Kaspersky hat das Audit „Service Organization Control for Service Organizations (SOC 2) Type 1“ erfolgreich absolviert. Der Abschlussbericht einer der vier großen globalen Wirtschaftsprüfungsgesellschaften bestätigt, dass sowohl die Entwicklung als auch die transparente Offenlegung der Kaspersky-Datenbanken (AV-Datenbanken) durch starke Security-Kontrollen geschützt sind. Dies gilt insbesondere für die Sicherung vor unbefugter Einflussnahme und extern vorgenommenen systemischen Änderungen. Darüber hinaus kündigt Kaspersky neue Entwicklungen im Rahmen seiner Globalen Transparenzinitiative an.
Das Service Organization Controls (SOC)-Reporting-Framework ist ein weltweit anerkannter Cybersicherheitsrisikomanagement-Kontrollbericht, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Er dient dazu, Kunden über das effektive Design und die ordnungsgemäße Implementierung von Sicherheitskontrollen zu informieren. Als verantwortungsbewusstes und transparentes Unternehmen hat Kaspersky diesen Standard gewählt, um Kunden, Entscheidern und Meinungsbildnern die Vertrauenswürdigkeit seiner Produkte und des eigenen Engagements für die AICPA-Grundsätze und -Prinzipien – Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz – zu demonstrieren.
Die Prüfung nach der Norm SSAE 18 (Statement of Standards for Attestation Engagements) umfasst interne Kontrollen über regelmäßige automatische Aktualisierungen von Antiviren-Datenbanken, die von Kaspersky für seine Produkte auf Windows- und Unix-Servern erstellt und vertrieben werden. In seinem Abschlussbericht stellte der unabhängige Auditor der Big Four fest, dass die oben genannten Kontrollen zu einem spezifischen Zeitpunkt ordnungsgemäß durchgeführt werden konnten.
Ultimative Sicherheit durch maximales Vertrauen
„Die Sicherheit unserer Produkte ist fraglos eine unserer höchsten Prioritäten. Wir sind deshalb sehr stolz darauf, dieses unabhängige Audit erfolgreich abgeschlossen zu haben. Die positive Bewertung bestätigt unseren Kunden einmal mehr die Sicherheit unserer Produkte und das entgegengebrachte Vertrauen in unsere F&E-Prozesse und -Kontrollen. Dieses Überprüfungsszenario ist ein weiterer Schritt im Rahmen unserer kontinuierlichen Bemühungen, die Transparenz unseres Unternehmens noch stärker zu untermauern“, betont Andrey Efremov, Chief Technology Officer bei Kaspersky.
Gemäß den Vertragsbedingungen darf Kaspersky den Namen des externen Auditors nicht preisgeben. Obwohl das Unternehmen die wesentlichen Informationen über seine oben genannten Verpflichtungen und Anforderungen im Bericht SOC 2 Typ 1 auf Anfrage offenlegen kann.
Das Audit wurde im Rahmen der – von Kaspersky 2017 angekündigten – Globalen Transparenzinitiative durchgeführt. Diese soll Partner und Kunden des Unternehmens zum einen die herausragende Qualität der Produkte und Dienstleistungen Kasperskys zum Schutz vor Cyberbedrohungen belegen und zum anderen vor Augen führen, mit welchem hohen Maße an Sorgfalt und Respekt die Kundendaten behandelt werden. Unter anderem verpflichtete sich das Unternehmen, die Datenspeicherung und -verarbeitung für Kunden in die Schweiz zu verlagern. Bis heute hat das Unternehmen die zweite Phase seines Umzugs für europäische Nutzer durchgeführt und plant, diesen Prozess bis Ende 2019 ganz abzuschließen.
Neben der räumlichen Verlagerung aller Datenbestände strebt Kaspersky bis 2020 die Errichtung von mindestens drei Transparenzzentren an. Das Unternehmen unterstützt darüber hinaus kontinuierlich sein Bug-Bounty-Programm, das sowohl angehende IT-Experten als auch erfahrene Profis animieren soll, nach Schwachstellen in Kaspersky-Produkten Ausschau zu halten, und arbeitet an mehreren weiteren Projekten, um die Transparenz und Vertrauenswürdigkeit des Unternehmens zu erhöhen.
Weiterentwicklungen der Globalen Transparenzinitiative
Bug-Bounty-Programm: Kaspersky hat kontinuierlich an der Entwicklung seines Bug-Bounty-Programms gearbeitet. Vor kurzem zahlte das Unternehmen 23.000 US-Dollar – die bisher größte Belohnung in der Geschichte des Programms – an Forscher des Imaginary-Teams für die Entdeckung eines Sicherheitsproblems, das es Dritten potentiell ermöglicht hätte, beliebigen Code auf dem PC eines Benutzers mit Systemprivilegien aus der Ferne auszuführen. Der Fehler wurde umgehend behoben. Kaspersky dankt dem Imaginary-Team für den Bericht und ihre Unterstützung bei der Verbesserung seiner Produkte.
Safe Harbor für Schwachstellenforscher: Das Unternehmen unterstützt nun das Disclose.io-Framework, das einen „sicheren Hafen“/Safe Harbor für Schwachstellenforscher bietet, die die sich Sorgen um die negativen rechtlichen Folgen ihrer Entdeckungen machen. Kaspersky versteht, dass externe Experten wertvolle Unterstützung bei der Identifizierung und Meldung von Schwachstellen leisten. Deshalb ist das Unternehmen bereit, zusätzliche Garantien für eine faire Behandlung von Schwachstellenberichten zu bieten.
Transparenzzentren: Das Transparenzzentrum in Madrid ist seit Juni offiziell für Kunden und Partner von Kaspersky sowie für Regierungsvertreter zugänglich. Wie im Transparenzzentrum am Standort Zürich bietet der Cybersicherheitsanbieter Quellcode-Reviews und maßgeschneiderte Sicherheitsunterweisungen über die Datenverarbeitungspraktiken des Unternehmens und die Funktionsweise seiner Produkte an.
Threat-Intelligence-Support für Strafverfolgungsbehörden: Kaspersky kündigt einen erweiterten kostenlosen Dienst für Strafverfolgungsbehörden (Law Enforcement Agencies, LEAs) an. Ein einzigartiger und maßgeschneiderter – aus drei Komponenten bestehender – Ansatz, der entwickelt wurde, um deren Bemühungen bei der Bekämpfung der grenzenlosen Cyberkriminalität maximal zu unterstützen:
- Threat Intelligence Reporting
- Threat Data
- Automatisierte Security-Awareness-Plattform (Kaspersky ASAP).
Durch die Bereitstellung des kostenlosen Angebots für Strafverfolgungsbehörden will das Unternehmen das Bewusstsein dafür schärfen, wie Kaspersky-Dienste funktionieren und wie sie zur Bekämpfung von Cyberkriminalität und komplexen Cyberbedrohungen beitragen können.
Kaspersky baut seine Globale Transparenzinitiative kontinuierlich weiter aus und wird die Öffentlichkeit regelmäßig über neue Entwicklungen informieren.