Softwarehersteller wollen sich gegen BSI-Warnungen wehren

Für Softwarehersteller ist das Vertrauen der Kunden ein zentraler Faktor. Entsprechend sensibel reagieren Unternehmen auf öffent­liche Kritik des Bundesamts für Sicherheit in der Informations­technik (BSI). Nun wurde gegen das BSI geklagt.

Gerichtsurteil stärkt BSI-Rolle

Das Verwaltungsgericht Köln hat in einem Beschluss vom 2. Dezember 2025 (Az. 1 L 3105/25) klargestellt, dass es keinen generellen Anspruch gibt, entsprechende Veröffentlichungen im Vorfeld gerichtlich zu untersagen. Ein Softwarehersteller hatte per Eilantrag verhindern wollen, dass das BSI sein Sicherheitskonzept in einer Publikation als "auffällig" bezeichnet. Das Gericht lehnte den Antrag ab und stärkte damit die Rolle der Behörde im Verbraucherschutz.

Nach Auffassung der Kammer liegt die Hürde für vorbeugenden Rechtsschutz hoch. Ein Eingreifen sei nur gerechtfertigt, wenn dem Unternehmen durch das Abwarten irreversible Nachteile drohten.

Hintergründe zu Passwort-Managern

Der Hersteller hatte argumentiert, die Bewertung komme einer "Prangerwirkung" gleich und zerstöre dauerhaft das Marktvertrauen. Dieser Einschätzung folgten die Richter nicht. Sie verwiesen darauf, dass technische Bewertungen nicht endgültig seien. Anbieter könnten durch Updates, Gegendarstellungen oder öffentliche Erklärungen auf Kritik reagieren und Vertrauen zurückgewinnen.

Der Streit entzündete sich am BSI-Projekt "E.W.", das den digitalen Verbrauchermarkt untersucht und Sicherheitseigenschaften verbreiteter Anwendungen analysiert. Wie heise online unter Berufung auf Gerichtsunterlagen berichtet, ging es konkret um Passwort-Manager. Das anonymisierte Unternehmen wollte die Veröffentlichung des Abschlussberichts verhindern, da das BSI dem Produkt bescheinigt hatte, nicht den üblichen Erwartungen an sicherheitskritische Software zu entsprechen.

Das Gericht unterschied dabei zwischen einer negativen Bewertung und einer ausdrücklichen Warnung. Da der Bericht Teil einer Marktübersicht war und keine Empfehlung enthielt, das Produkt nicht zu nutzen, sahen die Richter keinen irreversiblen Schaden. Technische Bewertungen seien Momentaufnahmen und könnten durch spätere Verbesserungen überholt werden. Infografik Wirtschaft: Die finanziellen Schäden durch Cyberkriminalität

Auswirkungen der NIS2-Richtlinie

Das Urteil fällt in eine Phase erweiterter Befugnisse des BSI. Mit der Umsetzung der NIS2-Richtlinie und dem neuen Paragrafen 13 des BSI-Gesetzes darf die Behörde nicht nur vor konkreten Sicherheitslücken, sondern auch vor allgemeinen Risiken und Schwachstellen warnen, einschließlich der Nennung von Herstellern. Wie der Rechtsanwalt Jens Ferner in einem Blogbeitrag darlegt, müssen Unternehmen daher mit häufigeren und detaillierteren staatlichen Produktbewertungen rechnen. Ziel des Gesetzgebers ist es, den Druck auf Hersteller zu erhöhen, Sicherheitsaspekte stärker zu berücksichtigen.

Der Fall erinnert an die Auseinandersetzung um die Virenschutzsoftware Kaspersky im Jahr 2022. Auch damals hatte das BSI vor dem Einsatz des Produkts gewarnt, der Hersteller scheiterte mit einer Klage vor dem Oberverwaltungsgericht Nordrhein-Westfalen. In beiden Fällen überwog das öffentliche Interesse an der Sicherheit der Informationstechnik gegenüber den wirtschaftlichen Interessen der Anbieter. Für IT-Fachleute und Administratoren bedeutet die aktuelle Rechtsprechung, dass BSI-Berichte weiterhin zeitnah und unverändert als Informationsquelle zur Verfügung stehen.

Haltet ihr die erweiterten Befugnisse des BSI für gerechtfertigt oder seht ihr darin eine zu große Gefahr für den Ruf von Unternehmen? Schreibt uns eure Meinung dazu gerne in die Kommentare - wir sind gespannt auf die Diskussion!


Siehe auch: