{"id":31517,"date":"2024-07-31T14:16:52","date_gmt":"2024-07-31T12:16:52","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31517"},"modified":"2024-07-31T14:16:52","modified_gmt":"2024-07-31T12:16:52","slug":"managing-cybersecurity-risks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/managing-cybersecurity-risks\/31517\/","title":{"rendered":"Ein Schild des Vertrauens"},"content":{"rendered":"

Bereits vor einem Monat hat das amerikanische Handelsministerium eine abschlie\u00dfende Entscheidung \u00fcber den Verkauf und die Nutzung von Kaspersky-Produkten in den USA ver\u00f6ffentlicht. Durch die Entscheidung des Ministeriums wurden Kaspersky-Produkte vom amerikanischen Markt verbannt \u2013 mit wenigen Ausnahmen f\u00fcr Produkte und Dienste im Informations- und Bildungsbereich. Das Ergebnis: Nutzer in den USA k\u00f6nnen Cybersicherheitssoftware nicht mehr nach der Qualit\u00e4t und Kompetenz der Produkte ausw\u00e4hlen.<\/p>\n

In seiner 27-j\u00e4hrigen Geschichte, war unser Unternehmen in der gesamten Branche immer daf\u00fcr bekannt, den besten Schutz vor Cyberbedrohungen aller Art zu bieten \u2013 unabh\u00e4ngig davon, woher Bedrohungen stammen. Hier einige Beispiele: Anfang 2024 wurden unsere Produkte erneut von einem namhaften unabh\u00e4ngigen Testlabor als Produkt des Jahres<\/a> ausgezeichnet. Jahr f\u00fcr Jahr beweisen unsere L\u00f6sungen<\/a> einen 100-prozentigen Schutz vor Ransomware, einer der gef\u00e4hrlichsten Bedrohungen. Und das Kaspersky-Forschungsteam wird sowohl von der globalen InfoSec-Community als auch von unseren Nutzern daf\u00fcr gesch\u00e4tzt, dass es gro\u00dfangelegte und ausgefeilte staatlich finanzierte Spionagekampagnen aufdeckt, analysiert und der \u00d6ffentlichkeit pr\u00e4sentiert.<\/p>\n

Weshalb werden erstklassige Cybersicherheitsl\u00f6sungen verboten, denen Millionen Nutzer vertrauen? Wurde das Problem klar und objektiv definiert? Gibt es Beweise f\u00fcr die Risiken, auf die sich die US-Regierung seit Jahren beruft? Wir wissen jedenfalls nichts davon.<\/p>\n

Trotzdem sind wir mit den Folgen eines zunehmenden Protektionismus (und dessen verheerenden Auswirkungen) konfrontiert \u2013 dazu z\u00e4hlen z.\u00a0B. unbegr\u00fcndete Behauptungen wegen Fehlverhaltens und Anschuldigungen, die auf rein theoretischen Risiken basieren. Gleichzeitig haben wir aber kontinuierlich eine universelle Methode zur Bewertung von Cybersicherheitsprodukten entwickelt und sind dabei unserem Grundsatz treu geblieben: maximale Transparenz und Offenheit bei der Art und Weise, wie wir unsere Arbeit erledigen.<\/p>\n

Als erstes und einziges gro\u00dfes Cybersicherheitsunternehmen haben wir Dritten Zugriff auf unseren Quellcode gew\u00e4hrt und erlauben Stakeholdern und vertrauensw\u00fcrdigen Partnern, unsere Bedrohungserkennungsregeln und unsere Software-Updates zu \u00fcberpr\u00fcfen \u2013 dies ist eine beispiellose Geste des guten Willens. Bereits seit mehreren Jahren gibt es unsere Globale Transparenzinitiative<\/a>, die in ihrem Umfang und praktischen Wert einzigartig ist. Auch sie spiegelt unsere kooperative Haltung und Entschlossenheit wider, m\u00f6glichen Bedenken hinsichtlich der Funktionsweise unserer L\u00f6sungen zu begegnen. Als Reaktion auf Zweifel an der Zuverl\u00e4ssigkeit unserer Produkte \u2013 die meist mit externen Faktoren wie geopolitischen Vermutungen begr\u00fcndet werden \u2013 haben wir ein noch gr\u00fcndlicheres Framework erarbeitet, das die Integrit\u00e4t unserer Sicherheitsl\u00f6sungen w\u00e4hrend des gesamten Lebenszyklus sicherstellt.<\/p>\n

Die unten beschriebenen Rahmenbedingungen haben wir proaktiv mit den Parteien geteilt, die Bedenken hinsichtlich der Glaubw\u00fcrdigkeit von Kaspersky-L\u00f6sungen ge\u00e4u\u00dfert haben. Dazu z\u00e4hlt auch die US-Regierung. Wir glauben, dass dieses umfassende Framework die h\u00e4ufigsten Bedenken ausr\u00e4umen kann und eine verl\u00e4ssliche Vertrauenskette bildet.<\/p>\n

Hier sind die wichtigsten S\u00e4ulen unserer Methodik zur Bewertung der Cybersicherheit (die unserer Meinung nach als Grundlage f\u00fcr eine branchenweite Methodik geeignet ist): 1. lokale Datenverarbeitung, 2. \u00dcberpr\u00fcfung der erhaltenen Daten und 3. \u00dcberpr\u00fcfung der Informationen und Updates, die (im Rahmen von Software- und Datenbanken-Updates) an die Benutzercomputer geliefert werden. Wie schon bei unserer Globalen Transparenzinitiative besteht das strategische Kernziel darin, die Prozesse und L\u00f6sungen des Unternehmens durch einen externen Gutachter zu \u00fcberpr\u00fcfen. Neu an dieser Methode ist jedoch sowohl die Reichweite als auch die Tiefe der \u00dcberpr\u00fcfungen. Kommen wir zu den Details\u00a0\u2026<\/p>\n

Lokale Datenverarbeitung<\/h2>\n

Die Verarbeitung und Speicherung von Daten ist eine der sensibelsten Fragen \u2013 nicht nur f\u00fcr Kaspersky, sondern f\u00fcr die gesamte Cybersicherheitsbranche. H\u00e4ufig erhalten wir berechtigte Fragen dazu, welche Daten unsere Produkte verarbeiten k\u00f6nnen, wie diese Daten gespeichert werden und vor allem, warum wir diese Daten ben\u00f6tigen. F\u00fcr Kaspersky besteht der Hauptzweck der Datenverarbeitung darin, unseren Nutzern und Kunden optimale Cybersicherheitsl\u00f6sungen bereitzustellen: Wir sammeln Daten \u00fcber b\u00f6sartige und verd\u00e4chtige Dateien, die wir auf den Computern der Nutzer finden. Anhand dieser Daten k\u00f6nnen wir unsere Algorithmen trainieren und ihnen beibringen, wie neue Bedrohungen erkannt und einged\u00e4mmt werden.<\/p>\n

Das von uns vorgestellte Framework beinhaltet auch eine St\u00e4rkung der lokalen Infrastruktur f\u00fcr die Datenverarbeitung<\/strong>. Zudem werden technische und administrative Kontrollm\u00f6glichkeiten implementiert, die den Zugriff auf diese Infrastruktur f\u00fcr Mitarbeiter au\u00dferhalb eines bestimmten Landes oder einer bestimmten Region beschr\u00e4nken. Diesen Ansatz setzen wir bereits bei der Bereitstellung unseres Dienstes Managed Detection and Response (MDR)<\/a> in Saudi-Arabien um. Entsprechende Mechanismen wurden auch in unseren Gespr\u00e4chen mit den US-Beh\u00f6rden vorgeschlagen, um deren Bedenken auszur\u00e4umen. In diesem Fall w\u00fcrden die Speicherung und Verarbeitung lokaler Daten in einer physischen Umgebung erfolgen, in der die Daten durch verantwortliche Personen kontrolliert werden, die der \u00f6rtlichen Gerichtsbarkeit oder der Gerichtsbarkeit eines eng verbundenen Landes unterstehen. Wie bei den oben genannten Schritten k\u00f6nnte die Wirksamkeit der implementierten Ma\u00dfnahmen auch hier durch einen unabh\u00e4ngigen externen Gutachter \u00fcberpr\u00fcft werden.<\/p>\n

Eine lokale Datenverarbeitung erfordert eine lokale Bedrohungsanalyse und die Entwicklung lokaler Signaturen f\u00fcr die Bedrohungserkennung. Und unsere Methodik erm\u00f6glicht genau dies. F\u00fcr die lokale Datenverarbeitung ist zus\u00e4tzliches Personal erforderlich, das die lokale Infrastruktur unterst\u00fctzt. Und wir sind bereit, unsere regionalen F&E- und IT-Teams<\/strong> in bestimmten L\u00e4ndern weiter auszubauen. Diese Teams w\u00e4ren ausschlie\u00dflich daf\u00fcr verantwortlich, die Verarbeitung lokaler Daten zu unterst\u00fctzen, die Software f\u00fcr lokale Rechenzentren zu verwalten und Schadsoftware zu analysieren, um neue, f\u00fcr die jeweilige Region spezifische APTs (Advanced Persistent Threats) zu identifizieren. Diese Ma\u00dfnahme w\u00fcrde auch sicherstellen, dass mehr internationale Experten in die Entwicklung zuk\u00fcnftiger Kaspersky-Produktlinien eingebunden werden und unsere F&E weiter dezentralisiert wird.<\/p>\n

Kontrolle der Datenerfassung<\/h2>\n

Wir sch\u00fctzen gesammelte Daten durch strenge interne Richtlinien, Methoden und Kontrollen vor potenziellen Risiken. Die gesammelten Daten werden keiner bestimmten Person oder Organisation zugeordnet und nach M\u00f6glichkeit anonymisiert. Wir beschr\u00e4nken den Zugriff auf diese Daten innerhalb des Unternehmens und verarbeiten diese zu 99\u00a0% automatisch.<\/p>\n

Um die Risiken f\u00fcr die Daten unserer Kunden weiter zu minimieren, haben wir vorgeschlagen, unsere Datenerfassungsvorg\u00e4nge regelm\u00e4\u00dfig durch einen autorisierten externen Gutachter zu testen<\/strong>. Ein solcher Echtzeit-Gutachter w\u00fcrde die erfassten Daten regelm\u00e4\u00dfig mit Datenanalyse-Tools und Datenverarbeitungsplattformen auswerten. Dies w\u00fcrde gew\u00e4hrleisten, dass keine personenbezogenen Daten oder anderen gesch\u00fctzten Daten an Kaspersky \u00fcbertragen werden. Zudem w\u00fcrde sichergestellt, dass die abgerufenen Daten ausschlie\u00dflich zum Auffinden von und zum Schutz vor Bedrohungen genutzt sowie angemessen gehandhabt werden.<\/p>\n

\u00dcberpr\u00fcfung der Updates und Daten, die an Endger\u00e4te \u00fcbermittelt werden<\/h2>\n

Dies ist ein weiterer Schritt, der das Produkt betrifft: Als Komponente der Risikominderung w\u00fcrden unsere Datenbanken-Updates und die produktbezogene Entwicklung von Softwarecode regelm\u00e4\u00dfig durch Dritte \u00fcberpr\u00fcft<\/strong>. Dadurch werden die Lieferkettenrisiken f\u00fcr unsere Kunden reduziert. Wichtig ist, dass die dritte Partei eine unabh\u00e4ngige Organisation ist, die direkt einer lokalen Aufsichtsbeh\u00f6rde unterstellt ist. Der Software-Entwicklungsprozess von Kaspersky ist bereits streng organisiert und sicher. Diese Ma\u00dfnahme w\u00fcrde m\u00f6gliche Risiken zus\u00e4tzlich mindern. Dazu z\u00e4hlt auch ein Szenario, bei dem ein Angreifer in das System eindringt. Es w\u00e4re sichergestellt, dass niemand unseren Produkten oder AV-Datenbanken unautorisierten Code hinzuf\u00fcgen kann.<\/p>\n

Zur weiteren Verbesserung des Schutzes sollte ein externer Echtzeit-Gutachter hinzugezogen werden, der die Sicherheit des von Kaspersky-Ingenieuren entwickelten Codes bewertet und Verbesserungen vorschl\u00e4gt, um potenzielle Risiken zu identifizieren und geeignete L\u00f6sungen zu finden.<\/p>\n

Im Folgenden ist eines der Szenarien dargestellt, wie eine solche \u00dcberpr\u00fcfung der Datenbanken-Updates organisiert werden kann:<\/p>\n

\"Szenario<\/a>

Szenario f\u00fcr die Echtzeit-\u00dcberpr\u00fcfung der Bedrohungsdatenbanken<\/p><\/div>\n

\u00a0<\/p>\n

F\u00fcr die \u00dcberpr\u00fcfung durch eine dritte Partei gibt es verschiedene M\u00f6glichkeiten. Sie kann blockierenden oder nicht blockierenden Charakter haben. Sie kann entweder regelm\u00e4\u00dfig erfolgen oder nach Erreichen einer kritischen Menge an zu \u00fcberpr\u00fcfenden Updates bzw. Komponenten. Und sie kann sich auf alle oder nur auf bestimmte Komponenten beziehen. Die modernste \u00dcberpr\u00fcfungsoption umfasst die Echtzeit-Blockierung. Dabei k\u00f6nnen die Gutachter den Code, der an die Endger\u00e4te gesendet wird, vollst\u00e4ndig kontrollieren. Eine \u00dcberpr\u00fcfung mit m\u00f6glicher Blockierung w\u00fcrde verhindern, dass Code w\u00e4hrend des \u00dcberpr\u00fcfungsvorgangs in ein Produkt oder in Updates gelangt \u2013 und damit zu den Kaspersky-Kunden.<\/p>\n

Dieser umfassende \u00dcberpr\u00fcfungsprozess k\u00f6nnte noch weiter verbessert werden: Alle Updates, die an Benutzercomputer geliefert werden, m\u00fcssen vom Gutachter signiert werden, nachdem der zugrunde liegende Code best\u00e4tigt und implementiert wurde. Dadurch w\u00fcrde sichergestellt, dass der Code nach der Echtzeit-\u00dcberpr\u00fcfung nicht ver\u00e4ndert werden kann.<\/p>\n

Die vorgeschlagene \u00dcberpr\u00fcfung erm\u00f6glicht nicht nur eine sicherheitsbezogene Echtzeit-\u00dcberpr\u00fcfung von neu entwickeltem Code, sie bietet auch Zugriff auf den gesamten Quellcode und dessen Verlauf. Auf diese Weise kann der Gutachter den neu entwickelten Code vollst\u00e4ndig bewerten, \u00c4nderungsverl\u00e4ufe einsehen und feststellen, wie der Code mit anderen Produktkomponenten interagiert.<\/p>\n

Eine derart umfassende Code-\u00dcberpr\u00fcfung w\u00fcrde auch den Zugriff auf eine Kopie der Software-Build-Umgebung des Unternehmens beinhalten, die der in Kaspersky verwendeten Umgebung entspricht. Dazu z\u00e4hlen auch Kompilierungsanweisungen und Skripte, eine detaillierte Design-Dokumentation sowie technische Beschreibungen der Prozesse und Infrastruktur. Daher k\u00f6nnte der Echtzeit-Gutachter den Code unabh\u00e4ngig erstellen bzw. kompilieren und Bin\u00e4rdateien und\/oder einzelne Build-Objekte mit den ausgelieferten Versionen vergleichen. Der Gutachter w\u00e4re zudem in der Lage, die Build-Infrastruktur und die Software auf \u00c4nderungen zu \u00fcberpr\u00fcfen.<\/p>\n

Dar\u00fcber hinaus k\u00f6nnte einem vertrauensw\u00fcrdigen unabh\u00e4ngigen Dritten Zugriff auf die Software-Entwicklungspraktiken des Unternehmens gew\u00e4hrt werden. Diese neutrale Analyse k\u00f6nnte weitere Garantien daf\u00fcr liefern, dass die von Kaspersky eingesetzten Ma\u00dfnahmen und Prozesse mit den \u00fcblichen Branchenpraktiken \u00fcbereinstimmen. In diesem Rahmen w\u00fcrde die gesamte relevante Sicherheitsdokumentation zug\u00e4nglich sein. Dazu z\u00e4hlen unter anderem die Definition von Sicherheitsanforderungen, Modellierung von Bedrohungen, Code-\u00dcberpr\u00fcfung, statische und dynamische Code-Verifizierung und Penetrationstests.<\/p>\n

Zusammenfassend kann die beschriebene Strategie unseres Erachtens den meisten Risiken in der IKT-Lieferkette bei der Produktentwicklung und beim Vertrieb wirksam und nachpr\u00fcfbar begegnen. Und wie ich bereits erw\u00e4hnte, haben wir diese Risikominderungsma\u00dfnahmen als Diskussionsvorschlag beim US-Handelsministerium vorgelegt und damit erneut unsere Dialogbereitschaft und unsere Entschlossenheit bekr\u00e4ftigt, ein H\u00f6chstma\u00df an Sicherheitsgarantien zu bieten. Unser Vorschlag wurde jedoch schlichtweg ignoriert. Darum vermute ich, dass der Grund in den vorgefassten Meinungen des Ministeriums liegt. Anscheinend wurde unser Vorschlag nicht auf seine Wirksamkeit im Hinblick auf die Risikokontrolle gepr\u00fcft, sondern es wurde nur ein Ablehnungsgrund gesucht.<\/p>\n

Leider geht es auch hier wieder einmal um einen Akt des digitalen Protektionismus. Ich wei\u00df jedoch, dass die Welt dringend eine globale Strategie f\u00fcr das Risikomanagement im Bereich Cybersicherheit ben\u00f6tigt. Eine effektive Reaktionsf\u00e4higkeit auf die sich entwickelnde Bedrohungslandschaft ist von entscheidender Bedeutung. Und daf\u00fcr ist ein einheitlicher Ansatz f\u00fcr das Management von Cybersicherheitsrisiken \u00fcber verschiedene IT-Sicherheitsdom\u00e4nen hinweg erforderlich. Dieser Ansatz k\u00f6nnte auch kurzsichtige Entscheidungen verhindern, die Millionen von Nutzern der Wahlfreiheit f\u00fcr einen bew\u00e4hrten Cybersicherheitsschutz berauben und den Datenaustausch zwischen Cybersicherheitsexperten auf riskante Weise einschr\u00e4nken. Wir sollten diesen Experten erlauben, sich auf ihre wichtige Arbeit zu konzentrieren, ohne sich zus\u00e4tzlich um Geopolitik k\u00fcmmern zu m\u00fcssen. Sonst reiben sich h\u00f6chstens Cyberkriminelle die H\u00e4nde.<\/p>\n

In einer vernetzten Welt, in der Cyberbedrohungen keine geografischen Grenzen mehr kennen, ist eine globale Strategie von h\u00f6chster Bedeutung. Nur so lassen sich die Abwehrma\u00dfnahmen f\u00fcr die Cybersicherheit verbessern, das gegenseitige Vertrauen st\u00e4rken und ein sichereres digitales \u00d6kosystem f\u00f6rdern. Unser Framework \u00f6ffnet innerhalb der Branche die T\u00fcr f\u00fcr eine Diskussion dar\u00fcber, wie eine universelle Bewertung der Cybersicherheit in der Lieferkette aussehen sollte. Das Ziel ist der Aufbau eines zuverl\u00e4ssigen Schutzschilds des Vertrauens und damit einer sichereren Welt.<\/p>\n","protected":false},"excerpt":{"rendered":"

Evidenzbasiertes Management von Cybersicherheitsrisiken.<\/p>\n","protected":false},"author":13,"featured_media":31519,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,2287],"tags":[3089,326],"class_list":{"0":"post-31517","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-technology","11":"tag-globale-transparenzinitiative","12":"tag-kaspersky"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/managing-cybersecurity-risks\/31517\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/managing-cybersecurity-risks\/27775\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/managing-cybersecurity-risks\/23106\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/managing-cybersecurity-risks\/11987\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/managing-cybersecurity-risks\/30458\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/managing-cybersecurity-risks\/27986\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/managing-cybersecurity-risks\/27573\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/managing-cybersecurity-risks\/30259\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/managing-cybersecurity-risks\/29135\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/managing-cybersecurity-risks\/51786\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/managing-cybersecurity-risks\/22090\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/managing-cybersecurity-risks\/22846\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/managing-cybersecurity-risks\/36919\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/managing-cybersecurity-risks\/29273\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/managing-cybersecurity-risks\/33919\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/managing-cybersecurity-risks\/33584\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/kaspersky\/","name":"Kaspersky"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31517","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=31517"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31517\/revisions"}],"predecessor-version":[{"id":31522,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31517\/revisions\/31522"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/31519"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=31517"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=31517"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=31517"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}