Transparenz bei Kaspersky

2017 wurde unsere Globale Transparenzinitiative (GTI) erstmals ins Leben gerufen. Im Rahmen dieses Projekts haben wir einen Teil unserer Dateninfrastruktur in die Schweiz verlegt und Transparenzzentren eröffnet, in denen unsere Partner und Kunden den Quellcode unserer Produkte einsehen können. Darüber hinaus haben wir unsere Datendienste und Engineering-Praktiken von unabhängigen akkreditierten Organisationen bewerten lassen und legen Regierungsbehörden mittlerweile regelmäßig Informationen in Form von Daten und technischem Fachwissen offen, die wir durch aktuelle Cybercrime-Ermittlungen erhalten. In diesem Beitrag möchten wir unseren Lesern einen Einblick in die neuesten Fortschritte in Bezug auf unsere Transparenzinitiative geben.

Was hat sich im Rahmen der Globalen Transparenzinitiative getan?

In den letzten fünf Jahren haben wir vier Transparenzzentren eröffnet, in denen unsere Kunden und Partner den Quellcode unserer Produkte und Software-Updates überprüfen können, um sicherzustellen, dass unsere Lösungen keine versteckten Funktionen oder undokumentierte Features enthalten. Darüber hinaus stellen wir unsere Engineering- und Datenmanagement-Praktiken zur externen Prüfung zur Verfügung. Vertreten sind die Transparenzzentren von Kaspersky derzeit in Europa, Lateinamerika und Asien. Für Interessenten, die unsere Einrichtungen nicht persönlich besuchen können, stellen wir allerdings auch digitale Führungen zur Verfügung.

Als Technologie- und Cybersicherheitsunternehmen verarbeiten wir von unseren Produkten genutzte Daten, um unseren Nutzern maximalen Schutz vor Cyberbedrohungen zu bieten. Diese Daten umfassen Informationen über Cyberbedrohungen – beispielsweise verdächtige und bösartige Dateien, die unsere Produkte mit Zustimmung der Benutzer zur automatisierten Cloud-basierten Malware-Analyse senden – und helfen uns, neue und unbekannte Bedrohungen zu identifizieren, unsere Lösungen kontinuierlich zu verbessern und Benutzern bessere Schutzmöglichkeiten zu bieten.

Seit November 2018 werden die erwähnten Daten europäischer Nutzer in unseren Rechenzentren in der Schweiz gespeichert und verarbeitet. Kurze Zeit später folgte auch die Verlagerung der Datenverarbeitung und -speicherung für Nutzer in Nordamerika, Lateinamerika, dem Nahen Osten und einigen Ländern im asiatisch-pazifischen Raum in die Schweiz.

Des Weiteren haben wir die ISO 27001-Konformitätszertifizierung von der unabhängigen Zertifizierungsstelle TÜV AUSTRIA erhalten, die bestätigt, dass unser Unternehmen über ein wirksames Informationssicherheits-Managementsystem verfügt. Unsere Nutzer können sich darauf verlassen, dass die von Kaspersky verarbeiteten Daten dem höchsten Schutzniveau unterliegen.

Zudem haben wir unser Cyber Capacity Building Program für Unternehmen, Regierungsorganisationen und Hochschulen ins Leben gerufen, um ihnen bei der Entwicklung von Fähigkeiten zur Seite zu stehen, die zum Schutz ihrer IT-Systeme erforderlich sind. Vor Kurzem haben wir eine digitale Schulungsversion eingeführt, auf die nun sowohl Organisationen als auch Einzelpersonen Zugriff haben.

Weitere Schritte in Richtung Transparenz

Kaspersky hat viel Arbeit auf dem Weg zu mehr Transparenz geleistet und wird diese auch in Zukunft weiterführen. Im Rahmen unserer Globalen Transparenzinitiative (GTI) haben wir kürzlich neue Schritte in die Wege geleitet.

Erweiterung unseres Rechenzentrums in Zürich

Seit Anfang 2022 haben wir die Kapazitäten unserer Datenzentren in Zürich deutlich erweitert und verarbeiten dort nun auch schädliche und verdächtigte Dateien von Nutzern aus Lateinamerika und dem Nahen Osten. Darüber hinaus haben wir die Verarbeitung und Speicherung der genannten Daten für nordamerikanische Länder ebenfalls verlagert und um folgende Staaten erweitert: Mexiko, Panama, Jamaika und weitere Inselstaaten.

Übrigens hat Kaspersky die Schweiz für die zuvor genannten Prozesse aus einem bestimmten Grund ausgewählt: Das Land hat eine der strengsten Datenschutzbestimmungen überhaupt. Unsere beiden Rechenzentren in Zürich arbeiten ebenfalls mit Weltklasse-Equipment, das die höchsten Industriestandards erfüllt.

ISO 27001 Rezertifizierung

Die Datensysteme von Kaspersky wurden vom TÜV AUSTRIA gemäß den Anforderungen der ISO 27001 rezertifiziert. Dabei wurde die Zertifizierung nicht nur erneuert, sondern auch der Prüfungsumfang deutlich erweitert. Die Zertifizierung umfasst nun sowohl Datensysteme zur Verarbeitung von Daten im Zusammenhang mit Cyberbedrohungen (Kaspersky Distributed File System, KLDFS) als auch Statistiken (KSNBuffer-Datenbank).

TÜV AUSTRIA ist eine unabhängige Zertifizierungsstelle. Und wir sind stolz darauf, dass Kasperskys Ansatz zur Datensicherheit erneut anerkannt wurde.

Umgang mit Anfragen von Strafverfolgungs- und Regierungsbehörden

Aber was passiert beispielsweise mit Informationsanforderungen von Strafverfolgungsbehörden? Kaspersky informiert regelmäßig darüber, wie das Unternehmen mit solchen Anfragen umgeht, und seit letztem Jahr werden Berichte zu Anfragen von Strafverfolgungs- und Regierungsbehörden veröffentlicht. Darüber hinaus haben wir in diesem Rahmen erst kürzlich einen Bericht für die zweite Jahreshälfte 2021 veröffentlicht. Hier einige Kennzahlen:

• Unsere Experten haben 109 Anfragen von Regierungs- und Strafverfolgungsbehörden aus 12 Ländern erhalten.
• 92 Anfragen bezogen sich auf technisches Fachwissen und 17 enthielten Anfragen für den Zugriff auf Nutzerdaten.
• Alle 17 dieser Anfragen wurden abgelehnt. Einige von ihnen erfüllten die gesetzlichen Anforderungen nicht, während andere nach Daten verlangten, auf die unser Unternehmen keinen Zugriff hat.

Aber nicht nur offizielle Behörden, sondern auch Nutzer fragen uns, wo und wie ihre personenbezogenen Daten gespeichert werden. Allein im Jahr 2021 haben wir 2.252 solcher Anfragen bearbeitet.

Neues Schulungsprogramm

Kaspersky ist immer bereit, seine Erfahrungen mit der globalen Community zu teilen. Wir haben unser Programm zum Aufbau von Cyber-Kapazitäten (Cyber Capacity Building Program) erweitert, und einen analogen Online-Kurs ins Leben gerufen, um noch mehr Partnern und Kunden die Teilnahme an unserem Programm zu ermöglichen. Die Schulung hilft Organisationen und Einzelpersonen, die Sicherheit der von ihnen verwendeten Software zu bewerten und das Risiko und die möglichen Folgen von Cyberangriffen zu reduzieren.

Nächste Schritte

Das Vertrauen von Nutzern, Kunden und Partnern steht für uns an erster Stelle. Wir feilen weiterhin an unseren Sicherheitspraktiken, entwickeln unsere Globale Transparenzinitiative weiter und hoffen, dass sie eines Tages zum internationalen Standard für die Cybersicherheitsbranche wird.

Was die Schutzqualität unserer Sicherheitslösungen betrifft, haben wir auch hier gute Nachrichten. Wir haben kürzlich die Ergebnisse von Dutzenden von Tests und Bewertungen führender unabhängiger Labors in Bezug auf unsere Produkte zusammengefasst. Die Ergebnisse finden Sie hier.