Kaspersky erhält Rezertifizierung durch den TÜV Austria

Kaspersky hat die Verlagerung cyberbedrohungsbezogener Nutzerdaten weiter vorangetrieben und so werden nun auch die dementsprechenden Daten von Nutzern in Lateinamerika und dem Nahen Osten seit März in der Schweiz verarbeitet. Gleichzeitig wurde die Verpflichtung des Unternehmens, die besten Datensicherheitspraktiken zu befolgen, durch die erneute Zertifizierung des erweiterten Kaspersky-Datenservices durch TÜV AUSTRIA bestätigt. Im Zuge dessen hat das Unternehmen auch Informationen über die Anfragen von Regierungs- und Strafverfolgungsbehörden sowie von Anwendern nach Daten und technischem Know-how im zweiten Halbjahr 2021 veröffentlicht.

Diese Maßnahmen spiegeln das kontinuierliche Engagement des Unternehmens für mehr Transparenz wider, die im Rahmen der Globalen Transparenzinitiative (GTI) [1] umgesetzt werden. Mit dem Start der GTI im Jahr 2017 setzte Kaspersky den Maßstab für digitales Vertrauen in seiner Branche und war damit auch der erste Cybersicherheitsanbieter, der seinen Quellcode zur Überprüfung zur Verfügung stellte. Kaspersky hat sich verpflichtet, ein vertrauenswürdiger Partner für seine Nutzer zu sein, und ist bis heute einer der wenigen internationalen IT-Anbieter, der danach strebt, Transparenz zu einem Industriestandard zu machen und Schritte hi zu einer größeren Verantwortlichkeit unternimmt.

Internationales Engagement für Cybersicherheit

Seit März 2022 speichert Kaspersky schädliche und verdächtige Dateien von Nutzern aus Lateinamerika und dem Nahen Osten, die zuvor von Einrichtungen in Russland verarbeitet wurden, in Züricher Datenzentren. In den Jahren zuvor war die Verlagerung dieser Datenspeicherung bereits für Europa, Nordamerika und eine Reihe von Ländern im asiatisch-pazifischen Raum [2] abgeschlossen worden. Die Schweizer Rechenzentren bieten erstklassige Einrichtungen, die den führenden Industriestandards entsprechen, so dass die Nutzer Kasperskys auf die Sicherheit ihrer Daten vertrauen können.

Darüber hinaus hat Kaspersky seine ISO 27001-Zertifizierung [3] erneuert, die von der unabhängigen Zertifizierungsstelle TÜV AUSTRIA ausgestellt wurde und dem international anerkannten Sicherheitsstandard entspricht. Zusätzlich zu dem im Jahr 2020 bestandenen Audit wurde der Geltungsbereich der Zertifizierung dieses Mal erweitert und umfasst nun nicht nur das Kaspersky-Security-Network (KSN)-System [4] für die sichere Speicherung und den Zugriff auf schädliche und verdächtige Dateien (genannt KLDFS), sondern auch die KSN-Systeme zur Verarbeitung von Statistiken (genannt KSNBuffer-Datenbank).

Die Konformität mit ISO/IEC 27001:2013 – dem international anerkannten Best-Practice-Industrie- und Sicherheits-Standard – bildet den Kern des Ansatzes von Kaspersky zur Implementierung und Verwaltung von Informationssicherheit. Die Zertifizierung, die von der akkreditierten Stelle TÜV AUSTRIA erteilt wurde, belegt das Engagement des Unternehmens für eine starke Informationssicherheit und die Einhaltung der branchenweit führenden Praktiken hinsichtlich Datenservice und Informationssicherheit.

Das Dokument ist sowohl im Zertifikatsverzeichnis des TÜV AUSTRIA [5] als auch auf der Kaspersky-Website [6] öffentlich verfügbar.

„Wir haben die Verarbeitung und Speicherung von cyberbedrohungsbezogenen Daten aus einer Reihe weiterer Länder und Regionen in Einrichtungen in der Schweiz verlagert – einem Land, das für seine strengen Datenschutzgesetze bekannt ist“, betont Andrey Efremov, Chief Business Development Officer bei Kaspersky. „Diese Schritte sind nur ein Teil unserer Globalen Transparenzinitiative, die zudem unabhängige Bewertungen der Integrität der Datendienste und technischen Verfahren unseres Unternehmens sowie die Bereitstellung des Quellcodes unserer Produkte für eine offene Überprüfung umfasst. Diese Maßnahmen unterstreichen unser Engagement für einen offenen und transparenten Umgang mit Nutzerdaten und untermauern unsere Verpflichtung, unseren Kunden und Partnern weiterhin die zuverlässigsten und vertrauenswürdigsten Lösungen und Dienstleistungen zu bieten."

Neue Ausgabe des Transparenzberichts

Kaspersky hat eine nachhaltige Praxis entwickelt, Informationen über die Vorgehensweise des Unternehmens im Umgang mit Datenanfragen offenzulegen, und veröffentlicht regelmäßig den Bericht „Law Enforcement and Government Requests“ [7], der Daten [8] in zwei Kategorien offen legt: Nutzerdaten und technisches Know-how. Der neueste Bericht befasst sich mit dieser Art von Daten m zweiten Halbjahr 2021.

In der zweiten Jahreshälfte 2021 erhielt Kaspersky 109 Anfragen von Regierungen und Strafverfolgungsbehörden aus zwölf Ländern. Mindestens 36 Prozent davon wurden abgelehnt, weil entweder keine Daten vorlagen oder die dafür notwendigen rechtlichen Anforderungen nicht erfüllt wurden. 92 der in der zweiten Hälfte des vergangenen Jahres eingegangenen Anfragen betrafen technisches Fachwissen.

Insgesamt erhielt Kaspersky im Jahr 2021 214 solcher Anfragen (im Vergleich zu 160 Anfragen in 2020) von Regierungen und Behörden aus 17 Ländern. Insgesamt 181 davon drehten sich um die technische Expertise (gegenüber 132 im Jahr 2020) . Weitere Informationen über die Schritte zur Bearbeitung solcher Anfragen sind unter https://media.kaspersky.com/en/reports/law-enforcement-and-government-requests-report-h2-2021.pdf verfügbar.Die Zahl der Anfragen von Nutzern, die erfahren wollten, wo und welche Daten über sie gespeichert sind, sowie deren Bereitstellung oder Löschung, belief sich auf insgesamt 2.252.

Um die Rechenschaftspflicht und die Transparenz von Standards in der Cybersicherheitsbranche zu fördern, möchte Kaspersky sein Fachwissen mit einer breiteren Gemeinschaft teilen. Daher hat das Unternehmen im Rahmen seiner Globalen Transparenzinitiative sein Cyber Capacity Building Program (CCBP) [9], das Organisationen auf der ganzen Welt dabei helfen soll, praktische Tools und Kenntnisse für Sicherheitsbewertungen zu entwickeln, weiter ausgebaut und bietet nun einen entsprechenden Online-Kurs – „Digital Cyber Capacity Building Program [9] – an. Die Online-Schulung, die jetzt für eine noch größere Zielgruppe verfügbar ist, unterstützt Organisationen und Einzelpersonen dabei, ihre Cyber-Resilienz zu stärken, indem sie lernen, wie Produktsicherheitsbewertungen und -Evaluierungen richtig durchgeführt werden.

Mehr Informationen über die Globale Transparenzinitiative von Kaspersky unter https://www.kaspersky.com/about/transparency

[1] https://www.kaspersky.com/about/transparency

[2] https://www.kaspersky.com/about/press-releases/2020_kaspersky-completes-its-data-processing-relocation-to-switzerland-and-opens-new-transparency-center-in-north-america

[3] ISO/IEC 27001 ist die am weitesten verbreitete Norm für Informationssicherheit, die von der Internationalen Organisation für Normung (ISO), dem weltweit größten Entwickler freiwilliger internationaler Normen, ausgearbeitet und veröffentlicht wurde.

[4] https://www.kaspersky.de/ksn

[5] https://en.tuv.at/en/certificate-search

[6] https://media.kaspersky.com/en/recertification_IS0_27001.pdf

[7]  https://media.kaspersky.com/en/reports/law-enforcement-and-government-requests-report-h2-2021.pdf

[8] Nutzerdaten sind Informationen, die Kaspersky-User freiwillig während des Einsatzes der Produkte und Dienstleistungen zur Verfügung stellen – je   nach Dienst, Produkt und Funktionen., Diese werden, wie in den Datenschutzbestimmungen von Kaspersky beschrieben, geschützt: https://www.kaspersky.com/products-and-services-privacy-policy

Anfragen nach technischem Fachwissen umfassen nicht-personenbezogene technische Informationen, die von Kaspersky-Sicherheitsforschern und Algorithmen für maschinelles Lernen erstellt und bereitgestellt werden. Dazu gehören MD5-Hashes von Malware, Indicators of Compromise (IoCs), Informationen über den Modus Operandi von Cyberangriffen, Ergebnisse von Malware-Reverse-Engineering, statistische Informationen und andere Erkenntnisse aus Untersuchungen und Forschungen.

[9] https://www.kaspersky.com/capacity-building

Nützliche Links:

• Globale Transparenzinitiative von Kaspersky: https://www.kaspersky.com/about/transparency
• Kaspersky Digital Cyber Capacity Building Program: https://www.kaspersky.com/capacity-building
• Datenschutzbestimmungen von Kaspersky: https://www.kaspersky.com/products-and-services-privacy-policy