BSI darf öffentlich vor unsicherer Software warnen

Ein Gericht stärkt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) den Rücken. Die Kölner Richter wiesen den Eilantrag eines Softwareherstellers ab, der eine kritische Sicherheitsbewertung verhindern wollte. Das Urteil markiert einen Sieg für den digitalen Verbraucherschutz.

Das Verwaltungsgericht Köln stellte klar: Das Informationsinteresse der Öffentlichkeit wiegt schwerer als mögliche Image-Schäden für Hersteller. Im konkreten Fall wollte ein Unternehmen die Veröffentlichung eines negativen BSI-Berichts stoppen. Die Richter sahen darin jedoch keine unzulässige „Prangerwirkung“.

Vielmehr diene die Warnung der Gefahrenabwehr. Nutzer könnten so fundierte Entscheidungen über ihre Software treffen. Ein genereller Anspruch von Firmen, solche Veröffentlichungen zu unterbinden, bestehe nicht – solange das BSI seine Kritik auf valide technische Analysen stützt.

Cyberangriffe und verschärfte EU-Regeln wie der Cyber Resilience Act erhöhen den Druck auf Hersteller und Behörden wie das BSI – das zeigt auch der aktuelle Fall um einen unsicheren Passwort‑Manager. Ein kostenloses E‑Book erklärt die wichtigsten Bedrohungen, welche gesetzlichen Pflichten jetzt gelten (inkl. KI‑Regulierung) und welche praktischen Maßnahmen IT‑Verantwortliche sofort umsetzen sollten. Praxisnah, ohne Fachchinesisch, für Entscheider und Sicherheitsverantwortliche. Holen Sie sich das Gratis‑Exemplar und prüfen Sie, ob Ihre Software‑Risiken ausreichend adressiert sind. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Streit entbrannte an Passwort-Manager

Hintergrund ist ein Streit um die Sicherheit eines Passwort-Managers. Im Rahmen eines Verbrauchermarkt-Projekts hatte das BSI dem Produkt bescheinigt, übliche Sicherheitsstandards zu unterschreiten. Der Hersteller ging dagegen gerichtlich vor.

Das Gericht unterschied jedoch scharf zwischen Schmähkritik und sachlicher Bewertung. Solange das BSI transparent darlegt, welche Kriterien zur Abwertung führten, ist die Warnung rechtens. Dies gelte besonders für Software mit hoher Vertrauensstellung, wie Passwort-Manager.

Software-Branche muss umdenken

Das Urteil sendet eine klare Botschaft an die IT-Branche: Die Zeiten, in denen Sicherheitslücken diskret unter dem Teppich gekehrt wurden, sind vorbei. Experten sehen den Druck auf Anbieter steigen, „Security by Design“ ernst zu nehmen.

• Schnelle Updates werden zum Wettbewerbsfaktor: Hersteller können durch Patches eine Neubewertung erwirken.
• Juristische Abwehr hilft kaum: Gerichtliche Bremsmanöver gegen Behördenwarnungen dürften seltener Erfolg haben.
• Proaktivere Behörden: Das BSI wird seine Marktanalysen und öffentlichen Warnungen voraussichtlich intensivieren.

Der Fall stärkt die Rolle des BSI als warnende Instanz für den zivilen Verbraucherschutz – nicht nur bei nationalen Sicherheitsfragen. Mit dem bevorstehenden Cyber Resilience Act (CRA) der EU werden die Anforderungen an Hersteller ohnehin steigen. Das BSI zeigt sich bereit, diese Standards auch öffentlich einzufordern.