdare Mahkemesi tarafından kararlaştırılacak olan karara karşı itirazda bulunabilirler. Ref.: 1 L 466/22
Daha fazlası VG-Koeln.nrw.de adresinde