Transparenz
Vor einigen Monaten haben wir bereits angekündigt, dass unsere Globale Transparenzinitiative 2018 starten wird. In den ersten Frühlingsmonaten haben wir unsere Bug-Prämie auf stolze 100.000 US-Dollar erhöht und heute sind wir bereit, einen weiteren wichtigen Schritt in Richtung Transparenz und Integrität zu machen: Wir eröffnen unser erstes Transparenzzentrum in der Schweiz und verlegen somit einen großen Teil unserer Infrastruktur sowie die Finalisierung unserer Software-Produktion und die Server, auf denen die Daten von Kaspersky Security Network gespeichert und verarbeitet werden, nach Zürich.
Um mögliche Zweifel und Fragen aus der Welt zu schaffen und unseren Nutzern die Bedeutung und das Ziel hinter dieser Initiative näherzubringen, haben wir das folgende Q&A für Sie zusammengestellt.
Was passiert mit der Produktionslinie und den KSN-Daten?
Zunächst werden unsere Build-Systeme, die an der Kompilierung und Erstellung von Kaspersky-Lab-Produkten sowie an Updates für die Bedrohungsentdeckung arbeiten, nach Zürich verlegt. Auf diese Weise wird unsere Software in der Schweiz unter Aufsicht einer Drittorganisation verifiziert und signiert, bevor sie an Endkunden verteilt wird.
Darüber hinaus verlagern wir unsere Server, die Informationen des Kaspersky Security Networks von Nutzern in Europa, Nordamerika, Australien, Japan, Südkorea und Singapur verarbeiten und speichern. Weitere Länder werden folgen. Auch bei diesem Prozess erfolgt eine unabhängige Überprüfung.
Warum werden die Produktionslinie und die KSN-Daten verlegt?
Obwohl das aktuelle Schutzniveau in unserer Datenverarbeitungs- und Softwareentwicklungsinfrastruktur extrem hoch ist, arbeiten wir ständig daran, es zu verbessern. Um unsere Resilienz im Bezug auf Supply-Chain-Risiken und die Transparenz gegenüber unserer Kunden zu erhöhen, ist es wichtig sicherzustellen, dass der in unserem Transparenzzentrum überprüfte Quellcode mit dem für den Audit bereitgestellten Quellcode übereinstimmt.
Gleiches gilt für die Daten, die von Kaspersky Security Network verarbeitet werden: Die Speicherung in der Schweiz unter der Aufsicht einer unabhängigen Organisation bedeutet, dass jeder Zugriff auf diese Daten sorgfältig protokolliert wird: Sollten Bedenken auftreten, können die Protokolle jederzeit überprüft werden.
Was ist ein Transparenzzentrum?
Hier können vertrauenswürdige und interessierte Parteien den Quellcode unserer Produkte sowie die von uns verwendeten Tools überprüfen. Folgendes wird ihnen hier zur Verfügung gestellt:
- Sichere Dokumentation der Softwareentwicklung;
- Der Quellcode eines veröffentlichten Produkts (einschließlich älterer Versionen);
- Datenbanken zur Bedrohungserkennung;
- Der Quellcode der Cloud-Dienste, der für den Empfang und die Speicherung der Daten von Kunden in Europa, Nordamerika, Australien, Japan, Südkorea und Singapur zuständig ist;
- Softwaretools, die für die Erstellung eines Produkts (Build-Skripts), Datenbanken und Cloud-Services verwendet werden.
Warum tun wir das Ganze?
Das Hauptziel unserer Globalen Transparenzinitiative ist es, alle Überprüfungsprozesse so zu gestalten, dass sich niemand ausschließlich auf die Integrität unserer Produkte, Updates, Erkennungsregeln, Datenspeicherung, usw. verlassen muss. Verantwortliche Stakeholder aus staatlichen und privaten Organisationen mit einschlägigem Fachwissen können unsere Software überprüfen, um sicherzustellen, dass alles wie erwartet funktioniert.
Wer stellt sicher, dass sich Kaspersky Lab an die Spielregeln hält?
Eine außenstehende Organisation wird die Vertrauenswürdigkeit aller Vorgänge in unserer Einrichtung in Zürich überprüfen. Zu ihren Funktionen gehört:
- Die Überwachung und Protokollierung unserer Mitarbeiter, die Zugang zu Produkt-Metadaten haben, die über Kaspersky Security Network empfangen und im Schweizer Rechenzentrum gespeichert werden;
- Die Organisation und Durchführung einer Überprüfung unseres Quellcodes;
- Die Ausführung anderer Aufgaben, die darauf ausgerichtet sind, die Vertrauenswürdigkeit von Kaspersky-Lab-Produkten zu bewerten und zu überprüfen.
Kaspersky Lab unterstützt die Etablierung einer neuen, gemeinnützigen Organisation, die diese Verantwortung nicht nur für unser Unternehmen, sondern auch für andere Partner und Mitglieder, die sich beteiligen möchten, übernehmen kann. Wir möchten noch einmal audrücklich darauf hinweisen, dass das Transparenzzentrum und die Organisation zur Überprüfung zwei völlig verschiedene und unabhängige Einrichtungen sind.
Unser erstes Transparenzzentrum, unsere Software-Produktionslinie sowie die Speicherung der Daten von #Kaspersky Security Network werden sich in der Schweiz ansiedeln.
Tweet
Warum die Schweiz?
Wir haben uns aus zwei Gründen für die Schweiz entschieden. Erstens behält die Schweiz ihre Neutralitätspolitik bereits seit zwei Jahrhunderten bei. Und zweitens befolgt das Land starke Datenschutzgesetze. Wir glauben, dass diese zwei Qualitäten die Schweiz zum perfekten Standort unserer sensiblen Infrastruktur machen.
Werden noch weitere Transparenzzentren eröffnet?
Bis 2020 wollen wir weitere Zentren in Nordamerika und Asien eröffnen. Details möchten wir an dieser Stelle aber noch nicht bekannt geben.
Wann wird die Verlegung stattfinden?
Das Ganze wird einige Zeit in Anspruch nehmen. Der Umzug unserer Produktionslinie, der einfachere Teil des Prozesses, wird Ende 2018 abgeschlossen sein. Der Aufbau einer Datenverarbeitungsinfrastruktur erfordert die Verlagerung mehrerer Dutzend Dienstleistungen von Moskau nach Zürich. Das Projekt ist bereits im Gange und soll planweise bis Ende 2019 abgeschlossen sein.
Unseres Wissen nach, sind wir das erste Cybersicherheitsunternehmen, das eine solche Initiative ins Leben ruft, was die ganze Sache in mancher Hinsicht deutlich komplizierter gestaltet. Wir sind allerdings der festen Überzeugung, dass es höchste Zeit ist, für mehr Transparenz in der Softwareentwicklung zu sorgen. Früher oder später wird es also auch für andere Unternehmen kein Entkommen geben. Das erste Unternehmen zu sein, verleiht uns in dieser Hinsicht also einen gewissen Vorteil.
Tipps