Kaspersky veröffentlicht ersten Transparenz-Report

Um weiter seiner Verpflichtung zu mehr Transparenz nachzukommen, hat das globale Cybersicherheitsunternehmen Kaspersky nun seinen Transparenz-Bericht „Law enforcement and government requests report“ [1] veröffentlicht. Dieser enthält Informationen zu Anfragen von Regierungs- und Strafverfolgungsbehörden sowie Nutzern nach Daten und technischem Fachwissen im Jahr 2020 sowie im ersten Halbjahr 2021.

Aufgrund der wachsenden Bedeutung und Nutzung von Technologie im alltäglichen Leben wird auch der Ruf nach mehr Transparenz bei der eingesetzten Software lauter – einschließlich der Sicherheitslösungen. Kaspersky veröffentlicht daher seinen Transparenz-Bericht, damit Nutzer besser nachvollziehen können, wie das Unternehmen auf Anfragen reagiert und wie es dabei die Datensicherheit und den Datenschutz der Nutzer handhabt.

Da Cyberangriffe weiter zunehmen [2], wird die ordnungsgemäße Entwicklung und Nutzung digitaler Technologien bedroht; der Bedarf nach mehr Zusammenarbeit in der IT-Community wächst. Um die grenzüberschreitende Cyberkriminalität erfolgreich zu bekämpfen und sicherzustellen, dass Kaspersky-Nutzer geschützt sind und selbstbewusst in der digitalen Welt agieren können, arbeitet Kaspersky weltweit mit Strafverfolgungsbehörden (Law Enforcement Agencies; LEAs) zusammen.

Kaspersky teilt öffentlich seinen Ansatz, wie auf Anfragen von globalen Regierungs- und Strafverfolgungsbehörden reagiert wird. Diese werden in zwei Kategorien unterteilt: Nutzerdaten und technisches Know-how. Des Weiteren veröffentlicht das Unternehmen Informationen über die Anzahl solcher Anfragen nach Ländern für das Jahr 2020 sowie für das erste Halbjahr 2021:

• Im Jahr 2020 erhielt Kaspersky 160 Anfragen von Regierungen und LEAs aus 15 Ländern. 132 davon sind als „Non-Personal Technical Information & Expertise“ klassifiziert. Alle 28 Anfragen hinsichtlich Nutzerdaten wurden bearbeitet und abgelehnt, weil Daten fehlten oder sie den rechtlichen Nachweispflichten nicht entsprachen.
• Im ersten Halbjahr 2021 erhielt Kaspersky 105 Anfragen von Regierungen und LEAs aus 17 Ländern. 40 Prozent davon wurden bearbeitet und abgelehnt, weil entweder Daten fehlten oder sie die gesetzlichen Nachweispflichten nicht erfüllten. Insgesamt wurden in den ersten sechs Monaten dieses Jahres 89 Anfragen der Kategorie „Non-Personal Technical Information & Expertise“ gestellt.

Kaspersky gewährt Strafverfolgungs- oder Regierungsorganisationen keinen Zugriff auf Nutzerdaten oder die Infrastruktur des Unternehmens. Auf Anfrage wird Auskunft über solche Daten erteilt, jedoch kann kein Dritter direkt oder indirekt auf die Infrastruktur oder Daten von Kaspersky zugreifen. Alle Anfragen durchlaufen eine obligatorische rechtliche Prüfung, bevor diese Anfragen genehmigt, abgelehnt oder angefochten werden.

Nutzerdaten umfassen Informationen, die Anwender Kaspersky beim Einsatz der Produkte und Dienste des Unternehmens zur Verfügung stellen. Diese variieren je nach Diensten, Produkten und Funktionen. Diese erhobenen Daten werden – wie in der Datenschutzrichtlinie von Kaspersky [3] beschrieben – geschützt. Als Cybersicherheitsunternehmen hat Kaspersky keinen Zugriff auf inhaltliche Daten (die von Nutzern erstellt oder kommuniziert werden), an denen LEAs üblicherweise als elektronische Beweismittel interessiert sind, und verarbeitet diese somit auch nicht.

Anfragen nach technischem Fachwissen umfassen nicht-personenbezogene technische Informationen, die von Kaspersky-Experten und Machine-Learning-Algorithmen erstellt und bereitgestellt werden. Dies umfasst unter anderem MD5-Hashes von Malware, Indicators of Compromise (IoCs), Informationen über den Modus Operandi von Cyberangriffen, die Ausgabe von Malware-Reverse Engineering, statistische Informationen und andere Ergebnisse aus Untersuchungen und Forschungen.

„Wir bei Kaspersky haben uns zu mehr Transparenz in unserem Tun und Handeln verpflichtet. Unser Unternehmen arbeitet im besten Interesse der internationalen Cybersicherheit mit Strafverfolgungsbehörden auf der ganzen Welt zusammen“, kommentiert Oleg Abdurahitov, Head of Public Affairs bei Kaspersky. „Wir sind davon überzeugt, dass wir durch eine klare Kommunikation unserer Grundprinzipien für die Zusammenarbeit mit Organisationen bei der Bekämpfung der Cyberkriminalität dazu beitragen, dass unsere Anwender den Cybersicherheitslösungen von Kaspersky vertrauen.“

Darüber hinaus legt Kaspersky Informationen zu Anfragen von Nutzern zu verschiedenen Zwecken offen, beispielsweise zur Löschung der personenbezogenen Daten eines Anwenders, zu Angaben darüber, wo und wie die Daten eines Nutzers gespeichert sind, und zu deren Bereitstellung. Im Jahr 2020 erhielt Kaspersky insgesamt 503 Nutzeranfragen, während sich diese Zahl im ersten Halbjahr 2021 mit 1.199 Anfragen bereits mehr als verdoppelt hat. Ausführliche Informationen können hier abgerufen werden: https://kas.pr/user-data-2021

Weitere Informationen und Schritte zur Bearbeitung von Anfragen sind hier verfügbar https://kas.pr/gti2021

Ausführliche Details zur Globalen Transparenzinitiative von Kaspersky sind verfügbar unter https://www.kaspersky.com/transparency-center

[1] https://kas.pr/gti2021

[2] https://securelist.com/kaspersky-security-bulletin-2020-statistics/99804/

[3] https://www.kaspersky.de/products-and-services-privacy-policy

Nützliche Links:

• Kaspersky und Transparenz: https://www.kaspersky.de/about/transparency
• Kasperskys Globale Transparenzinitiative: https://www.kaspersky.com/transparency-center
• Datenschutzrichtlinie von Kaspersky für Produkte und Services: https://www.kaspersky.de/products-and-services-privacy-policy