Ein Schild des Vertrauens

Bereits vor einem Monat hat das amerikanische Handelsministerium eine abschließende Entscheidung über den Verkauf und die Nutzung von Kaspersky-Produkten in den USA veröffentlicht. Durch die Entscheidung des Ministeriums wurden Kaspersky-Produkte vom amerikanischen Markt verbannt – mit wenigen Ausnahmen für Produkte und Dienste im Informations- und Bildungsbereich. Das Ergebnis: Nutzer in den USA können Cybersicherheitssoftware nicht mehr nach der Qualität und Kompetenz der Produkte auswählen.

In seiner 27-jährigen Geschichte, war unser Unternehmen in der gesamten Branche immer dafür bekannt, den besten Schutz vor Cyberbedrohungen aller Art zu bieten – unabhängig davon, woher Bedrohungen stammen. Hier einige Beispiele: Anfang 2024 wurden unsere Produkte erneut von einem namhaften unabhängigen Testlabor als Produkt des Jahres ausgezeichnet. Jahr für Jahr beweisen unsere Lösungen einen 100-prozentigen Schutz vor Ransomware, einer der gefährlichsten Bedrohungen. Und das Kaspersky-Forschungsteam wird sowohl von der globalen InfoSec-Community als auch von unseren Nutzern dafür geschätzt, dass es großangelegte und ausgefeilte staatlich finanzierte Spionagekampagnen aufdeckt, analysiert und der Öffentlichkeit präsentiert.

Weshalb werden erstklassige Cybersicherheitslösungen verboten, denen Millionen Nutzer vertrauen? Wurde das Problem klar und objektiv definiert? Gibt es Beweise für die Risiken, auf die sich die US-Regierung seit Jahren beruft? Wir wissen jedenfalls nichts davon.

Trotzdem sind wir mit den Folgen eines zunehmenden Protektionismus (und dessen verheerenden Auswirkungen) konfrontiert – dazu zählen z. B. unbegründete Behauptungen wegen Fehlverhaltens und Anschuldigungen, die auf rein theoretischen Risiken basieren. Gleichzeitig haben wir aber kontinuierlich eine universelle Methode zur Bewertung von Cybersicherheitsprodukten entwickelt und sind dabei unserem Grundsatz treu geblieben: maximale Transparenz und Offenheit bei der Art und Weise, wie wir unsere Arbeit erledigen.

Als erstes und einziges großes Cybersicherheitsunternehmen haben wir Dritten Zugriff auf unseren Quellcode gewährt und erlauben Stakeholdern und vertrauenswürdigen Partnern, unsere Bedrohungserkennungsregeln und unsere Software-Updates zu überprüfen – dies ist eine beispiellose Geste des guten Willens. Bereits seit mehreren Jahren gibt es unsere Globale Transparenzinitiative, die in ihrem Umfang und praktischen Wert einzigartig ist. Auch sie spiegelt unsere kooperative Haltung und Entschlossenheit wider, möglichen Bedenken hinsichtlich der Funktionsweise unserer Lösungen zu begegnen. Als Reaktion auf Zweifel an der Zuverlässigkeit unserer Produkte – die meist mit externen Faktoren wie geopolitischen Vermutungen begründet werden – haben wir ein noch gründlicheres Framework erarbeitet, das die Integrität unserer Sicherheitslösungen während des gesamten Lebenszyklus sicherstellt.

Die unten beschriebenen Rahmenbedingungen haben wir proaktiv mit den Parteien geteilt, die Bedenken hinsichtlich der Glaubwürdigkeit von Kaspersky-Lösungen geäußert haben. Dazu zählt auch die US-Regierung. Wir glauben, dass dieses umfassende Framework die häufigsten Bedenken ausräumen kann und eine verlässliche Vertrauenskette bildet.

Hier sind die wichtigsten Säulen unserer Methodik zur Bewertung der Cybersicherheit (die unserer Meinung nach als Grundlage für eine branchenweite Methodik geeignet ist): 1. lokale Datenverarbeitung, 2. Überprüfung der erhaltenen Daten und 3. Überprüfung der Informationen und Updates, die (im Rahmen von Software- und Datenbanken-Updates) an die Benutzercomputer geliefert werden. Wie schon bei unserer Globalen Transparenzinitiative besteht das strategische Kernziel darin, die Prozesse und Lösungen des Unternehmens durch einen externen Gutachter zu überprüfen. Neu an dieser Methode ist jedoch sowohl die Reichweite als auch die Tiefe der Überprüfungen. Kommen wir zu den Details …

Lokale Datenverarbeitung

Die Verarbeitung und Speicherung von Daten ist eine der sensibelsten Fragen – nicht nur für Kaspersky, sondern für die gesamte Cybersicherheitsbranche. Häufig erhalten wir berechtigte Fragen dazu, welche Daten unsere Produkte verarbeiten können, wie diese Daten gespeichert werden und vor allem, warum wir diese Daten benötigen. Für Kaspersky besteht der Hauptzweck der Datenverarbeitung darin, unseren Nutzern und Kunden optimale Cybersicherheitslösungen bereitzustellen: Wir sammeln Daten über bösartige und verdächtige Dateien, die wir auf den Computern der Nutzer finden. Anhand dieser Daten können wir unsere Algorithmen trainieren und ihnen beibringen, wie neue Bedrohungen erkannt und eingedämmt werden.

Das von uns vorgestellte Framework beinhaltet auch eine Stärkung der lokalen Infrastruktur für die Datenverarbeitung. Zudem werden technische und administrative Kontrollmöglichkeiten implementiert, die den Zugriff auf diese Infrastruktur für Mitarbeiter außerhalb eines bestimmten Landes oder einer bestimmten Region beschränken. Diesen Ansatz setzen wir bereits bei der Bereitstellung unseres Dienstes Managed Detection and Response (MDR) in Saudi-Arabien um. Entsprechende Mechanismen wurden auch in unseren Gesprächen mit den US-Behörden vorgeschlagen, um deren Bedenken auszuräumen. In diesem Fall würden die Speicherung und Verarbeitung lokaler Daten in einer physischen Umgebung erfolgen, in der die Daten durch verantwortliche Personen kontrolliert werden, die der örtlichen Gerichtsbarkeit oder der Gerichtsbarkeit eines eng verbundenen Landes unterstehen. Wie bei den oben genannten Schritten könnte die Wirksamkeit der implementierten Maßnahmen auch hier durch einen unabhängigen externen Gutachter überprüft werden.

Eine lokale Datenverarbeitung erfordert eine lokale Bedrohungsanalyse und die Entwicklung lokaler Signaturen für die Bedrohungserkennung. Und unsere Methodik ermöglicht genau dies. Für die lokale Datenverarbeitung ist zusätzliches Personal erforderlich, das die lokale Infrastruktur unterstützt. Und wir sind bereit, unsere regionalen F&E- und IT-Teams in bestimmten Ländern weiter auszubauen. Diese Teams wären ausschließlich dafür verantwortlich, die Verarbeitung lokaler Daten zu unterstützen, die Software für lokale Rechenzentren zu verwalten und Schadsoftware zu analysieren, um neue, für die jeweilige Region spezifische APTs (Advanced Persistent Threats) zu identifizieren. Diese Maßnahme würde auch sicherstellen, dass mehr internationale Experten in die Entwicklung zukünftiger Kaspersky-Produktlinien eingebunden werden und unsere F&E weiter dezentralisiert wird.

Kontrolle der Datenerfassung

Wir schützen gesammelte Daten durch strenge interne Richtlinien, Methoden und Kontrollen vor potenziellen Risiken. Die gesammelten Daten werden keiner bestimmten Person oder Organisation zugeordnet und nach Möglichkeit anonymisiert. Wir beschränken den Zugriff auf diese Daten innerhalb des Unternehmens und verarbeiten diese zu 99 % automatisch.

Um die Risiken für die Daten unserer Kunden weiter zu minimieren, haben wir vorgeschlagen, unsere Datenerfassungsvorgänge regelmäßig durch einen autorisierten externen Gutachter zu testen. Ein solcher Echtzeit-Gutachter würde die erfassten Daten regelmäßig mit Datenanalyse-Tools und Datenverarbeitungsplattformen auswerten. Dies würde gewährleisten, dass keine personenbezogenen Daten oder anderen geschützten Daten an Kaspersky übertragen werden. Zudem würde sichergestellt, dass die abgerufenen Daten ausschließlich zum Auffinden von und zum Schutz vor Bedrohungen genutzt sowie angemessen gehandhabt werden.

Überprüfung der Updates und Daten, die an Endgeräte übermittelt werden

Dies ist ein weiterer Schritt, der das Produkt betrifft: Als Komponente der Risikominderung würden unsere Datenbanken-Updates und die produktbezogene Entwicklung von Softwarecode regelmäßig durch Dritte überprüft. Dadurch werden die Lieferkettenrisiken für unsere Kunden reduziert. Wichtig ist, dass die dritte Partei eine unabhängige Organisation ist, die direkt einer lokalen Aufsichtsbehörde unterstellt ist. Der Software-Entwicklungsprozess von Kaspersky ist bereits streng organisiert und sicher. Diese Maßnahme würde mögliche Risiken zusätzlich mindern. Dazu zählt auch ein Szenario, bei dem ein Angreifer in das System eindringt. Es wäre sichergestellt, dass niemand unseren Produkten oder AV-Datenbanken unautorisierten Code hinzufügen kann.

Zur weiteren Verbesserung des Schutzes sollte ein externer Echtzeit-Gutachter hinzugezogen werden, der die Sicherheit des von Kaspersky-Ingenieuren entwickelten Codes bewertet und Verbesserungen vorschlägt, um potenzielle Risiken zu identifizieren und geeignete Lösungen zu finden.

Im Folgenden ist eines der Szenarien dargestellt, wie eine solche Überprüfung der Datenbanken-Updates organisiert werden kann:

Szenario für die Echtzeit-Überprüfung der Bedrohungsdatenbanken

Für die Überprüfung durch eine dritte Partei gibt es verschiedene Möglichkeiten. Sie kann blockierenden oder nicht blockierenden Charakter haben. Sie kann entweder regelmäßig erfolgen oder nach Erreichen einer kritischen Menge an zu überprüfenden Updates bzw. Komponenten. Und sie kann sich auf alle oder nur auf bestimmte Komponenten beziehen. Die modernste Überprüfungsoption umfasst die Echtzeit-Blockierung. Dabei können die Gutachter den Code, der an die Endgeräte gesendet wird, vollständig kontrollieren. Eine Überprüfung mit möglicher Blockierung würde verhindern, dass Code während des Überprüfungsvorgangs in ein Produkt oder in Updates gelangt – und damit zu den Kaspersky-Kunden.

Dieser umfassende Überprüfungsprozess könnte noch weiter verbessert werden: Alle Updates, die an Benutzercomputer geliefert werden, müssen vom Gutachter signiert werden, nachdem der zugrunde liegende Code bestätigt und implementiert wurde. Dadurch würde sichergestellt, dass der Code nach der Echtzeit-Überprüfung nicht verändert werden kann.

Die vorgeschlagene Überprüfung ermöglicht nicht nur eine sicherheitsbezogene Echtzeit-Überprüfung von neu entwickeltem Code, sie bietet auch Zugriff auf den gesamten Quellcode und dessen Verlauf. Auf diese Weise kann der Gutachter den neu entwickelten Code vollständig bewerten, Änderungsverläufe einsehen und feststellen, wie der Code mit anderen Produktkomponenten interagiert.

Eine derart umfassende Code-Überprüfung würde auch den Zugriff auf eine Kopie der Software-Build-Umgebung des Unternehmens beinhalten, die der in Kaspersky verwendeten Umgebung entspricht. Dazu zählen auch Kompilierungsanweisungen und Skripte, eine detaillierte Design-Dokumentation sowie technische Beschreibungen der Prozesse und Infrastruktur. Daher könnte der Echtzeit-Gutachter den Code unabhängig erstellen bzw. kompilieren und Binärdateien und/oder einzelne Build-Objekte mit den ausgelieferten Versionen vergleichen. Der Gutachter wäre zudem in der Lage, die Build-Infrastruktur und die Software auf Änderungen zu überprüfen.

Darüber hinaus könnte einem vertrauenswürdigen unabhängigen Dritten Zugriff auf die Software-Entwicklungspraktiken des Unternehmens gewährt werden. Diese neutrale Analyse könnte weitere Garantien dafür liefern, dass die von Kaspersky eingesetzten Maßnahmen und Prozesse mit den üblichen Branchenpraktiken übereinstimmen. In diesem Rahmen würde die gesamte relevante Sicherheitsdokumentation zugänglich sein. Dazu zählen unter anderem die Definition von Sicherheitsanforderungen, Modellierung von Bedrohungen, Code-Überprüfung, statische und dynamische Code-Verifizierung und Penetrationstests.

Zusammenfassend kann die beschriebene Strategie unseres Erachtens den meisten Risiken in der IKT-Lieferkette bei der Produktentwicklung und beim Vertrieb wirksam und nachprüfbar begegnen. Und wie ich bereits erwähnte, haben wir diese Risikominderungsmaßnahmen als Diskussionsvorschlag beim US-Handelsministerium vorgelegt und damit erneut unsere Dialogbereitschaft und unsere Entschlossenheit bekräftigt, ein Höchstmaß an Sicherheitsgarantien zu bieten. Unser Vorschlag wurde jedoch schlichtweg ignoriert. Darum vermute ich, dass der Grund in den vorgefassten Meinungen des Ministeriums liegt. Anscheinend wurde unser Vorschlag nicht auf seine Wirksamkeit im Hinblick auf die Risikokontrolle geprüft, sondern es wurde nur ein Ablehnungsgrund gesucht.

Leider geht es auch hier wieder einmal um einen Akt des digitalen Protektionismus. Ich weiß jedoch, dass die Welt dringend eine globale Strategie für das Risikomanagement im Bereich Cybersicherheit benötigt. Eine effektive Reaktionsfähigkeit auf die sich entwickelnde Bedrohungslandschaft ist von entscheidender Bedeutung. Und dafür ist ein einheitlicher Ansatz für das Management von Cybersicherheitsrisiken über verschiedene IT-Sicherheitsdomänen hinweg erforderlich. Dieser Ansatz könnte auch kurzsichtige Entscheidungen verhindern, die Millionen von Nutzern der Wahlfreiheit für einen bewährten Cybersicherheitsschutz berauben und den Datenaustausch zwischen Cybersicherheitsexperten auf riskante Weise einschränken. Wir sollten diesen Experten erlauben, sich auf ihre wichtige Arbeit zu konzentrieren, ohne sich zusätzlich um Geopolitik kümmern zu müssen. Sonst reiben sich höchstens Cyberkriminelle die Hände.

In einer vernetzten Welt, in der Cyberbedrohungen keine geografischen Grenzen mehr kennen, ist eine globale Strategie von höchster Bedeutung. Nur so lassen sich die Abwehrmaßnahmen für die Cybersicherheit verbessern, das gegenseitige Vertrauen stärken und ein sichereres digitales Ökosystem fördern. Unser Framework öffnet innerhalb der Branche die Tür für eine Diskussion darüber, wie eine universelle Bewertung der Cybersicherheit in der Lieferkette aussehen sollte. Das Ziel ist der Aufbau eines zuverlässigen Schutzschilds des Vertrauens und damit einer sichereren Welt.