Transparenz
Wer als CISO (Chief Information Security Officer) arbeitet und für die Informationssicherheit verantwortlich ist, muss nicht nur Hacker bekämpfen. Eine permanente Herausforderung ist auch die „Compliance“. Regulierungsbehörden ziehen die Schrauben ständig fester an, Vorschriften schießen wie Pilze aus dem Boden, die Lage wird immer unübersichtlicher. Und CISOs sind nicht nur für ihren eigenen Bereich verantwortlich, sondern weit darüber hinaus: die gesamte Lieferkette, alle Auftragnehmer und die komplette Software, mit der die Geschäftsprozesse laufen. Die Logik ist ebenso eindeutig wie unbarmherzig: Wenn bei einem Lieferanten eine Sicherheitslücke auftaucht und dein Unternehmen dadurch in die Zwickmühle gerät, bleibt die Verantwortung an dir hängen. Dies gilt auch für Sicherheitssoftware.
Früher machten sich Unternehmen kaum Gedanken darüber, was in den eingesetzten Sicherheitslösungen und -produkten steckt. Heutzutage wollen insbesondere große Unternehmen alles ganz genau wissen: Was ist wirklich in einem Programm drin? Wer hat den Code geschrieben? Könnte die Software eine wichtige Funktion stören oder den Betrieb sogar komplett lahmlegen (Präzedenzfall: Crowdstrike-Update von 2024)? Wo und wie werden Daten verarbeitet? All diese Fragen sind völlig berechtigt.
Das Problem: Fast alle Kunden vertrauen darauf, dass die Anbieter solche Fragen wahrheitsgemäß beantworten. Meist haben die Kunden gar keine andere Wahl. Die heutige Cyber-Realität erfordert jedoch einen vernünftigeren Ansatz, der Kontrolle erlaubt.
In der Geschäftswelt heißt das „Vertrauen in die Lieferkette“. Der Versuch, dieses Rätsel alleine zu lösen, ist aber eine unlösbare Aufgabe. Es geht einfach nicht ohne die Hilfe der Hersteller. Was zeichnet einen verantwortungsbewussten Anbieter aus? Er zeigt, was in seinen Lösungen steckt, stellt Partnern und Kunden den Quellcode bereit und gewinnt Vertrauen nicht durch schillernde Präsentationen, sondern durch mutige, praktische Schritte.
Wer geht diesen Weg bereits? Und wer hängt noch in der Vergangenheit fest? Die Antwort liefert eine aktuelle und sehr gründliche Studie aus Österreich. Durchgeführt wurde sie von dem renommierten Testlabor AV-Comparatives, der Wirtschaftskammer Tirol (WKO), der MCI The Entrepreneurial School (Innsbruck) und der Anwaltskanzlei Studio Legale Tremolada.
Das wichtigste Ergebnis: Die Ära der Blackboxen ist in der Cybersicherheit vorüber. RIP. Auf Nimmerwiedersehen! Die Zukunft gehört jenen, die Quellcode und Schwachstellenberichte nicht verbergen. Wichtig ist auch, den Nutzern möglichst weitreichende Konfigurationsmöglichkeiten zu bieten. Zudem beurteilt die Studie ganz nüchtern, wer nicht nur große Worte macht, sondern auch hält, was er verspricht. Wer ist das?
Dreimal darfst du raten! Ja, das sind wir!
Wir bieten unseren Kunden etwas, was in unserer Branche leider immer noch Seltenheitswert hat: Transparenzzentren, Quellcode-Überprüfungen, eine detaillierte Software-Stückliste (SBOM) und die Möglichkeit, den Update-Verlauf und die Rollouts zu kontrollieren. Und natürlich gehört dazu auch alles, was bereits als Branchenstandard gilt. Alle Details findest du im vollständigen Transparency Review and Accountability in Cyber Security (TRACS). Mein Artikel bietet eine Zusammenfassung. Und im Folgenden erzähle ich von den interessantesten Punkten.
Äpfel nicht mit Birnen vergleichen
TRACS untersuchte 14 beliebte Anbieter und deren EPP/EDR-Produkte – von Bitdefender über CrowdStrike bis hin zu unserem EDR Optimum und WithSecure. Das Ziel: Die Forscher wollten verstehen, welche Anbieter nicht nur von Vertrauen reden, sondern ihre Behauptungen auch nachprüfbar machen. Insgesamt wurden 60 Kriterien untersucht: von der Einhaltung der DSGVO über Audits nach ISO 27001 bis hin zu Möglichkeiten, die gesamte Telemetrie lokal zu verarbeiten und auf den Produkt-Quellcode zuzugreifen. Die Autoren entschieden sich jedoch, keine Punkte für die einzelnen Kategorien zu vergeben und auch keine Gesamtwertung vorzunehmen.
Warum? Produkte und Nutzer sind mit unterschiedlichen Bedrohungen und Risiken konfrontiert. Was für den einen ein Feature ist, kann für den anderen ein Fehler sein und zu einer Katastrophe führen. Ein Beispiel: die schnelle, vollautomatische Installation von Updates. Für kleine Unternehmen oder für ein Einzelhandelsunternehmen mit Tausenden kleiner unabhängiger Filialen ist dies ein Muss: Die IT könnte dies gar nicht manuell managen. Für eine Fabrik, in der ein Rechner das Fließband steuert, wäre es jedoch absolut indiskutabel. Ein fehlerhaftes Update könnte eine ganze Produktionslinie zum Stillstand bringen und fatale Folgen für das Unternehmen haben (noch schlimmer als der jüngste Cyberangriff auf Jaguar Land Rover). In solchen Umgebungen muss jedes Update vorab getestet werden. Ähnlich verhält es sich mit der Telemetrie. Eine PR-Agentur sendet Daten von ihren Computern in die Cloud des Anbieters, um an der Erkennung von Cyberbedrohungen teilzunehmen und Echtzeitschutz zu erhalten. Perfekt! Ganz anders, wenn ein Unternehmen Patientenakten oder streng geheime Datensätze auf seinen Computern verarbeitet. Dann sind maßgeschneiderte Telemetrie-Einstellungen erforderlich.
Im Idealfall sollte jedes Unternehmen die einzelnen Kriterien „gewichten“ und zusammen mit EDR/EPP-Anbietern eine eigene „Kompatibilitätsbewertung“ erstellen. Eins ist jedoch klar: Wer den Kunden die Wahl lässt, gewinnt.
Beispiel: Reputationsanalyse von verdächtigen Dateien. Hier gibt es zunächst zwei Varianten: Die Analyse läuft über die gemeinsam genutzte Cloud des Anbieters oder über eine private Micro-Cloud innerhalb des jeweiligen Unternehmens. Außerdem besteht die Möglichkeit, diese Analyse vollständig zu deaktivieren und komplett offline zu operieren. Nur wenige Anbieter bieten ihren Kunden alle drei Optionen. Die lokale Reputationsanalyse (on-premise) haben beispielsweise nur acht Anbieter aus diesem Test im Angebot. Es versteht sich von selbst: Wir gehören dazu.
Höchste Ansprüche
In allen Testkategorien ist die Situation ungefähr gleich, wie gerade für den Reputationsservice beschrieben. Die sorgfältige Lektüre des 45-seitigen Berichts zeigt: Wir sind unseren Mitbewerbern entweder voraus oder gehören zu den Spitzenreitern. Und wir dürfen durchaus stolz sein: In etwa einem Drittel der verglichenen Kategorien bieten wir deutlich bessere Optionen als die meisten Konkurrenten. Davon kannst du dich gerne selbst überzeugen:
Möchtest du ein Transparenzzentrum besuchen, um den Quellcode zu überprüfen? Willst du sehen, ob die Binärdateien des Produkts wirklich aus diesem Quellcode erstellt werden? Diese Möglichkeiten bieten nur drei Testteilnehmer. Einer davon beschränkt diese Optionen auf staatliche Kunden. Wir haben die meisten Transparenzzentren, sie sind über die ganze Welt verstreut und bieten den Kunden die breiteste Palette an Optionen.
Eröffnung unseres ersten Transparenzzentrums im Jahr 2018
Download und Überprüfung von Datenbanken-Updates? Nur sechs Teilnehmer (uns eingeschlossen) bieten dies.
Konfigurieren eines stufenweisen Rollouts von Updates? Keine Seltenheit, aber trotzdem nicht weit verbreitet. Außer uns unterstützen nur sieben Anbieter diese Funktion.
Veröffentlichung der Ergebnisse externer Sicherheitsaudits für das Unternehmen? Nur wir und sechs weitere Anbieter sind bereit, diese mit Kunden zu teilen.
Aufgliederung der Lieferkette mithilfe einer SBOM? Auch dies ist eine Rarität: Eine SBOM kannst du nur bei drei Anbietern anfordern. Dazu gehört auch die Firma mit dem grünen Logo, die zufällig meinen Namen trägt.
Natürlich gibt es Kategorien, in denen alle gut abschneiden: Alle haben erfolgreich ein ISO/IEC 27001-Audit bestanden, erfüllen die DSGVO, befolgen sichere Entwicklungspraktiken und akzeptieren Schwachstellenberichte.
Schließlich ist da noch die Frage der technischen Indikatoren. Alle Produkte, die online funktionieren, senden bestimmte technische Daten über die geschützten Computer sowie Informationen über infizierte Dateien. Für viele Unternehmen ist dies kein Problem und sie sind froh, dass der Schutz dadurch effektiver wird. Andere Unternehmen wollen den Datenfluss minimieren. Sie freuen sich sicher über die Messergebnisse von AV-Comparatives: Im Vergleich zu anderen Anbietern sammeln wir die wenigsten Telemetriedaten. Was für ein Zufall!
Praktische Schlussfolgerungen
Dank der österreichischen Experten haben es CISOs und IT-Teams jetzt viel einfacher, wenn sie ihre Sicherheitsanbieter überprüfen wollen. Und zwar nicht nur die 14 Testteilnehmer. Die Kategorien eignen sich auch für andere Anbieter von Sicherheitslösungen und ganz allgemein für Software. Und auch strategische Lehren lassen sich daraus ziehen …
Transparenz vereinfacht das Risikomanagement. Wenn du für ein Unternehmen verantwortlich bist, muss klar sein, dass dein Schutz-Tool keine Schwachstellen verursachen kann. Hier darf es keine Unsicherheiten oder Zweifel geben. Du brauchst Planbarkeit und Rechenschaftspflicht. Die Studie der WKO und von AV-Comparatives bestätigt, dass unser Modell diese Risiken reduziert und beherrschbar macht.
Beweise statt Slogans. In unserer Branche sind Devisen wie „Mit Sicherheit kennen wir uns aus“ nicht viel wert. Wir brauchen Audit-Mechanismen. Der Kunde muss die Möglichkeit erhalten, den Sicherheitsanbieter zu besuchen und die Dinge selbst zu überprüfen. Wir bieten diese Option bereits. Andere machen sich erst auf den Weg.
Transparenz und Reife gehören zusammen. Anbieter, die ihren Kunden Transparenz bieten, verfügen in der Regel auch über ausgereiftere Prozesse für die Produktentwicklung, Vorfallreaktion und den Umgang mit Schwachstellen. Ihre Produkte und Dienstleistungen sind zuverlässiger.
Unsere globale Transparenzinitiative (GTI) funktioniert. Als wir vor einigen Jahren unsere Initiative ankündigten und weltweit Transparenzzentren eröffneten, gab es viele kritische Stimmen. Zum Beispiel, es sei Geldverschwendung und Transparenz würde niemanden interessieren. Heutzutage sagen unabhängige europäische Experten, dass Anbieter jetzt und in Zukunft auf diese Weise agieren sollten.
Der Bericht war eine echte Freude für uns. Nicht nur, weil wir gelobt werden. Viel wichtiger ist: Die Branche bewegt sich endlich in die richtige Richtung – hin zu Transparenz und Verantwortung.
Wir haben diesen Trend ins Leben gerufen, wir führen ihn an und wir werden weiterhin Vorreiter sein. Liebe Leserinnen und Leser! Vertrauen ist eine Sache. Die Möglichkeit, alles auf Herz und Nieren zu prüfen, ist eine andere.
Tipps