{"id":19968,"date":"2019-08-23T10:42:26","date_gmt":"2019-08-23T08:42:26","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19968"},"modified":"2022-05-20T09:59:56","modified_gmt":"2022-05-20T07:59:56","slug":"soc2-audit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/soc2-audit\/19968\/","title":{"rendered":"SOC 2-Audit: Was, wie und warum?"},"content":{"rendered":"
\n

Update: 18. Mai 2022<\/h2>\n

Kaspersky hat 2022 erneut das Service Organization Control for Service Organizations (SOC 2) Type 1-Audit, dem sich das Unternehmen erstmals 2019 unterzogen hatte, erfolgreich absolviert. Die unabh\u00e4ngige Bewertung wurde von einer internationalen Big-Four-Wirtschaftspr\u00fcfungsgesellschaft durchgef\u00fchrt.<\/p>\n

Die im Januar 2022 initiierte Neubewertung wurde Ende April erfolgreich abgeschlossen und best\u00e4tigt, dass die Entwicklung- und Freigabeverfahren der Antiviren-Datenbank von Kaspersky durch Sicherheitskontrollen vor unbefugten \u00c4nderungen gesch\u00fctzt ist. Bei dieser Pr\u00fcfung untersuchten die Big Four-Auditoren unter anderem die Richtlinien und Verfahren des Unternehmens in Bezug auf die Entwicklung und Ver\u00f6ffentlichung der Antiviren-Datenbank (AV), die Netzwerk- und physische Sicherheit der an diesem Prozess beteiligten Infrastruktur und die vom Kaspersky-Team verwendeten Kontrollwerkzeuge.<\/p>\n

Der Umfang des aktuellen Audits wurde gegen\u00fcber der Bewertung von 2019 erweitert, da Kaspersky inzwischen neue Sicherheitstools und -kontrollen eingef\u00fchrt hat. Der vollst\u00e4ndige Bericht kann Kunden auf Anfrage zur Verf\u00fcgung gestellt werden.\n<\/p><\/div>\n

\n

Wie Sie vielleicht bereits \u00fcber unseren offiziellen Blog<\/a> oder unsere Pressemitteilung<\/a> erfahren haben, haben wir k\u00fcrzlich unser unabh\u00e4ngiges SOC 2-Audit bestanden. Sollten Sie nicht wissen, was genau das ist und warum es notwendig war, haben wir alle Details im Anschluss ausf\u00fchrlich f\u00fcr Sie zusammengefasst.<\/p>\n

Was ist ein SOC 2-Audit?<\/h2>\n

SOC 2 (Service and Organization Controls 2) ist eine Pr\u00fcfung von Kontrollverfahren in dienstbereitstellenden IT-Organisationen. Im Wesentlichen handelt es sich um einen internationalen Berichtsstandard f\u00fcr Cybersicherheits-Risikomanagementsysteme. Dieser vom American Institute of Certified Public Accountants (AICPA) entwickelte Standard wurde im M\u00e4rz 2018 aktualisiert.<\/p>\n

In diesem Beitrag geht es um das SOC 2 Typ 1 Audit (welches wir erfolgreich bestanden haben), das best\u00e4tigt, dass Sicherheits\u00fcberwachungsmechanismen effektiv in einem individuellen System eingerichtet wurden. Mit anderen Worten: externe Pr\u00fcfer haben unser Risikomanagementsystem vor Ort untersucht, um einen Blick auf die von uns implementierten Praktiken zu werfen und festzustellen, wie genau wir die angegebenen Verfahren befolgen und wie m\u00f6gliche Prozess\u00e4nderungen aufgezeichnet werden.<\/p>\n

Warum sind Audits notwendig?<\/h2>\n

Jedes Unternehmen, das Dienstleistungen zur Verf\u00fcgung stellt, kann eine potenzielle Bedrohung f\u00fcr seine Kunden darstellen. Selbst ein v\u00f6llig legitimes Unternehmen k\u00f6nnte zu einem Glied in einer \u201eSupply Chain<\/a>\u201c werden, \u00fcber die dann ein Angriff ausgef\u00fchrt werden kann. Unternehmen, die in der Informationssicherheit t\u00e4tig sind, tragen jedoch eine weitaus gr\u00f6\u00dfere Verantwortung, da ihren Produkten ein maximaler Zugriff auf Nutzerinformationssysteme gew\u00e4hrt werden muss.<\/p>\n

Daher k\u00f6nnen bei Kunden, insbesondere bei gro\u00dfen Unternehmen, von Zeit zu Zeit berechtigte Fragen auftauchen: Inwieweit k\u00f6nnen wir diesen Diensten vertrauen? Welche internen Richtlinien bestehen f\u00fcr die von uns genutzten Dienste? K\u00f6nnte uns jemand mit seinen Produkten oder entsprechenden Dienstleistungen Schaden zuf\u00fcgen?<\/p>\n

Doch: Die Antworten, die wir (oder jedes andere Unternehmen) auf diese Fragen geben k\u00f6nnen, spielen keine Rolle, da diese selbstverst\u00e4ndlich immer m\u00f6glichst \u00fcberzeugend klingen sollen. Aus diesem Grund wenden wir uns an externe Pr\u00fcfer, die ein exterenes und v\u00f6llig unabh\u00e4ngiges Gutachten erstellen. Es ist uns wichtig, dass unsere Kunden und Partner keine Zweifel daran haben, dass unsere Produkte und Dienstleistungen zuverl\u00e4ssig sind. Zudem sind wir der Meinung, dass es \u00fcberaus wichtig ist, dass unsere internen Prozesse internationalen Standards und Best Practices entsprechen.<\/p>\n

Was haben die Pr\u00fcfer untersucht?<\/h2>\n

Die gr\u00f6\u00dfte Sorge ist immer der Mechanismus f\u00fcr die Informations\u00fcbermittlung an Kundencomputer. Unsere L\u00f6sungen decken verschiedene Marktsegmente und Branchen ab, und ein Gro\u00dfteil dieser L\u00f6sungen nutzt eine Antivirus-Engine als defensive Kerntechnologie, um Objekte auf Anzeichnen von Cyberbedrohungen zu scannen. Unter den zahlreichen Technologien verwendet die Engine extrem schnelle Hashes, Emulation in einer isolierten Umgebung sowie maschinell erlernbare, mathematische Modelle, die besonders mutationsresistent sind \u2013 all das erfordert die regelm\u00e4\u00dfige Aktualisierung der AV-Datenbanken, um effektiv gegen moderne Cyberbedrohungen vorgehen zu k\u00f6nnen.<\/p>\n

Unabh\u00e4ngige Pr\u00fcfer haben unser System zur Verwaltung eben dieser Datenbanken sowie unsere Methoden zur \u00dcberwachung der Vollst\u00e4ndigkeit und Authentizit\u00e4t der Updates f\u00fcr AV-Produktdatenbanken f\u00fcr Windows- und Unix-Server genauer unter die Lupe genommen. Dabei konnten sie feststellen, dass unsere Kontrollmethoden korrekt funktionieren. Zudem haben sie den Entwicklungs- und Freigabeprozess der AV-Datenbanken f\u00fcr m\u00f6gliche unbefugte Manipulationen \u00fcberpr\u00fcft.<\/p>\n

Wie wurde die Untersuchung ausgef\u00fchrt?<\/h2>\n

Die Pr\u00fcfer untersuchen, inwieweit Anbieterprozesse den f\u00fcnf Grundprinzipien der Sicherheit entsprechen: Schutz (ist der Prozess vor unbefugtem Zugriff gesch\u00fctzt?), Verf\u00fcgbarkeit (funktioniert der Prozess?), Prozessintegrit\u00e4t (werden die Daten, die an den Kunden geliefert werden, sicher aufbewahrt?), Vertraulichkeit (kann auf diese Daten zugegriffen werden?) und Datenschutz (werden personenbezogene Daten auf unserer Seite gespeichert, und wenn ja, wie?)<\/p>\n

In unserem Fall haben die Pr\u00fcfer Folgendes untersucht:<\/p>\n