Neue Transparenzzentren im Nahen Osten und Afrika geplant. Freigabe des Quellcodes für alle On-Premise-Lösungen ab Juli 2023.
Dieses Jahr feiert Kaspersky das fünfjährige Bestehen seiner Globalen Transparenzinitiative (GTI). Mit diesem Flaggschiffprogramm möchte das Unternehmen branchenweit neue Maßstäbe im Umgang mit Supply-Chain-Risiken setzen. Nachdem das allgemeine Bewusstsein bezüglich Gefahren bei der Verwendung von Drittanbieter-Software zunimmt und Unternehmen und Aufsichtsbehörden verstärkt auf die Sicherheit der von ihnen eingesetzten Software achten, wird Kaspersky das Netzwerk der Transparenzzentren weltweit vergrößern. Außerdem wird der Sicherheitsanbieter die Möglichkeiten zur Überprüfung seines Quellcodes erweitern.
Mit der steigenden Tendenz hin zu digitaler Souveränität wächst gleichzeitig die Nachfrage nach mehr digitalem Vertrauen, wobei wichtige Meilensteine durch Vorschriften wie den Cyber Resilience Act der Europäischen Kommission bereits gesetzt wurden. In diesem Zuge stellt sich die Frage nach faktenbasierten Kriterien für geeignete digitale Produkte und Maßnahmen zur Überprüfung ihrer Compliance; dabei sind universelle, vertrauensbildende Rahmenbedingungen gefragt wie nie zuvor.
Pläne: Ausbau der Transparenzzentren und mehr Optionen zur Quellcode-Prüfung
Bis Mitte 2024 plant Kaspersky, das Netzwerk seiner Transparenzzentren auszubauen: jeweils ein erstes Zentrum ist für den Nahen Osten und Afrika geplant sowie ein neues, zusätzliches Zentrum für den asiatisch-pazifischen Raum. Diese drei neuen Einrichtungen werden als Informationszentren für Stakeholder des Unternehmens dienen, an denen sie mehr über die interne Technik und das Datenmanagement von Kaspersky sowie über die geltenden Branchenstandards und Best Practices erfahren können.
Aufgrund des großen Interesses seiner Kunden an der Einsicht in den Quellcode weiterer Kaspersky-Produkte erweitert Kaspersky den Prüfungsbereich des Quellcodes in seinen Transparenzzentren. Bislang bot Kaspersky nur den Quellcode seiner wichtigsten Consumer- und Enterprise-Produkte zur Überprüfung an. Eine weitere Neuerung im Angebot der Kaspersky-Transparenzzentren sind die Ergebnisse der Selbstzertifizierung von Kaspersky-Produkten, einschließlich Elementen wie Designdokumente und Bedrohungsmodelle, die sich auf die im europäischen Gesetzentwurf zum Cyber Resilience Act enthaltenen Empfehlungen beziehen.
„Als Kaspersky seine globale Transparenzinitiative ins Leben rief, war das Unternehmen ein Pionier bei der Förderung des digitalen Vertrauens und setzte sich gegenüber seinen Kunden für die Rechenschaftspflicht der Anbieter ein“, kommentiert Yuliya Shlychkova, Public Affairs Director bei Kaspersky. „Heute stellen wir fest, dass Transparenz von Unternehmen weltweit zunehmend gefordert wird. Sie zeigen eine reifere Einstellung zum Thema Cyberschutz und achten verstärkt auf die Zuverlässigkeit ihrer Softwareanbieter. Kaspersky erweist sich damit als vorausschauender Visionär hinsichtlich zukünftiger Entwicklungsbereiche und Trends der Branche."
Zielsetzung und Säulen der globalen Transparenzinitiative
Das Ziel der GTI ist es, die Vertrauenswürdigkeit der Kaspersky-Lösungen zu unterstreichen und die Transparenzstandards in der gesamten Cybersicherheitsbranche zu fördern. Die Gesamtinvestitionen für das Projekt belaufen sich seit dem Start im Jahr 2017 auf insgesamt 7,9 Millionen US-Dollar. Heute umfasst die GTI sechs Hauptsäulen:
- Datenverlagerung,
- Eröffnung von Transparenzzentren auf der ganzen Welt,
- regelmäßige unabhängige Audits,
- ein Schwachstellenmanagementprogramm,
- ein Cyber Capacity Building Program
- Transparenzberichte.
Zu den frühesten Maßnahmen der GTI zählte die Verlagerung der von den Nutzern von Kaspersky-Produkten erhaltenen Daten über Cyberbedrohungen in Datenzentren in der Schweiz, da diese für soliden Datenschutz und Neutralität bekannt sind. Inzwischen werden die Daten von Kaspersky-Nutzern in Europa, Nord- und Lateinamerika, im Nahen Osten und in mehreren Ländern des asiatisch-pazifischen Raums in zwei Rechenzentren in Zürich gespeichert und verarbeitet.
„Von Anfang an haben wir bei Kaspersky den Schutz von Anwenderdaten sehr ernst genommen. Um die Sicherheit der Daten, die uns unsere Kunden anvertrauen, zu gewährleisten, haben wir einen integrierten Ansatz verfolgt sowie unsere Datenverwaltungspraktiken mit den führenden Industriestandards in Einklang gebracht“, kommentiert Anton Ivanov, Chief Technology Officer bei Kaspersky. „Dazu haben wir auch externe Prüfer eingeladen und uns für erstklassige Einrichtungen entschieden, die den Industriestandards zur Datenspeicherung und -verarbeitung entsprechen. Wir hoffen, dass wir den Nutzern von Kaspersky-Produkten mit dieser ganzheitlichen Sichtweise die Gewissheit geben können, dass ihre Daten sicher und geschützt sind.“
Zeitgleich mit dem Beginn der Datenverlagerung begann Kaspersky mit dem Aufbau eines globalen Netzwerks von Transparenzzentren. Diese Einrichtungen bieten Kunden und Partnern sowie den für Cybersicherheit zuständigen Behörden die Möglichkeit, die Integrität der Kaspersky-Lösungen durch Einsicht in den jeweiligen Quellcode zu überprüfen und mehr über die internen Prozesse von Kaspersky zu erfahren. Seit Eröffnung des ersten Transparenzzentrums in Zürich im November 2018 hat Kaspersky acht weitere solcher Zentren in Europa, Nord- und Lateinamerika sowie im asiatisch-pazifischen Raum eröffnet. Bis heute veranstaltete Kaspersky in seinen Transparenzzentren weltweit Briefings für fast 60 Interessenten, darunter nationale Aufsichtsbehörden und Unternehmen aus der ganzen Welt.
Weitere Highlights der GTI:
- Regelmäßige Audits durch Dritte, um die Sicherheit der Kaspersky-Lösungen zu bestätigen. Seit 2019 werden die Datenmanagementsysteme von Kaspersky in regelmäßigen Abständen nach der Norm ISO/IEC 27001:2013 zertifiziert [1]. Diese belegt die hohe Informationssicherheit und die Konformität des Datenservices mit branchenweit führenden Standards. Darüber hinaus unterzieht sich Kaspersky ebenfalls regelmäßig einem SOC-2-Audit durch eine unabhängige Prüfstelle [2], um den Prozess der Entwicklung und Verteilung von Virendatenbanken zu überprüfen und sicherzustellen, dass diese sicher und vor unbefugten Änderungen geschützt sind.
- Die Herausgabe von Transparenzberichten, die Statistiken über Anfragen von Strafverfolgungs- und Regierungsbehörden nach technischem Know-how und Nutzerdaten enthalten. Im aktuellen Bericht [3] werden Daten zu den in der zweiten Jahreshälfte 2022 eingegangenen Anfragen in zwei Kategorien – nach Benutzerdaten und nach technischem Fachwissen – offengelegt. Insgesamt erhielt Kaspersky in der zweiten Jahreshälfte 2022 37 Anfragen von Regierungen und Strafverfolgungsbehörden (Law Enforcement Agencies, LEAs) aus sechs Ländern. Mindestens 35 Prozent dieser Anfragen wurden abgelehnt, weil keine Daten vorlagen oder die rechtlichen Anforderungen nicht erfüllt wurden.
- Das Bug-Bounty-Programm, das es allen Personen ermöglicht, kritische Schwachstellen oder Bugs in Kaspersky-Systemen zu melden und dafür eine Prämie zu erhalten. Die Prämien für Sicherheitsforscher wurden im Rahmen der GTI erhöht. Für die Meldung von besonders kritischen Schwachstellen können nun bis zu 100.000 US-Dollar vergeben werden. Seit März 2018 erhielt Kaspersky 55 Berichte über kleinere Sicherheitslücken, die gepatcht und für die bis heute insgesamt 77.450 US-Dollar als Prämien ausgezahlt wurden.
- Das Cyber Capacity Building Program (CCBP), das Organisationen beim Erlernen von Fähigkeiten und Methoden zur Sicherheitsbewertung von IKT-Produkten unterstützen soll. Seit dem Jahr 2020 haben sechs Regierungsbehörden am Kaspersky Cyber Capacity Building Program teilgenommen, um Kompetenzen für die Bewertung der Vertrauenswürdigkeit von Software zu erlangen.
[1] https://www.kaspersky.com/about/iso-27001
[2] https://www.kaspersky.com/about/compliance-soc2
Nützliche Links:
- Kasperskys Zertifikat zur Information Security Management Compliance: ISO/IEC 27001:2013: https://www.kaspersky.com/about/iso-27001
- Kasperskys SOC 2 Audit: https://www.kaspersky.com/about/compliance-soc2
- Kaspersky Studie: https://content.kaspersky-labs.com/se/media/en/transparency-center/Kaspersky_Law_Enforcement_Requests_Report_H2_2022.pdf
