Aktueller Stand unserer Globalen Transparenzinitiative

2 Apr 2019
Beitrag des Tages


Im Oktober 2017 haben wir unsere Globale Transparenzinitiative angekündigt, um Skeptikern zu beweisen, dass wir absolut nichts zu verbergen haben und das man uns als Sicherheitsunternehmen vollstes Vertrauen schenken kann – nicht nur aufgrund unserer Worte, sondern vor allem aufgrund unserer Taten.

Wir mussten in den letzten Jahren immer wieder dabei zusehen, wie zahlreiche Quellen falsche Anschuldigungen über unser angebliches Fehlverhalten verbreitet haben. Obwohl es keinerlei Fakten gibt, die diese Behauptungen bestätigen, sind wir der festen Überzeugung, dass es in unserer Verantwortung liegt, zu beweisen, dass man Kaspersky Lab blind vertrauen kann. Und genau darum geht es uns bei der Globalen Transparenzinitiative.

Dieser Beitrag wird mit dem Fortschritt unserer Initiative kontinuierlich aktualisiert.

Update vom 13. November 2019

Wir freuen uns, Ihnen mitteilen zu können, dass wir im Januar 2020 unser viertes Transparenzzentrum in São Paulo, Brasilien, eröffnen werden. Nach den europäischen Transparenzzentren in Madrid und Zürich sowie dem asiatisch-pazifischen Transparenzzentrum in Cyberjaya, Malaysia, wird es unser erstes Zentrum in Lateinamerika sein. Das neue Zentrum ist ein weiterer Ausdruck unseres Engagements, mit dem wir unsere Transparenz und unsere Fähigkeit, alle Sicherheitsprobleme schnell und gründlich angehen zu können, bekräftigen möchten.

Die Verlagerung unserer Datenspeicher- und Verarbeitungsinfrastruktur macht weitere Fortschritte. Nach der Migration unserer europäischen Kundendaten in die Schweiz beginnen wir nun auch mit der Datenverlagerung von kanadischen und US-amerikanischen Kundendaten. Die Daten werden freiwillig mit dem Kaspersky Security Network (KSN) geteilt. Das KSN ist unser fortschrittliches Cloud-basiertes System, das Daten im Zusammenhang mit Cybergefahren automatisch verarbeitet. Wir gehen davon aus, dass diese Migrationsphase bis Ende 2020 abgeschlossen sein wird. Weitere Regionen werden wir kontinuierlich hinzufügen.

Als einer der ersten Unterzeichner des Pariser Appell für Vertrauen und Sicherheit im Cyberspace waren wir stolz darauf, dieses Vorhaben auf dem Pariser Friedensforum 2019 bekannt zu geben.

Die Besucher des Transparency Centers haben die Möglichkeit, mehr über Informationstechnik und Datenverarbeitungsverfahren zu erfahren. Mit Hilfe unserer Experten kann auch die Software von Kaspersky aus dem Quellcode kompiliert und mit dem öffentlich verfügbaren Code verglichen werden. Wir werden das Transparenzzentrum auch zur Demonstration unseres Portfolios sowie unserer IT- und Datenverarbeitungspraktiken nutzen.

Update vom 15. August 2019

Wir freuen uns, Ihnen mitteilen zu können, dass unser drittes Transparenzzentrum Anfang 2020 in Cyberjaya, Malaysia, eröffnet wird. Wie auch die zuvor in Zürich und Madrid eröffneten Zentren, wird dieses Transparenzzentrum unseren Partnern und Regierungsvertretern als vertrauenswürdige Einrichtung dienen, in der diese den Quellcode unserer Produkte überprüfen können. CyberSecurity Malaysia, die landeseigene Cybersicherheitsagentur, wird das Zentrum beherbergen.

CEO Eugene Kaspersky merkt an, dass dieses Transparenzzentrum zeigt, dass unsere bahnbrechende Globale Transparenzinitiative – die darauf abzielt, die wachsende Nachfrage von Partnern und Regierungsakteuren nach weiteren Informationen über die Funktionsweise unserer Produkte und Technologien zu befriedigen – plangemäß verläuft und weiterhin auf Kurs bleibt. Das für 2020 geplante Transparenzzentrum in Malaysia wird übrigens das erste Zentrum des Unternehmens in der APAC-Region sein.

Update vom 11. Juli 2019

Im Juni wurde unser zweites Transparenzzentrum in Madrid sowohl für Kunden als auch für Partner von Kaspersky eröffnet. Wir planen bis 2020 die Eröffnung von mindestens drei Transparenzzentren.

Aber das ist noch nicht alles. Kaspersky hat das Audit „Service Organization Control for Service Organizations (SOC 2) Type 1„, ein wichtiger Teil unserer Transparenzinitiative erfolgreich absolviert. Der Abschlussbericht einer der vier großen globalen Wirtschaftsprüfungsgesellschaften bestätigt, dass sowohl die Entwicklung als auch die transparente Offenlegung der Kaspersky-Datenbanken (AV-Datenbanken für Windows- und Unix-Server) durch starke Security-Kontrollen geschützt sind. Dies gilt insbesondere für die Sicherung vor unbefugter Einflussnahme und extern vorgenommenen systemischen Änderungen. Eine weitere Bestätigung dafür, dass unsere Produkte sicher und vollkommen vertrauenswürdig sind. Gemäß den Vertragsbedingungen können wir unseren Kunden sowie Regulierungsbehördung den Bericht auf Anfrage zur Verfügung stellen.

Darüber hinaus arbeiten wir kontinuierlich an der Entwicklung unseres Bug Bounty Programms und haben uns vor Kurzem der Disclose.io-Bewegung angeschlossen, was bedeutet, dass wir ab sofort einen Safe Harbor für Sicherheitsforscher bieten, die unsere Produkte auf Schwachstellen untersuchen und somit garantieren, dass keine rechtlichen Schritte gegen sie eingeleitet werden. Weitere Informationen über Disclose.io finden Sie in unserem Blogpost.

Update vom 2. April 2019

Unsere Globale Transparenzinitiative macht gute Fortschritte: Heute geben wir die Eröffnung unseres zweiten Transparenzzentrums bekannt, das sich in Madrid, Spanien, befindet und ins Leben gerufen wurde, um der Öffentlichkeit nähere Informationen über die Funktionsweise der Produkte und Technologien von Kaspersky Lab zur Verfügung zu stellen. Darüber hinaus dient das neue Zentrum als Briefing-Center, in dem sich Besucher über unser Produktportfolio, Engineering sowie unsere Datenverarbeitungspraktiken genauer informieren können. Im Juni erwarten wir die ersten Besucher des Zentrums. Darüber hinaus ist geplant, 2020 weitere Transparenzzentren in Asien und Nordamerika zu eröffnen.

Auch die Verlagerung unserer Datenverarbeitungsinfrastruktur befindet sich auf einem sehr guten Weg. Seit dem 13. November 2018 werden in zwei Rechenzentren in Zürich bedrohungsrelevante Daten von europäischen Nutzern verarbeitet. Die Verlagerung der Dateiverarbeitung soll bis Ende 2019 komplett abgeschlossen sein.

Darüber hinaus haben wir die Ergebnisse einer freiwilligen drittparteiischen Bewertung russischer Rechtsetzungsakte und deren Anwendung auf Kaspersky Lab veröffentlicht. Die Bewertung erfolgte durch Dr. Kaj Hober, Professor für Internationales Investment- und Handelsrecht an der Universität Uppsala in Schweden und Experte des russischen Rechtssystems. Die wichtigsten Ergebnisse haben wir Ihnen nachfolgend zusammengefasst:

  • Kaspersky Lab kann vom Inlandsgeheimdienst der Russischen Föderation (FSB) zur Zusammenarbeit aufgefordert werden, ist allerdings nicht dazu verpflichtet.
  • Gesetze, die Anbieter dazu verpflichten, den FSB bei operativen Ermittlungsaktivitäten zu unterstützen, gelten nur für Unternehmen, die elektronische Kommunikationsdienste bereitstellen, was nicht auf Kaspersky Lab zutrifft.
  • Gesetze, die Unternehmen dazu zwingen, Daten in Russland zu speichern und dem FSB diese sowie Verschlüsselungsschlüssel (zur Entschlüsselung) bereitzustellen, gelten nur für Telekommunikationsanbieter – Kaspersky Lab ist kein Telekommunikationsanbieter.

Und zu guter Letzt: Vor kurzem wurde der Umfang zur Überprüfung verfügbarer Produkte erweitert, so dass Sicherheitsforscher nun unter anderem die Möglichkeit haben, Kaspersky Password Manager und Kaspersky Endpoint Security für LinuxKaspersky Endpoint Security für Linux zu untersuchen.Bislang konnten über 50 Bugs entdeckt und gemeldet werden. Die jeweiligen Forscher erhielten Bounty-Belohnungen in Höhe von insgesamt mehr als 17.000 US-Dollar für die Aufdeckung dieser Bugs.

Update vom 13. November 2018

Unser erstes Transparenzzentrum wurde offiziell eröffnet und ermöglicht autorisierten Partnern den Zugriff auf Überprüfungen des Unternehmenscodes, Softwareupdates und die Regeln zur Bedrohungserkennung.

Ebenso werden wir ab heute alle schädlichen und verdächtigen Dateien, die von Nutzern der Kaspersky-Lab-Produkte in Europa geteilt werden, in unseren beiden erstklassigen Datenverarbeitungseinrichtungen in Zürich verarbeiten.

Wie versprochen, hat sich Kaspersky Lab darüber hinaus mit einem der vier großen professionellen Dienstleistungsunternehmen zusammengeschlossen, um nach Standard SSAE 18 eine Überprüfung der technischen Praktiken des Unternehmens im Bezug auf die Erstellung und Verbreitung von Bedrohungserkennungsregel-Datenbanken durchzuführen und ihre Übereinstimmung mit den höchsten Sicherheitsverfahren der Branche zu bestätigen.

Update vom 29. August 2018

Wir haben bereits sehr gute Fortschritte gemacht haben. Im Rahmen unserer Initiative haben wir unsere Bug-Bounty-Prämie auf 100.000 US-Dollar erhöht und erhoffen uns, auf diese Weise unsere Produkte noch sicherer und zuverlässiger gestalten zu können. Darüber hinaus wurde ein weiterer Teil unserer Globalen Transparenzinitiative ins Rollen gebracht, denn wir haben mit der Installation des notwendigen Equipments begonnen, das für die Verlagerung unserer Nutzerdatenverarbeitung nach Europa erforderlich ist.

Kaspersky Lab hat Verträge mit zwei europäischen Anbietern – Interxion und NTS – unterzeichnet, um mögliche Bedenken öffentlicher und privater Stakeholder hinsichtlich des unberechtigten Zugriffs auf Kundendaten aus der Welt zu schaffen, werden diese Rechenzentren bis Ende 2018 die neue Infrastruktur zur Erfassung, Verarbeitung und Speicherung von Kundendaten in Zürich, der Schweiz, hosten. Die Verlagerung der Datenverarbeitung und -speicherung für europäische Kunden wird in den nächsten Monaten beginnen; weitere Länder werden folgen. Die vollständige Umsiedlung für europäische Länder soll voraussichtlich im 4. Quartal 2019 abgeschlossen sein.

Warum die Schweiz?

Wir haben uns aus vielseitigen Gründen für diesen Standort entschieden: einerseits befindet sich die Schweiz im Herzen Europas, andererseits gehört sie nicht zur EU, was sie zu einem eigenständigen Land macht, das seine eigene Entscheidungen treffen kann. Auch die Symbolik an sich finden wir ansprechend: Da wir mit unserer globalen Transparenzinitiative zeigen möchten, dass wir vollkommen unabhängig sind, kann es momentan keinen besseren Standort für uns geben.

Darüber hinaus ist die Schweiz für ihre hochinnovative und fortschrittliche IT-Landschaft und für ihre strengen Vorschriften hinsichtlich der Verarbeitung von Datenanfragen, die von Behörden stammen, bekannt. Auf diese Weise werden die Daten unserer Kunden an einem der sichersten Orte der Welt gespeichert und verarbeitet.

Phasen unserer Globalen Transparenzinitiative

Weitere Elemente unserer Globalen Transparenzinitiative befinden sich ebenfalls im Entwicklungsprozess.

Wir befinden uns aktuell in den Planungen für die Eröffnung unseres ersten Transparenzzentrums in der Schweiz. Das Zentrum wird momentan eingerichtet und eröffnet, sobald wir mit der Datenverarbeitung in den Rechenzentren in Zürich beginnen können (dies ist für dieses Jahr geplant). [UPDATE: Wir haben bereits zwei Zentren in Zürich und Madrid eröffnet.]

Wir sind fest entschlossen, die Einrichtungen, die sich um die Verarbeitung unserer Kundendaten kümmern, ebenfalls in andere Länder zu verlagern. Dabei handelt es sich allerdings um einen relativ komplizierten Prozess. Um mögliche Unterbrechungen beim Schutz unserer Kunden zu reduzieren, haben wir uns dazu entschlossen, einen inkrementellen Ansatz zu verfolgen. Wir werden darauf zurückkommen, nachdem wir die Datenverarbeitungseinrichtungen für europäische Bürger in die Schweiz verlegt haben. [UPDATE: Der Prozess hat bereits begonnen und wird für europäische Bürger im Jahr 2019 abgeschlossen.]

Auch die Überprüfung von Drittanbietercode und -prozessen wird nach der Umsiedlung in Angriff genommen; momentan sind wir noch auf der Suche nach einem passenden Partner. [UPDATE: Kaspersky hat das Audit „Service Organization Control for Service Organizations (SOC 2) Type 1“ erfolgreich absolviert.]

Ein weiterer Teil unserer Initiative ist die Verlagerung des Datenbankprozesses für Software- und Bedrohungserkennungsregeln in die Schweiz. Bedenken hinsichtlich des Zugriffs auf unbefugte Benutzerdaten hatten jedoch eine höhere Priorität, sodass dieser Schritt erst dann stattfindet, nachdem wir mit dem Datenverlagerungsprozess begonnen haben.

Die Umsetzung der Globalen Transparenzinitiative ist für uns ein sehr wichtiger Prozess. Wir sind absolut davon überzeugt, dass die Investition von Zeit und Mühe in dieses langwierige Projekt notwendig ist, um zu beweisen, dass Kaspersky Lab vollkommen transparent, unabhängig und zu 100% vertrauenswürdig ist. Sobald wir weitere Neuigkeiten bezüglich der laufenden Prozesse unserer Globalen Transparenzinitiative haben, aktualisieren wir diesen Blog-Eintrag, damit alle Informationen zu unserem Projekt an einem Ort gefunden werden können.