Maximale Transparenz und kontinuierliche Prozessüberprüfung

Vertrauen in Cybersicherheit

Sicherheitsprodukte greifen tief in das Betriebssystem ein. Deshalb müssen Anwender den Produkten und Anbietern vertrauen.

Über nachprüfbare Bewertungskriterien für eine sichere, vertrauenswürdige Digitalisierung sprach it management mit Christian Milde, Geschäftsführer Central Europe bei Kaspersky.

Anzeige

Herr Milde, Cybersicherheit gewinnt, gerade aufgrund der zunehmenden Digitalisierung, immer mehr an Bedeutung. Welche Kriterien muss digitale Sicherheitstechnologie Ihrer Meinung nach erfüllen, um die IT-Infrastruktur und sensiblen Daten von Unternehmen, Organisationen und Privatanwendern zu schützen?

Christian Milde: Hierbei geht es insbesondere um die Bereiche Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Diese Parameter müssen uneingeschränkt erfüllt sein, um ein Maximum an Sicherheit zu gewährleisten. Hierbei legen wir Wert auf wiederkehrende Auditierungen nach internationalen Standards. 2019 wurden die Entwicklungs- und Freigabeprozesse der Kaspersky-AV-Datenbanken nach den Richtlinien des vom American Institute of Certified Public Accounts (AICPA) [1] entwickelten Standards SOC 2 erstmals erfolgreich auditiert. Dabei analysieren die Prüfer die Beschreibungen und Dokumentationen, bewerten diese und evaluieren die Systemkontrollen im Produktivbetrieb. Dieser Auditierungsprozess wurde dieses Jahr von einer der vier großen Wirtschaftsprüfungsgesellschaften wiederholt. Auditierungen und Zertifizierungen nach anerkannten Industriestandards leisten einen großen Beitrag zur Steigerung von Vertrauen und Sicherheit. Kunden und Partner erhalten wichtige Informationen und Argumente für eine Kaufentscheidung.

Wie kann man sich einen derartigen Audit-Prozess im Detail vorstellen?

Christian Milde: Zunächst wurden die für die genannten Prozesse verantwortlichen Führungskräfte, firmeninternen Prüfteams sowie unmittelbar beteiligten Mitarbeiter befragt. Zudem haben die Prüfer alle Unterlagen, Aufzeichnungen und Dokumentationen geprüft. Hierzu zählen Standardreports, wie im System konfigurierte, parametergesteuerte Berichte, die von unseren Systemen generiert werden. Weitere Beispiele sind benutzerdefinierte Berichte, die nicht zum Standard der Anwendung gehören.

Bei Zertifizierungsprozessen geht es häufig um gemeinsam anzuwendende Kriterien, damit ein Standard gesetzt werden kann. Welche Merkmale wurden im Laufe des Audits bewertet?

Christian Milde: Es ging hierbei hauptsächlich um den Systembetrieb, logische und physische Zugriffskontrollen, das Kontrollumfeld und die Kontrolltätigkeiten, sowie um Kommunikation und Information, Change Management, die Risikobewertung und die Risikominimierung.

Könnten Sie auf einzelne Punkte etwas näher eingehen?

Christian Milde: Kaspersky setzt modernste Erkennungs- und Kontrollverfahren ein, um Änderungen an Konfigurationen zu identifizieren, die zum versehentlichen oder bewussten Einbau von Schwachstellen führen können. Dabei überwacht Kaspersky die Systemkomponenten und den Betrieb dieser Komponenten auf Anomalien, die auf schädliche Handlungen, Systemstörungen und Fehler hinweisen, die die Fähigkeit des Unternehmens beeinträchtigen könnten, die Schutzziele zu gewährleisten. Jede Änderung am Quellcode durchläuft ein dezidiertes Prüfverfahren, um ihre Integrität und Sicherheit zu bestätigen. Bei den Review-Prozessen zur Erstellung von Updates sind Kaspersky-Experten außerhalb Russlands immer mit einbezogen – beispielsweise Kaspersky-Teams in den USA und Kanada.

Ein weiteres Beispiel ist die Risikominimierung: Kaspersky identifiziert, entwickelt und setzt alle erforderlichen Risikominimierungsmaßnahmen um, die sich aus potenziellen Geschäftsunterbrechungen ergeben können. Dabei werden kontinuierlich alle Risiken mit Blick auf Zulieferer sowie die gesamte Supply-Chain bewertet. Genau diese Prozesse hat der Auditor geprüft.

Ein Schlüssel zu mehr Sicherheit liegt darin, wie der Zugriff auf Daten, Software, Funktionen und andere geschützte Informationsbestände autorisiert, geändert oder aufgehoben wird.

Christian Milde

Ist eine strikte Aufgabentrennung innerhalb des Unternehmens der Schlüssel zu mehr Sicherheit?

Christian Milde: Eindeutig ja. Ein Schlüssel zu mehr Sicherheit liegt darin, wie der Zugriff auf Daten, Software, Funktionen und andere geschützte Informationsbestände auf der Grundlage von Rollen, Zuständigkeiten oder des Systemdesigns autorisiert, geändert oder aufgehoben wird. Kaspersky verfolgt dabei stringent die Konzepte der geringsten Privilegien und der Aufgabentrennung, um höchste Schutzziele zu erreichen.

IT-Sicherheit beruht auf Vertrauen – und Vertrauen auf Transparenz. Welche Maßnahmen ergreift Kaspersky neben dem besprochenen Audit zusätzlich?

Christian Milde: Wir haben in den vergangenen Jahren viele Anstrengungen unternommen, um technologische Transparenz und die Vertrauenswürdigkeit Kasperskys zu steigern. Die Verlagerung der Verarbeitung und Speicherung von Bedrohungsdaten in Rechenzentren in die Schweiz und die Eröffnung globaler Transparenzzentren, in denen der Quellcode unseres Unternehmens, die Software-Updates und die Regeln zur Bedrohungserkennung von vertrauenswürdigen Partnern, Kunden und Regierungsbehörden eingesehen werden können, sind für uns ein Grundpfeiler und ein Zeichen unserer Verpflichtung für mehr Transparenz. Das machen wir übrigens als erster Anbieter der Branche schon seit 2018 und haben damit ein Benchmark gesetzt! Die Erneuerung des SOC-2-Typ-1-Berichts ist Teil dieser Globalen Transparenzinitiative und zeigt unser kontinuierliches Engagement für Rechenschaftspflicht.

Anfang dieses Jahres erneuerten wir zudem auch die Zertifizierung nach ISO 27001:2013, einem international anerkannten Sicherheitsstandard, der von der unabhängigen Zertifizierungsstelle TÜV AUSTRIA ausgestellt wird.

Das BSI hat vor dem Hintergrund des Kriegs in der Ukraine vor dem Einsatz von Kaspersky-Virenschutzprodukten gewarnt. Können Sie dazu Stellung beziehen?

Christian Milde: Das BSI hat aus geopolitischen Gründen gewarnt, ohne die Kaspersky-Produkte und unsere Schutzmechanismen vor unberechtigtem Zugriff technisch und organisatorisch zu bewerten. Mit den jetzt erneut zertifizierten Sicherheitsstandards und organisatorischen Maßnahmen durch das SOC 2-Audit können Partner und Kunden weiterhin auf die Qualität und Integrität von Kaspersky und der Produkte und Services vertrauen. Weitere eindeutige und nachprüfbare Bewertungskriterien finden Sie auf unserer Website kas.pr/vertrauen.

Herr Milde, wir danken für dieses Gespräch.

Christian Milde

Kaspersky -

Geschäftsführer Central Europe

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.