Zertifizierung bestätigt Transparenz und Vertrauenswürdigkeit von Prozessen und Lösungen sowie Erfüllung der AICPA-Kriterien
Kaspersky hat sich von August 2023 bis Juli 2024 erneut dem SOC2- (Service Organization Control for Service Organizations) Typ II-Audit für Dienstleistungsunternehmen unterzogen und dieses erfolgreich bestanden [1]. Damit bekräftigt der Cybersicherheitsexperte sein Engagement zur Einhaltung höchster Standards beim Schutz von Kundendaten und sicheren Softwareentwicklungsprozessen. Das SOC-2-Audit bestätigt die Sicherheit der Entwicklungs- und Freigabeprozesse der Antiviren-Datenbanken von Kaspersky sowie die Wirksamkeit der Kontrollen zum Schutz vor unbefugten Änderungen.
Das Service-Organization-Controls- (SOC) Framework ist ein vom ‚American Institute of Certified Public Accountants‘ (AICPA) entwickelter, international anerkannter Standard für Cybersicherheits-Risikomanagementsysteme. Dieser beurteilt die Prozesse und Lösungen hinsichtlich der fünf grundlegenden AICPA-Kriterien Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.
Seit dem Jahr 2019 unterzieht sich und besteht Kaspersky regelmäßig und erfolgreich SOC-2-Audits. Im Gegensatz zu früheren drei- bis sechsmonatigen Bewertungen, umfasste der SOC-2-Prüfungszeitraum dieses Mal erstmals ein ganzes Jahr, von August 2023 bis Juli 2024.
Das Audit wurde von Wirtschaftsprüfern eines unabhängigen Dienstleisters durchgeführt. Im Rahmen dessen wurde Kasperskys Prozess zur Entwicklung und Implementierung von Antiviren-Datenbanken für Windows- und Unix-Betriebssysteme auf Sicherheit und Verfügbarkeit überprüft, einschließlich der folgenden Elemente:
- Entwicklungs- und Kompilierungsdienstleistungen für den Quellcode der Antiviren-Datenbanken von Kaspersky,
- Systeme zur Speicherung und Überprüfung des Quellcodes der Antiviren-Datenbanken von Kaspersky,
- Test- und Freigabesystem zur Zertifizierung der Antiviren-Datenbanken von Kaspersky sowie
- Informationssysteme zur Unterstützung dieser Prozesse.
Zu den Tests gehörte
unter anderem auch die Befragung des zuständigen Managements, der
Aufsichtspersonen und weiteren Personals, die Beobachtung der
Kaspersky-Aktivitäten und
-Operationen sowie die Einsichtnahme in Dokumente und Aufzeichnungen des
Unternehmens. Das Ergebnis bestätigt, dass die internen Kontrollen von
Kaspersky zur Gewährleistung regelmäßiger automatischer Aktualisierungen der
Antiviren-Datenbanken wirksam sind und der Prozess zu deren Entwicklung und
Implementierung vor unbefugter Manipulation geschützt ist.
„Kaspersky ist stets bestrebt, seine Kunden und Partner von der Zuverlässigkeit und Integrität seiner Produkte und Lösungen zu überzeugen“, erklärt Alexander Liskin, Head of Threat Research bei Kaspersky. „Neben der Durchführung strenger Sicherheitskontrollen ist es uns wichtig, ein externes Gutachten einzuholen, das bestätigt, dass die getroffenen Maßnahmen ausreichend sind und den Branchenstandards entsprechen.“
Die regelmäßigen Audits der internen Prozesse des Unternehmens sind ein grundlegender Bestandteil der Globalen Transparenzinitiative (GTI) [2] Kasperskys. Diese soll das Vertrauen der Kunden und Partner in das Unternehmen stärken und die Einhaltung von Transparenzprinzipien durch Kaspersky belegen. Zusätzlich hat Kaspersky sein Informationssicherheitsmanagementsystem nach dem internationalen Standard „ISO/IEC 27001:2013“ [3] sowie seine Unternehmenslösungen Kaspersky Endpoint Security [4] und Kaspersky Security Center [5] nach Common Criteria zertifiziert.
Die vollständige Bewertung der Wirtschaftsprüfer kann unter https://www.kaspersky.com/about/compliance-soc2 angefordert werden.
[1] https://www.kaspersky.com/about/compliance-soc2
[2] https://gti.kaspersky.com/de
[3] https://www.kaspersky.com/about/iso-27001
[4] https://commoncriteriaportal.org/files/epfiles/2018-37-INF-2718.pdf
[5] https://support.kaspersky.com/ksc11/settings/host/15020
Nützliche Links:
- Globale Transparenzinitiative von Kaspersky: https://www.kaspersky.de/about/transparency