Messbare Transparenz: Studie „Transparency Review and Accountability in Cybersecurity“ im Auftrag der Wirtschaftskammer Tirol (WKO), durchgeführt von MCI | Die Unternehmerische Hochschule® und Studio Legale Tremolada in Zusammenarbeit mit AV-Comparatives
- Kaspersky erzielt unter 14 bewerteten Anbietern bestes Ergebnis mit 57 von 60 erfüllten oder übertroffenen Kriterien
- Kaspersky ist einer von nur drei Anbietern, die alle untersuchten sicherheitsrelevanten Kriterien erfüllen
Basierend auf einer unabhängigen Untersuchung unter 14 Cybersicherheitsanbietern zu Transparenz und Verantwortlichkeit [1] ging Kaspersky als einer der transparentesten Anbieter hervor und übertraf durchweg die Branchenstandards in den Bereichen Datenverarbeitung, Supply-Chain-Vertrauen und Verifikationsmöglichkeiten für Kunden. Die Ergebnisse hat das internationale Cybersicherheitsunternehmen nun im Whitepaper „Vertrauen & Transparenz: Warum das die Grundlage Ihrer Zukunft in Sachen Cybersicherheit sein muss“ [2] veröffentlicht.
Die unabhängige Studie „Transparency Review and Accountability in Cyber Security”, auf der das Kaspersky-Whitepaper basiert, wurde im Auftrag der Wirtschaftskammer Tirol (WKO) von der MCI | Die Unternehmerische Hochschule® und Rechtsexperten in Zusammenarbeit mit AV-Comparatives durchgeführt. Die Studie bewertet Anbieter anhand einer Reihe von Kriterien in Bezug auf Transparenz und Verantwortlichkeiten. Das Ergebnis: Zwar ist in der Branche grundlegende Compliance verbreitet, nachweisbare Praktiken, die das Vertrauen stärken, sind jedoch noch selten.
Umfangreiche Leistungen in Transparenzzentren, Quellcodeüberprüfung, SBOM
Die Untersuchung zeigt zentrale Unterschiede auf: Kaspersky gehört zu einem von nur drei der 14 untersuchten Anbietern, die Kunden Zugang zu Transparenzzentren bieten, in denen Quellcodes, Datenverarbeitungspraktiken und Updateprozesse unabhängig überprüft werden können. Dabei gewährt Kaspersky die umfangreichsten Leistungen in den Transparenzzentren, einschließlich der Prüfung von Erkennungsregeln zur Bedrohungserkennung und einer Verifikationsprüfung von Builds hinsichtlich ihrer Übereinstimmung mit öffentlich zugänglichen Angaben. Als Teil der Globalen Transparenzinitiative [3] hat Kaspersky weltweit mehr als zehn solcher Einrichtungen eröffnet, mit unterschiedlichen Überprüfungsoptionen für Stakeholder aus Unternehmen und Regierungen.
Zudem zählt Kaspersky zu einem von nur drei Anbietern, die Zugang zu einer Software Bill of Materials (SBOM) bieten, sowie zu einem von vier, die regelmäßig Transparenzberichte veröffentlichen, die detaillierte Anfragen von Strafverfolgungsbehörden und staatlichen Behörden enthalten. Diese Ratio offenbart eine Lücke zwischen Selbstverpflichtungen und praktisch umgesetzter Verantwortlichkeit in dieser Branche.
Kaspersky einer von nur drei Anbietern, die alle untersuchten sicherheitsrelevanten Kriterien erfüllen
Insgesamt wurden 60 Kriterien bewertet, wovon Kaspersky 57 erfüllt oder gar übertroffen hat – das beste Ergebnis unter den geprüften Anbietern. Zudem ist Kaspersky einer von nur drei Anbietern, die alle untersuchten sicherheitsrelevanten Kriterien erfüllen, einschließlich dem Reporting von Schwachstellen, Sicherheitshinweise, der Zusammenarbeit mit und Verpflichtung zum „Safe Harbor“-Statement, Ergebnissen von Sicherheitsaudits und sicheren Software Development Life Cycle (SDLC)-Prozessen. Diese Kriterien werden in der Studie als „Schlüsselindikatoren für Vertrauenswürdigkeit und langfristige Resilienz“ gesehen.
Die Überprüfung umfasste außerdem eine praktische technische Analyse von Cybersicherheitsprodukten. Demnach sammelt Kaspersky Next EDR Optimum [4] nur minimal Daten und ermöglicht es Kunden, cloudbasierte Reputationsdienste und EDR-Funktionalitäten vollständig zu deaktivieren.
In der Evaluierung wurde zudem deutlich, dass die Kontrolle, die Kunden über Produktupdates haben, generell stark variiert. Während fast alle Anbieter ihre Update-Historien öffentlich zugänglich machen, unterstützen nur acht gestaffelte Update-Rollouts. Zudem gewähren lediglich sechs Anbieter – einschließlich Kaspersky – Kunden Einsicht in Virusdefinitionen. Diese Funktionalitäten können für Unternehmen entscheidend sein, die in regulierten oder sensiblen Umgebungen tätig sind, in denen Change-Management und Verifizierung erforderlich sind.
„Cybersicherheitslösungen sind tief in die Systeme unserer Kunden eingebettet“, so Eugene Kaspersky, Gründer und CEO von Kaspersky. „Daher ist Verantwortlichkeit von entscheidender Bedeutung. Wenn unabhängige Experten unsere Arbeit überprüfen, wird Transparenz messbar, statt nur auf Vertrauen zu beruhen. Wir liefern Unternehmen einen konkreten Nachweis, den sie nutzen können, um zu entscheiden, wem sie vertrauen. Gleichzeitig fördern wir damit höhere Standards in der gesamten Cybersicherheitsbranche.“
Endpoint Detection and Response (EDR)-Lösungen verarbeiten Telemetrie, verwalten automatisierte Updates und stützen sich auf cloudbasierte Dienste, um Schutz zu bieten. Deshalb sind Transparenz und Verantwortlichkeit inzwischen eng verknüpft mit Governance-, Compliance- und Supply-Chain-Risiken, statt ausschließlich als technische Eigenschaften zu gelten.
Transparenz muss zentrales Bewertungskriterium bei Anbieterauswahl sein
Laut Studie sollte Transparenz für CISOs und Stakeholder auf Unternehmensebene ein zentrales Bewertungskriterium bei der Anbieterauswahl sein. Anbieter, die starken Schutz mit strukturierter Transparenz – wie SBOM-Verfügbarkeit, überprüfbaren Update-Prozessen, öffentlichen Audit-Ergebnissen und kundengesteuerten Datenflüssen – kombinieren, bieten Unternehmen ein höheres Maß an Prüfsicherheit.
Auf Branchenebene spiegelt die Studie einen umfassenderen Wandel hin zu verantwortungsgetriebener Governance in der Cybersicherheit wider. Denn regulatorische Initiativen betonen zunehmend Nachverfolgbarkeit, sichere Entwicklung sowie Transparenz nach Markteinführung. Sie signalisieren, dass bisher noch wenig verbreitete Praktiken künftig zum erwarteten Standard werden könnten. Unabhängige Bewertungen schaffen eine Vergleichsbasis sowohl für Anbieter als auch für Kunden, während sich diese Erwartungen weiterentwickeln.
Um CISOs bei einer fundierten Bewertung der Vertrauenswürdigkeit externer Anbieter zu unterstützen und um die Widerstandsfähigkeit ihrer Lieferkette zu stärken, stellt Kaspersky eine handlungsorientierte Checkliste für CISOs in seinem jetzt veröffentlichten Whitepaper bereit: https://gti.kaspersky.com/de/report/
Die vollständige Studie „Transparency Review and Accountability in Cyber Security“ ist verfügbar unter: https://www.wko.at/tirol/information-consulting/transparency-review-and-accountability-in-cyber-security-tra.pdf.
[1] https://www.wko.at/tirol/information-consulting/transparency-review-and-accountability-in-cyber-security-tra.pdf / Die Studie „Transparency Review and Accountability in Cybersecurity“ wurde im Auftrag der Wirtschaftskammer Tirol (WKO) von MCI | Die Unternehmerische Hochschule® und Studio Legale Tremolada in Zusammenarbeit mit AV-Comparatives durchgeführt.
[2] Kaspersky-Whitepaper „Vertrauen & Transparenz: Warum das die Grundlage Ihrer Zukunft in Sachen Cybersicherheit sein muss”: https://gti.kaspersky.com/de/report/
[3] https://gti.kaspersky.com/de
[4] https://www.kaspersky.de/next-edr-optimum
Nützliche Links:
- Kaspersky-Whitepaper „Vertrauen & Transparenz: Warum das die Grundlage Ihrer Zukunft in Sachen Cybersicherheit sein muss”: https://gti.kaspersky.com/de/report/
- Globale Transparenzinitiative von Kaspersky: https://gti.kaspersky.com/de
- Kaspersky Next EDR Optimum: https://www.kaspersky.de/next-edr-optimum
