Im Oktober 2017 haben wir unsere Globale Transparenzinitiative angekündigt, um Skeptikern zu beweisen, dass wir absolut nichts zu verbergen haben und das man uns als Sicherheitsunternehmen vollstes Vertrauen schenken kann – nicht nur aufgrund unserer Worte, sondern vor allem aufgrund unserer Taten.
Dieser Beitrag wird mit dem Fortschritt unserer Initiative kontinuierlich aktualisiert.
Update vom 17. November 2020
Die Verlagerung der Datenspeicherung und -verarbeitung in die Schweiz, angekündigt im November 2018, ist abgeschlossen. Neben Europa, den Vereinigten Staaten und Kanada hat Kaspersky darüber hinaus diese Prozesse für eine Reihe von Ländern im asiatisch-pazifischen Raum verlagert. Die Liste der Länder, die Teil der GTI-Verlagerungspläne sind, umfasst Australien, Neuseeland, Japan, Bangladesch, Brunei, Kambodscha, Indien, Indonesien, Südkorea, Laos, Malaysia, Nepal, Pakistan, die Philippinen, Singapur, Sri Lanka, Thailand und Vietnam.
Die Verarbeitung bedrohungsbezogener Daten, die von Anwendern aus den oben angegebenen Ländern freiwillig und mit deren Zustimmung geteilt werden, erfolgt nun in zwei Rechenzentren am Standort Zürich. Hierbei handelt es sich insbesondere um verdächtige oder bisher unbekannte schädliche Dateien, die die Lösungen des Unternehmens zur automatischen Malware-Analyse an das Kaspersky Security Network (KSN) senden.
Wir kündigen die Eröffnung unseres nordamerikanischen Transparenzzentrums in Kooperation mit der CyberNB Association in New Brunswick, Kanada, an. Das Transparenzzentrum wird Anfang 2021 in Betrieb genommen und ist damit das fünfte seiner Art, in dem Kaspersky-Partner die Möglichkeit haben, den firmeneigenen Quellcode zu überprüfen und mehr über die Technologie und Datenverarbeitungspraktiken sowie das Produkt- und Lösungsportfolio zu erfahren.
Seit Beginn dieses Jahres sind bereits die Transparenzzentren in Sao Paulo und Kuala Lumpur in Betrieb genommen worden. Kaspersky hat zudem sein erstes Transparency Center in Zürich in das Rechenzentrum von Interxion verlegt.
Angesichts der derzeit geltenden Reise- und Besucherbeschränkungen können Kunden und Partner den Quellcode auch aus der Ferne überprüfen. Über diesen Link können Sie einen Remote-Zugriff auf Kasperskys Transparency Center anfordern.
Unser Cyber Capacity Building Programm wurde in Zusammenarbeit mit der vietnamesischen Behörde für Informationssicherheit (AI), zu der das nationale CERT und das National Cyber Security Center (NCSC) des Landes gehören, gelauncht. Es beinhaltet nun auch ein zusätzliches Code-Fuzzing-Programm unseres ICS CERT-Teams. 2021 soll das Programm Geschäftspartnern und anderen Unternehmen zur Verfügung stehen, um ihre Bereitschaft zu verbessern und die Widerstandsfähigkeit ihrer Systeme und Netzwerke gegenüber Risiken für Supply Chains zu messen. Über diesen Link können Sie den Zugriff auf das Programm anfordern.
Der Produktumfang unseres Bug Bounty-Programms wurde erweitert. Forscher können nun Schwachstellenberichte in Bezug auf Kaspersky VPN Secure Connection einreichen, einschließlich der Software-Module von Drittanbietern, die Teil der VPN-Lösung sind. Insgesamt wurden durch das Bug-Bounty-Programm von Kaspersky seit März 2018 76 Fehler behoben und 37 Berichte mit Prämien in Höhe von insgesamt 57.750 US-Dollar belohnt.
Update vom 13. Februar 2020
Wir machen weiterhin Fortschritte in der Entwicklung unserer globalen Transparenzinitiative. Im Rahmen dieses Prozesses haben wir vom TÜV AUSTRIA die ISO/IEC 27001:2013-Zertifizierung, ein international anerkannter Standard für Informationssicherheits-Managementsysteme, erhalten. Diese bestätigt, dass die Datensicherheitssysteme des Unternehmens, einschließlich des Kaspersky Security Network, den bewährten Praktiken der Branche entsprechen.
Für die Zertifizierung mussten wir nachweisen, dass wir die Standards für die Implementierung, Überwachung, Wartung und kontinuierliche Verbesserung unseres Informationssicherheits-Managementsystems (ISMS) einhalten.
Die Zertifizierung wurde nach einer Bewertung durch die unabhängige Zertifizierungsstelle des TÜV AUSTRIA validiert. Diese umfasste Managementsysteme zur Identifizierung bösartiger und verdächtiger Dateien unter Verwendung der Infrastruktur des Kaspersky Security Network (KSN) sowie die sichere Speicherung und den vertrauenswürdigen Zugriff auf die Dateien im Distributed File System (KLDFS) des Unternehmens. Darin inkludiert sind auch die Rechenzentren des Unternehmens in Zürich, Frankfurt, Toronto und Moskau.
Die Zertifizierung ist im Zertifikatsverzeichnis des TÜV AUSTRIA sowie auf unserer Website für die Öffentlichkeit zugänglich. Das ISO 27001-Audit versichert unseren Partnern und Kunden nicht nur, dass unsere Produkte und Dienstleistungen die besten sind, wenn es um den Schutz vor Cybergefahren geht, sondern auch, dass wir Kundendaten mit größtmöglichem Respekt und Sorgfalt behandeln.
Update vom 13. November 2019
Wir freuen uns, Ihnen mitteilen zu können, dass wir im Januar 2020 unser viertes Transparenzzentrum in São Paulo, Brasilien, eröffnen werden. Nach den europäischen Transparenzzentren in Madrid und Zürich sowie dem asiatisch-pazifischen Transparenzzentrum in Cyberjaya, Malaysia, wird es unser erstes Zentrum in Lateinamerika sein. Das neue Zentrum ist ein weiterer Ausdruck unseres Engagements, mit dem wir unsere Transparenz und unsere Fähigkeit, alle Sicherheitsprobleme schnell und gründlich angehen zu können, bekräftigen möchten.
Die Verlagerung unserer Datenspeicher- und Verarbeitungsinfrastruktur macht weitere Fortschritte. Nach der Migration unserer europäischen Kundendaten in die Schweiz beginnen wir nun auch mit der Datenverlagerung von kanadischen und US-amerikanischen Kundendaten. Die Daten werden freiwillig mit dem Kaspersky Security Network (KSN) geteilt. Das KSN ist unser fortschrittliches Cloud-basiertes System, das Daten im Zusammenhang mit Cybergefahren automatisch verarbeitet. Wir gehen davon aus, dass diese Migrationsphase bis Ende 2020 abgeschlossen sein wird. Weitere Regionen werden wir kontinuierlich hinzufügen.
Als einer der ersten Unterzeichner des Pariser Appell für Vertrauen und Sicherheit im Cyberspace waren wir stolz darauf, dieses Vorhaben auf dem Pariser Friedensforum 2019 bekannt zu geben.
Die Besucher des Transparency Centers haben die Möglichkeit, mehr über Informationstechnik und Datenverarbeitungsverfahren zu erfahren. Mit Hilfe unserer Experten kann auch die Software von Kaspersky aus dem Quellcode kompiliert und mit dem öffentlich verfügbaren Code verglichen werden. Wir werden das Transparenzzentrum auch zur Demonstration unseres Portfolios sowie unserer IT- und Datenverarbeitungspraktiken nutzen.
Update vom 15. August 2019
Wir freuen uns, Ihnen mitteilen zu können, dass unser drittes Transparenzzentrum Anfang 2020 in Cyberjaya, Malaysia, eröffnet wird. Wie auch die zuvor in Zürich und Madrid eröffneten Zentren, wird dieses Transparenzzentrum unseren Partnern und Regierungsvertretern als vertrauenswürdige Einrichtung dienen, in der diese den Quellcode unserer Produkte überprüfen können. CyberSecurity Malaysia, die landeseigene Cybersicherheitsagentur, wird das Zentrum beherbergen.
CEO Eugene Kaspersky merkt an, dass dieses Transparenzzentrum zeigt, dass unsere bahnbrechende Globale Transparenzinitiative – die darauf abzielt, die wachsende Nachfrage von Partnern und Regierungsakteuren nach weiteren Informationen über die Funktionsweise unserer Produkte und Technologien zu befriedigen – plangemäß verläuft und weiterhin auf Kurs bleibt. Das für 2020 geplante Transparenzzentrum in Malaysia wird übrigens das erste Zentrum des Unternehmens in der APAC-Region sein.
Update vom 11. Juli 2019
Im Juni wurde unser zweites Transparenzzentrum in Madrid sowohl für Kunden als auch für Partner von Kaspersky eröffnet. Wir planen bis 2020 die Eröffnung von mindestens drei Transparenzzentren.
Aber das ist noch nicht alles. Kaspersky hat das Audit „Service Organization Control for Service Organizations (SOC 2) Type 1„, ein wichtiger Teil unserer Transparenzinitiative erfolgreich absolviert. Der Abschlussbericht einer der vier großen globalen Wirtschaftsprüfungsgesellschaften bestätigt, dass sowohl die Entwicklung als auch die transparente Offenlegung der Kaspersky-Datenbanken (AV-Datenbanken für Windows- und Unix-Server) durch starke Security-Kontrollen geschützt sind. Dies gilt insbesondere für die Sicherung vor unbefugter Einflussnahme und extern vorgenommenen systemischen Änderungen. Eine weitere Bestätigung dafür, dass unsere Produkte sicher und vollkommen vertrauenswürdig sind. Gemäß den Vertragsbedingungen können wir unseren Kunden sowie Regulierungsbehördung den Bericht auf Anfrage zur Verfügung stellen.
Darüber hinaus arbeiten wir kontinuierlich an der Entwicklung unseres Bug Bounty Programms und haben uns vor Kurzem der Disclose.io-Bewegung angeschlossen, was bedeutet, dass wir ab sofort einen Safe Harbor für Sicherheitsforscher bieten, die unsere Produkte auf Schwachstellen untersuchen und somit garantieren, dass keine rechtlichen Schritte gegen sie eingeleitet werden. Weitere Informationen über Disclose.io finden Sie in unserem Blogpost.
Update vom 2. April 2019
Unsere Globale Transparenzinitiative macht gute Fortschritte: Heute geben wir die Eröffnung unseres zweiten Transparenzzentrums bekannt, das sich in Madrid, Spanien, befindet und ins Leben gerufen wurde, um der Öffentlichkeit nähere Informationen über die Funktionsweise der Produkte und Technologien von Kaspersky zur Verfügung zu stellen. Darüber hinaus dient das neue Zentrum als Briefing-Center, in dem sich Besucher über unser Produktportfolio, Engineering sowie unsere Datenverarbeitungspraktiken genauer informieren können. Im Juni erwarten wir die ersten Besucher des Zentrums. Darüber hinaus ist geplant, 2020 weitere Transparenzzentren in Asien und Nordamerika zu eröffnen.
Auch die Verlagerung unserer Datenverarbeitungsinfrastruktur befindet sich auf einem sehr guten Weg. Seit dem 13. November 2018 werden in zwei Rechenzentren in Zürich bedrohungsrelevante Daten von europäischen Nutzern verarbeitet. Die Verlagerung der Dateiverarbeitung soll bis Ende 2019 komplett abgeschlossen sein.
Darüber hinaus haben wir die Ergebnisse einer freiwilligen drittparteiischen Bewertung russischer Rechtsetzungsakte und deren Anwendung auf Kaspersky veröffentlicht. Die Bewertung erfolgte durch Dr. Kaj Hober, Professor für Internationales Investment- und Handelsrecht an der Universität Uppsala in Schweden und Experte des russischen Rechtssystems. Die wichtigsten Ergebnisse haben wir Ihnen nachfolgend zusammengefasst:
- Kaspersky kann vom Inlandsgeheimdienst der Russischen Föderation (FSB) zur Zusammenarbeit aufgefordert werden, ist allerdings nicht dazu verpflichtet.
- Gesetze, die Anbieter dazu verpflichten, den FSB bei operativen Ermittlungsaktivitäten zu unterstützen, gelten nur für Unternehmen, die elektronische Kommunikationsdienste bereitstellen, was nicht auf Kaspersky zutrifft.
- Gesetze, die Unternehmen dazu zwingen, Daten in Russland zu speichern und dem FSB diese sowie Verschlüsselungsschlüssel (zur Entschlüsselung) bereitzustellen, gelten nur für Telekommunikationsanbieter – Kaspersky ist kein Telekommunikationsanbieter.
Und zu guter Letzt: Vor kurzem wurde der Umfang zur Überprüfung verfügbarer Produkte erweitert, so dass Sicherheitsforscher nun unter anderem die Möglichkeit haben, Kaspersky Password Manager und Kaspersky Endpoint Security für LinuxKaspersky Endpoint Security für Linux zu untersuchen.Bislang konnten über 50 Bugs entdeckt und gemeldet werden. Die jeweiligen Forscher erhielten Bounty-Belohnungen in Höhe von insgesamt mehr als 17.000 US-Dollar für die Aufdeckung dieser Bugs.
Update vom 13. November 2018
Unser erstes Transparenzzentrum wurde offiziell eröffnet und ermöglicht autorisierten Partnern den Zugriff auf Überprüfungen des Unternehmenscodes, Softwareupdates und die Regeln zur Bedrohungserkennung.
Ebenso werden wir ab heute alle schädlichen und verdächtigen Dateien, die von Nutzern der Kaspersky-Produkte in Europa geteilt werden, in unseren beiden erstklassigen Datenverarbeitungseinrichtungen in Zürich verarbeiten.
Wie versprochen, hat sich Kaspersky darüber hinaus mit einem der vier großen professionellen Dienstleistungsunternehmen zusammengeschlossen, um nach Standard SSAE 18 eine Überprüfung der technischen Praktiken des Unternehmens im Bezug auf die Erstellung und Verbreitung von Bedrohungserkennungsregel-Datenbanken durchzuführen und ihre Übereinstimmung mit den höchsten Sicherheitsverfahren der Branche zu bestätigen.
Update vom 29. August 2018
Wir haben bereits sehr gute Fortschritte gemacht haben. Im Rahmen unserer Initiative haben wir unsere Bug-Bounty-Prämie auf 100.000 US-Dollar erhöht und erhoffen uns, auf diese Weise unsere Produkte noch sicherer und zuverlässiger gestalten zu können. Darüber hinaus wurde ein weiterer Teil unserer Globalen Transparenzinitiative ins Rollen gebracht, denn wir haben mit der Installation des notwendigen Equipments begonnen, das für die Verlagerung unserer Nutzerdatenverarbeitung nach Europa erforderlich ist.
Kaspersky hat Verträge mit zwei europäischen Anbietern – Interxion und NTS – unterzeichnet, um mögliche Bedenken öffentlicher und privater Stakeholder hinsichtlich des unberechtigten Zugriffs auf Kundendaten aus der Welt zu schaffen, werden diese Rechenzentren bis Ende 2018 die neue Infrastruktur zur Erfassung, Verarbeitung und Speicherung von Kundendaten in Zürich, der Schweiz, hosten. Die Verlagerung der Datenverarbeitung und -speicherung für europäische Kunden wird in den nächsten Monaten beginnen; weitere Länder werden folgen. Die vollständige Umsiedlung für europäische Länder soll voraussichtlich im 4. Quartal 2019 abgeschlossen sein.
Warum die Schweiz?
Wir haben uns aus vielseitigen Gründen für diesen Standort entschieden: einerseits befindet sich die Schweiz im Herzen Europas, andererseits gehört sie nicht zur EU, was sie zu einem eigenständigen Land macht, das seine eigene Entscheidungen treffen kann. Auch die Symbolik an sich finden wir ansprechend: Da wir mit unserer globalen Transparenzinitiative zeigen möchten, dass wir vollkommen unabhängig sind, kann es momentan keinen besseren Standort für uns geben.
Darüber hinaus ist die Schweiz für ihre hochinnovative und fortschrittliche IT-Landschaft und für ihre strengen Vorschriften hinsichtlich der Verarbeitung von Datenanfragen, die von Behörden stammen, bekannt. Auf diese Weise werden die Daten unserer Kunden an einem der sichersten Orte der Welt gespeichert und verarbeitet.
Phasen unserer Globalen Transparenzinitiative
Weitere Elemente unserer Globalen Transparenzinitiative befinden sich ebenfalls im Entwicklungsprozess.
Wir haben vier Transparenzzentren in Zürich (Schweiz), Madrid (Spanien), Cyberjaya (Malaysia) und São Paulo (Brasilien) eröffnet. Wir sind dabei, ein weiteres Zentrum in New Brunswick, Kanada, zu eröffnen.
Wir sind fest entschlossen, die Einrichtungen, die sich um die Verarbeitung unserer Kundendaten kümmern, ebenfalls in andere Länder zu verlagern. Dabei handelt es sich allerdings um einen relativ komplizierten Prozess. Um mögliche Unterbrechungen beim Schutz unserer Kunden zu reduzieren, haben wir uns dazu entschlossen, einen inkrementellen Ansatz zu verfolgen. Wir werden darauf zurückkommen, nachdem wir die Datenverarbeitungseinrichtungen für europäische Bürger in die Schweiz verlegt haben. [UPDATE: Die Verlagerung der Datenverarbeitung und -speicherung wurde erfolgreich abgeschlossen. Neben Europa, den Vereinigten Staaten und Kanada hat Kaspersky darüber hinaus diese Prozesse für eine Reihe von Ländern im asiatisch-pazifischen Raum verlagert.]
Auch die Überprüfung von Drittanbietercode und -prozessen wird nach der Umsiedlung in Angriff genommen; momentan sind wir noch auf der Suche nach einem passenden Partner. [UPDATE: Eines der Big Four Unternehmen hat sein Audit mithilfe des SOC 2 Type 1 Reporting-Frameworks absolviert.]
Ein weiterer Teil unserer Initiative ist die Verlagerung des Datenbankprozesses für Software- und Bedrohungserkennungsregeln in die Schweiz. Bedenken hinsichtlich des Zugriffs auf unbefugte Benutzerdaten hatten jedoch eine höhere Priorität, sodass dieser Schritt erst dann stattfindet, nachdem wir mit dem Datenverlagerungsprozess begonnen haben.
Die Umsetzung der Globalen Transparenzinitiative ist für uns ein sehr wichtiger Prozess. Wir sind absolut davon überzeugt, dass die Investition von Zeit und Mühe in dieses langwierige Projekt notwendig ist, um zu beweisen, dass Kaspersky vollkommen transparent, unabhängig und zu 100% vertrauenswürdig ist. Sobald wir weitere Neuigkeiten bezüglich der laufenden Prozesse unserer Globalen Transparenzinitiative haben, aktualisieren wir diesen Blog-Eintrag, damit alle Informationen zu unserem Projekt an einem Ort gefunden werden können.