SOC 2-Audit: Was, wie und warum?

23 Aug 2019

Wie Sie vielleicht bereits über unseren offiziellen Blog oder unsere Pressemitteilung erfahren haben, haben wir kürzlich unser unabhängiges SOC 2-Audit bestanden. Sollten Sie nicht wissen, was genau das ist und warum es notwendig war, haben wir alle Details im Anschluss ausführlich für Sie zusammengefasst.

Was ist ein SOC 2-Audit?

SOC 2 (Service and Organization Controls 2) ist eine Prüfung von Kontrollverfahren in dienstbereitstellenden IT-Organisationen. Im Wesentlichen handelt es sich um einen internationalen Berichtsstandard für Cybersicherheits-Risikomanagementsysteme. Dieser vom American Institute of Certified Public Accountants (AICPA) entwickelte Standard wurde im März 2018 aktualisiert.

In diesem Beitrag geht es um das SOC 2 Typ 1 Audit (welches wir erfolgreich bestanden haben), das bestätigt, dass Sicherheitsüberwachungsmechanismen effektiv in einem individuellen System eingerichtet wurden. Mit anderen Worten: externe Prüfer haben unser Risikomanagementsystem vor Ort untersucht, um einen Blick auf die von uns implementierten Praktiken zu werfen und festzustellen, wie genau wir die angegebenen Verfahren befolgen und wie mögliche Prozessänderungen aufgezeichnet werden.

Warum sind Audits notwendig?

Jedes Unternehmen, das Dienstleistungen zur Verfügung stellt, kann eine potenzielle Bedrohung für seine Kunden darstellen. Selbst ein völlig legitimes Unternehmen könnte zu einem Glied in einer „Supply Chain“ werden, über die dann ein Angriff ausgeführt werden kann. Unternehmen, die in der Informationssicherheit tätig sind, tragen jedoch eine weitaus größere Verantwortung, da ihren Produkten ein maximaler Zugriff auf Nutzerinformationssysteme gewährt werden muss.

Daher können bei Kunden, insbesondere bei großen Unternehmen, von Zeit zu Zeit berechtigte Fragen auftauchen: Inwieweit können wir diesen Diensten vertrauen? Welche internen Richtlinien bestehen für die von uns genutzten Dienste? Könnte uns jemand mit seinen Produkten oder entsprechenden Dienstleistungen Schaden zufügen?

Doch: Die Antworten, die wir (oder jedes andere Unternehmen) auf diese Fragen geben können, spielen keine Rolle, da diese selbstverständlich immer möglichst überzeugend klingen sollen. Aus diesem Grund wenden wir uns an externe Prüfer, die ein exterenes und völlig unabhängiges Gutachten erstellen. Es ist uns wichtig, dass unsere Kunden und Partner keine Zweifel daran haben, dass unsere Produkte und Dienstleistungen zuverlässig sind. Zudem sind wir der Meinung, dass es überaus wichtig ist, dass unsere internen Prozesse internationalen Standards und Best Practices entsprechen.

Was haben die Prüfer untersucht?

Die größte Sorge ist immer der Mechanismus für die Informationsübermittlung an Kundencomputer. Unsere Lösungen decken verschiedene Marktsegmente und Branchen ab, und ein Großteil dieser Lösungen nutzt eine Antivirus-Engine als defensive Kerntechnologie, um Objekte auf Anzeichnen von Cyberbedrohungen zu scannen. Unter den zahlreichen Technologien verwendet die Engine extrem schnelle Hashes, Emulation in einer isolierten Umgebung sowie maschinell erlernbare, mathematische Modelle, die besonders mutationsresistent sind – all das erfordert die regelmäßige Aktualisierung der AV-Datenbanken, um effektiv gegen moderne Cyberbedrohungen vorgehen zu können.

Unabhängige Prüfer haben unser System zur Verwaltung eben dieser Datenbanken sowie unsere Methoden zur Überwachung der Vollständigkeit und Authentizität der Updates für AV-Produktdatenbanken für Windows- und Unix-Server genauer unter die Lupe genommen. Dabei konnten sie feststellen, dass unsere Kontrollmethoden korrekt funktionieren. Zudem haben sie den Entwicklungs- und Freigabeprozess der AV-Datenbanken für mögliche unbefugte Manipulationen überprüft.

Wie wurde die Untersuchung ausgeführt?

Die Prüfer untersuchen, inwieweit Anbieterprozesse den fünf Grundprinzipien der Sicherheit entsprechen: Schutz (ist der Prozess vor unbefugtem Zugriff geschützt?), Verfügbarkeit (funktioniert der Prozess?), Prozessintegrität (werden die Daten, die an den Kunden geliefert werden, sicher aufbewahrt?), Vertraulichkeit (kann auf diese Daten zugegriffen werden?) und Datenschutz (werden personenbezogene Daten auf unserer Seite gespeichert, und wenn ja, wie?)

In unserem Fall haben die Prüfer Folgendes untersucht:

  • Welche Dienstleistungen wir anbieten;
  • Auf welche Art und Weise unsere Systeme mit Nutzern und potenziellen Daten interagieren;
  • Wie Prozesssteuerungen implementiert werden und wie mögliche Einschränkungen aussehen;
  • Welche Kontrollwerkzeuge Nutzern zur Verfügung stehen und wie diese mit unseren Kontrolltools interagieren;
  • Welchen Risiken unsere Dienste ausgesetzt sind und welche Kontrollwerkzeuge diese minimieren.

Um all das zu verstehen, nahmen die Prüfer unsere Organisationsstruktur & Mechanismen sowie unser Personal genauer unter die Lupe. Sie interessierten sich für die Art und Weise, in der Hintergrundprüfungen bei der Einstellung neuer Mitarbeiter durchgeführt werden und analysierten unsere Verfahren für den Umgang mit sich ändernden Sicherheitsanforderungen. Zudem untersuchten sie den Quellcode des von uns angewandten Mechanismus zur automatischen Bereitstellung von Antiviren-Datenbank-Updates. Besonderes Interesse zeigten sie darüber hinaus an bestehenden Möglichkeiten, nicht autorisierte Änderungen an diesem Code vorzunehmen. Selbstverständlich wurden zudem noch viele andere Dinge hinterfragt und überprüft. Wenn Sie an den Details des Audtis interessiert sind, können Sie den vollständigen Bericht über den anschließenden herunterladen.

Wer hat das Audit durchgeführt und wo kann ich den gesamten Bericht lesen?

Die Prüfung wurde von einem unabhängigen Auditor der Big Four ausgeführt. Obwohl wir den Namen des Auditoren bislang nicht preisgegeben haben, bedeutet dies nicht, dass die Prüfer anonym waren. Es ist lediglich üblich, die Namen der Big Four kontrolliert zu verwenden. Der Bericht wurde allerdings selbstverständlich abgezeichnet.

Der Abschlussbericht einer der vier großen globalen Wirtschaftsprüfungsgesellschaften bestätigt, dass sowohl die Entwicklung als auch die transparente Offenlegung der Kaspersky-Datenbanken (AV-Datenbanken) durch starke Security-Kontrollen geschützt sind. Dies gilt insbesondere für die Sicherung vor unbefugter Einflussnahme und extern vorgenommenen systemischen Änderungen. Wer gerne weitere Details in Erfahrung bringen möchte, kann sich gerne hier mit dem gesamten Report vertraut machen (dazu ist übrigens eine kostenlose Anmeldung erforderlich).