Sie sind hier: Home » Markt » Unternehmen, Organisationen, Verbände

Implementierung von Sicherheitskontrollen

Kaspersky besteht erfolgreich unabhängiges SOC 2-Audit
Kostenloser Dienst für Strafverfolgungsbehörden und Unterstützung des Disclose.io-Framework

Kaspersky hat das Audit "Service Organization Control for Service Organizations (SOC 2) Type 1" erfolgreich absolviert. Der Abschlussbericht einer der vier großen globalen Wirtschaftsprüfungsgesellschaften bestätigt, dass sowohl die Entwicklung als auch die transparente Offenlegung der Kaspersky-Datenbanken (AV-Datenbanken) durch starke Security-Kontrollen geschützt sind. Dies gilt insbesondere für die Sicherung vor unbefugter Einflussnahme und extern vorgenommenen systemischen Änderungen. Darüber hinaus kündigt Kaspersky neue Entwicklungen im Rahmen ihrer Globalen Transparenzinitiative an.

Das Service Organization Controls (SOC)-Reporting-Framework ist ein weltweit anerkannter Cybersicherheitsrisikomanagement-Kontrollbericht, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Er dient dazu, Kunden über das effektive Design und die ordnungsgemäße Implementierung von Sicherheitskontrollen zu informieren. Als verantwortungsbewusstes und transparentes Unternehmen hat Kaspersky diesen Standard gewählt, um Kunden, Entscheidern und Meinungsbildnern die Vertrauenswürdigkeit ihrer Produkte und des eigenen Engagements für die AICPA-Grundsätze und -Prinzipien – Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz – zu demonstrieren.

Die Prüfung nach der Norm SSAE 18 (Statement of Standards for Attestation Engagements) umfasst interne Kontrollen über regelmäßige automatische Aktualisierungen von Antiviren-Datenbanken, die von Kaspersky für ihre Produkte auf Windows- und Unix-Servern erstellt und vertrieben werden. In seinem Abschlussbericht stellte der unabhängige Auditor der Big Four fest, dass die oben genannten Kontrollen zu einem spezifischen Zeitpunkt ordnungsgemäß durchgeführt werden konnten.

"Die Sicherheit unserer Produkte ist fraglos eine unserer höchsten Prioritäten. Wir sind deshalb sehr stolz darauf, dieses unabhängige Audit erfolgreich abgeschlossen zu haben. Die positive Bewertung bestätigt unseren Kunden einmal mehr die Sicherheit unserer Produkte und das entgegengebrachte Vertrauen in unsere F&E-Prozesse und -Kontrollen. Dieses Überprüfungsszenario ist ein weiterer Schritt im Rahmen unserer kontinuierlichen Bemühungen, die Transparenz unseres Unternehmens noch stärker zu untermauern", betont Andrey Efremov, Chief Technology Officer bei Kaspersky.

Gemäß den Vertragsbedingungen darf Kaspersky den Namen des externen Auditors nicht preisgeben. Obwohl das Unternehmen die wesentlichen Informationen über seine oben genannten Verpflichtungen und Anforderungen im Bericht SOC 2 Typ 1 auf Anfrage offenlegen kann.

Das Audit wurde im Rahmen der – von Kaspersky 2017 angekündigten – Globalen Transparenzinitiative durchgeführt. Diese soll Partner und Kunden des Unternehmens zum einen die herausragende Qualität der Produkte und Dienstleistungen Kasperskys zum Schutz vor Cyberbedrohungen belegen und zum anderen vor Augen führen, mit welchem hohen Maße an Sorgfalt und Respekt die Kundendaten behandelt werden. Unter anderem verpflichtete sich das Unternehmen, die Datenspeicherung und -verarbeitung für Kunden in die Schweiz zu verlagern. Bis heute hat das Unternehmen die zweite Phase seines Umzugs für europäische Nutzer durchgeführt und plant, diesen Prozess bis Ende 2019 ganz abzuschließen.

Neben der räumlichen Verlagerung aller Datenbestände strebt Kaspersky bis 2020 die Errichtung von mindestens drei Transparenzzentren an. Das Unternehmen unterstützt darüber hinaus kontinuierlich sein Bug-Bounty-Programm, das sowohl angehende IT-Experten als auch erfahrene Profis animieren soll, nach Schwachstellen in Kaspersky-Produkten Ausschau zu halten, und arbeitet an mehreren weiteren Projekten, um die Transparenz und Vertrauenswürdigkeit des Unternehmens zu erhöhen.

Weiterentwicklungen der Globalen Transparenzinitiative
Bug-Bounty-Programm: Kaspersky hat kontinuierlich an der Entwicklung ihrs Bug-Bounty-Programms gearbeitet. Vor kurzem zahlte das Unternehmen 23.000 US-Dollar – die bisher größte Belohnung in der Geschichte des Programms – an Forscher des Imaginary-Teams für die Entdeckung eines Sicherheitsproblems, das es Dritten potentiell ermöglicht hätte, beliebigen Code auf dem PC eines Benutzers mit Systemprivilegien aus der Ferne auszuführen. Der Fehler wurde umgehend behoben. Kaspersky dankt dem Imaginary-Team für den Bericht und ihre Unterstützung bei der Verbesserung ihrer Produkte.

Safe Harbor für Schwachstellenforscher: Das Unternehmen unterstützt nun das Disclose.io-Framework, das einen "sicheren Hafen"/Safe Harbor für Schwachstellenforscher bietet, die die sich Sorgen um die negativen rechtlichen Folgen ihrer Entdeckungen machen. Kaspersky versteht, dass externe Experten wertvolle Unterstützung bei der Identifizierung und Meldung von Schwachstellen leisten. Deshalb ist das Unternehmen bereit, zusätzliche Garantien für eine faire Behandlung von Schwachstellenberichten zu bieten.

Transparenzzentren: Das Transparenzzentrum in Madrid ist seit Juni offiziell für Kunden und Partner von Kaspersky sowie für Regierungsvertreter zugänglich. Wie im Transparenzzentrum am Standort Zürich bietet der Cybersicherheitsanbieter Quellcode-Reviews und maßgeschneiderte Sicherheitsunterweisungen über die Datenverarbeitungspraktiken des Unternehmens und die Funktionsweise seiner Produkte an.

Threat-Intelligence-Support für Strafverfolgungsbehörden: Kaspersky kündigt einen erweiterten kostenlosen Dienst für Strafverfolgungsbehörden (Law Enforcement Agencies, LEAs) an. Ein einzigartiger und maßgeschneiderter – aus drei Komponenten bestehender – Ansatz, der entwickelt wurde, um deren Bemühungen bei der Bekämpfung der grenzenlosen Cyberkriminalität maximal zu unterstützen:
• >> Threat Intelligence Reporting
• >> Threat Data
• >> Automatisierte Security-Awareness-Plattform (Kaspersky ASAP).

Durch die Bereitstellung des kostenlosen Angebots für Strafverfolgungsbehörden will das Unternehmen das Bewusstsein dafür schärfen, wie Kaspersky-Dienste funktionieren und wie sie zur Bekämpfung von Cyberkriminalität und komplexen Cyberbedrohungen beitragen können.
(Kaspersky Lab: ra)

eingetragen: 06.08.19
Newsletterlauf: 06.09.19

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Unternehmen

Kryptografie wird jetzt zukunftssicher
Fortschritte bei der Entwicklung leistungsfähiger Quantencomputer haben zuletzt Google in die Schlagzeilen gebracht, auch die Kryptografie hält in diesem Wettlauf das Tempo mit: genua und Partner entwickeln im Projekt QuaSiModO (Quanten-Sichere VPN-Module und Operantionsmodi) Verschlüsselungsverfahren zur Kommunikation via Internet, die der neuartigen Rechenleistung von Quantencomputern standhalten. Denn viele der heute gängigen Krypto-Verfahren werden unsicher, sobald Quantencomputer marktreif sind. Das Ziel des Forschungsprojekts: bis 2022 praxistaugliche Verschlüsselungsverfahren zur sicheren Kommunikation in der aufziehenden Ära der Quantencomputer entwickeln. Projektpartner sind der Netzwerkausrüster ADVA Optical Networking SE, das Fraunhofer-Institut AISEC, die Ludwig-Maximilians-Universität München (LMU) und der IT-Sicherheitshersteller genua GmbH als Konsortialführer.
Dokumentenprüfung & Identitätsfeststellung
secunet ist langjähriger Partner der Bundespolizei bei der Entwicklung einer modernen Informationsarchitektur für die digitale Polizeiarbeit. Ein Ergebnis der Zusammenarbeit ist die Entwicklung einer "Smart Police App" auf Basis der Software Plattform "secunet biomiddle". Die Applikation ermöglicht einen orts- und endgeräteunabhängigen Zugriff sowie die Verarbeitung polizeilicher Informationen. Ab sofort ist die App auch für iOS verfügbar und steht den Polizeien der Länder zur Verfügung. Bereits seit 2018 setzt die Bundespolizei bei Personenkontrollen in mobilen Einsätzen erfolgreich Apps zur Dokumentenprüfung und Identitätsfeststellung ein. Mit der App "BPOL-Dokumentenprüfung" können Bundespolizisten elektronische Identitätsdokumente (eID) unterwegs flexibel und sicher mit dem Smartphone auslesen und prüfen. Darüber hinaus ist die Verifikation biometrischer Daten, wie z.B. der Vergleich des im Chip gespeicherten Gesichtsbildes mit dem Livebild der Person, möglich.
Fortinet übernimmt SOAR-Anbieter CyberSponse
Fortinet gab die Übernahme von CyberSponse, einem führenden Anbieter von Security Orchestration, Automation and Response (SOAR)-Plattformen mit Sitz in Arlington, Virginia, bekannt. CyberSponse, bereits Fortinet Security Fabric-Partner, wird die Automatisierungs- und Reaktionsfähigkeiten von "FortiAnalyzer", "FortiSIEM" und "FortiGate" weiter ausbauen und Security-Vorgänge noch stärker vereinfachen. Die heutige Cyber-Bedrohungslandschaft entwickelt sich ständig weiter. Darüber hinaus trägt die zunehmende Anzahl von Produkten für die Absicherung von Endpunkten zu einer sinkenden Alarmbereitschaft bei. Hinzu kommt oftmals ein Mangel an Cyber-Security-Kenntnissen. Dadurch verschärft sich die ohnehin schon komplexe Security-Umgebung. Um dieser Komplexität entgegenzuwirken, versuchen Unternehmen und Service Provider, ihre Abläufe zu vereinfachen und die Effizienz der heutigen Security Operations Center (SOCs) zu maximieren. Dazu werden Warnmeldungen aus einer Vielzahl von Sicherheitsprodukten konsolidiert und getestet sowie Analysen und sich wiederholende Aufgaben automatisiert. Zudem kommen klar definierte Playbooks zum Einsatz, um eine Reaktion auf Vorfälle in Echtzeit zu ermöglichen.
Operationsbasis für weitere Innovationen
EfficientIP hat von Jolt Capital eine Investitionseinlage in Höhe von 11 Millionen Dollar erhalten, um das weitere Unternehmenswachstum zu unterstützen. Die Investition dient dazu, die internationale Expansion voranzutreiben und das Serviceangebot als Reaktion auf die gestiegene globale Nachfrage nach DDI (DNS, DHCP und IP-Adressmanagement)-Anwendungen strategisch auszubauen. Die Experten von EfficientIP unterstützen Unternehmen, online zu bleiben und sich vor Datenverlust zu schützen, indem sie die Grundlage der IP-Infrastruktur zuverlässig, flexibel und sicher gestalten. Eine wachsende Anzahl angeschlossener Geräte und die Kombination von Cloud- und Inhouse-Computing macht die IT immer komplexer. Vor diesem Hintergrund hilft EfficientIP Unternehmen, Prozesse zu vereinfachen und wettbewerbsfähiger zu werden. "Die Investition macht es möglich, unsere Expansion auf globaler Ebene zu beschleunigen", kommentiert David Williamson, CEO von EfficientIP. "Die Marktchancen für DDI-Lösungen wachsen, und wir möchten diesen Schwung nutzen, indem wir unsere Vertriebsmannschaft verstärken. Das schafft eine Basis, die aktuelle Nachfrage zu befriedigen und weitere Innovationen voranzutreiben, die wirklich wichtig sind, um die Kundenbedürfnisse von morgen weiterhin zu erfüllen. Angesichts der Erfolgsbilanz bei der Skalierung von Technologieunternehmen weltweit ist Jolt Capital ein idealer Partner, um uns in dieser Wachstumsphase zu unterstützen."
Debatte zur SSL-Zertifikat-Laufzeit
Die Debatte um die Laufzeit von SSL-Zertifikaten ist neu entfacht: Einst drei Jahre gültige SSL-Zertifikate müssen mittlerweile alle zwei Jahre ausgetauscht werden. Eine weitere Verkürzung der SSL-Zertifikate-Laufzeit wurde erst im September im CA/B-Forum diskutiert. Die meisten Zertifizierungsstellen sprachen sich dagegen aus - nun hat sich auch Sectigo, ehemals Comodo, zum Thema positioniert. "Ein Hauptargument für die Verkürzung der Lebensdauer von SSL-Zertifikaten war die Sicherheit: Durch Herabsetzung der Gültigkeitsdauer können kompromittierte Zertifikate nicht sehr lange für missbräuchliche Zwecke genutzt werden. Die Zertifizierungsstellen hingegen argumentieren gegen eine Verkürzung der Laufzeit. Gründe sind die hohen Kosten sowie der höhere zeitliche Aufwand, der mit dem Verkürzen der Gültigkeitsdauer für die Kunden einhergeht", fasst Patrycja Tulinska, Geschäftsführerin der PSW Group, zusammen und ergänzt: "Der CA Sectigo ist es nun gelungen, einen Kompromiss zu finden. Die Zertifizierungsstelle stellt als erste wieder 5-Jahres-Zertifikate aus, jedoch ohne die Sicherheit herabzusetzen. Kunde können beim Kauf dieses SSL-Zertifikats durch Rabatte sparen, ohne auf Sicherheit verzichten zu müssen."

Speziell erstellte IoT-Chip-Identitäten Wendepunkt im Kampf gegen Cyberbetrug