- Anzeigen -


Implementierung von Sicherheitskontrollen


Kaspersky besteht erfolgreich unabhängiges SOC 2-Audit
Kostenloser Dienst für Strafverfolgungsbehörden und Unterstützung des Disclose.io-Framework

- Anzeigen -





Kaspersky hat das Audit "Service Organization Control for Service Organizations (SOC 2) Type 1" erfolgreich absolviert. Der Abschlussbericht einer der vier großen globalen Wirtschaftsprüfungsgesellschaften bestätigt, dass sowohl die Entwicklung als auch die transparente Offenlegung der Kaspersky-Datenbanken (AV-Datenbanken) durch starke Security-Kontrollen geschützt sind. Dies gilt insbesondere für die Sicherung vor unbefugter Einflussnahme und extern vorgenommenen systemischen Änderungen. Darüber hinaus kündigt Kaspersky neue Entwicklungen im Rahmen ihrer Globalen Transparenzinitiative an.

Das Service Organization Controls (SOC)-Reporting-Framework ist ein weltweit anerkannter Cybersicherheitsrisikomanagement-Kontrollbericht, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Er dient dazu, Kunden über das effektive Design und die ordnungsgemäße Implementierung von Sicherheitskontrollen zu informieren. Als verantwortungsbewusstes und transparentes Unternehmen hat Kaspersky diesen Standard gewählt, um Kunden, Entscheidern und Meinungsbildnern die Vertrauenswürdigkeit ihrer Produkte und des eigenen Engagements für die AICPA-Grundsätze und -Prinzipien – Sicherheit, Verfügbarkeit, Prozessintegrität, Vertraulichkeit und Datenschutz – zu demonstrieren.

Die Prüfung nach der Norm SSAE 18 (Statement of Standards for Attestation Engagements) umfasst interne Kontrollen über regelmäßige automatische Aktualisierungen von Antiviren-Datenbanken, die von Kaspersky für ihre Produkte auf Windows- und Unix-Servern erstellt und vertrieben werden. In seinem Abschlussbericht stellte der unabhängige Auditor der Big Four fest, dass die oben genannten Kontrollen zu einem spezifischen Zeitpunkt ordnungsgemäß durchgeführt werden konnten.

"Die Sicherheit unserer Produkte ist fraglos eine unserer höchsten Prioritäten. Wir sind deshalb sehr stolz darauf, dieses unabhängige Audit erfolgreich abgeschlossen zu haben. Die positive Bewertung bestätigt unseren Kunden einmal mehr die Sicherheit unserer Produkte und das entgegengebrachte Vertrauen in unsere F&E-Prozesse und -Kontrollen. Dieses Überprüfungsszenario ist ein weiterer Schritt im Rahmen unserer kontinuierlichen Bemühungen, die Transparenz unseres Unternehmens noch stärker zu untermauern", betont Andrey Efremov, Chief Technology Officer bei Kaspersky.

Gemäß den Vertragsbedingungen darf Kaspersky den Namen des externen Auditors nicht preisgeben. Obwohl das Unternehmen die wesentlichen Informationen über seine oben genannten Verpflichtungen und Anforderungen im Bericht SOC 2 Typ 1 auf Anfrage offenlegen kann.

Das Audit wurde im Rahmen der – von Kaspersky 2017 angekündigten – Globalen Transparenzinitiative durchgeführt. Diese soll Partner und Kunden des Unternehmens zum einen die herausragende Qualität der Produkte und Dienstleistungen Kasperskys zum Schutz vor Cyberbedrohungen belegen und zum anderen vor Augen führen, mit welchem hohen Maße an Sorgfalt und Respekt die Kundendaten behandelt werden. Unter anderem verpflichtete sich das Unternehmen, die Datenspeicherung und -verarbeitung für Kunden in die Schweiz zu verlagern. Bis heute hat das Unternehmen die zweite Phase seines Umzugs für europäische Nutzer durchgeführt und plant, diesen Prozess bis Ende 2019 ganz abzuschließen.

Neben der räumlichen Verlagerung aller Datenbestände strebt Kaspersky bis 2020 die Errichtung von mindestens drei Transparenzzentren an. Das Unternehmen unterstützt darüber hinaus kontinuierlich sein Bug-Bounty-Programm, das sowohl angehende IT-Experten als auch erfahrene Profis animieren soll, nach Schwachstellen in Kaspersky-Produkten Ausschau zu halten, und arbeitet an mehreren weiteren Projekten, um die Transparenz und Vertrauenswürdigkeit des Unternehmens zu erhöhen.

Weiterentwicklungen der Globalen Transparenzinitiative
Bug-Bounty-Programm
: Kaspersky hat kontinuierlich an der Entwicklung ihrs Bug-Bounty-Programms gearbeitet. Vor kurzem zahlte das Unternehmen 23.000 US-Dollar – die bisher größte Belohnung in der Geschichte des Programms – an Forscher des Imaginary-Teams für die Entdeckung eines Sicherheitsproblems, das es Dritten potentiell ermöglicht hätte, beliebigen Code auf dem PC eines Benutzers mit Systemprivilegien aus der Ferne auszuführen. Der Fehler wurde umgehend behoben. Kaspersky dankt dem Imaginary-Team für den Bericht und ihre Unterstützung bei der Verbesserung ihrer Produkte.

Safe Harbor für Schwachstellenforscher: Das Unternehmen unterstützt nun das Disclose.io-Framework, das einen "sicheren Hafen"/Safe Harbor für Schwachstellenforscher bietet, die die sich Sorgen um die negativen rechtlichen Folgen ihrer Entdeckungen machen. Kaspersky versteht, dass externe Experten wertvolle Unterstützung bei der Identifizierung und Meldung von Schwachstellen leisten. Deshalb ist das Unternehmen bereit, zusätzliche Garantien für eine faire Behandlung von Schwachstellenberichten zu bieten.

Transparenzzentren: Das Transparenzzentrum in Madrid ist seit Juni offiziell für Kunden und Partner von Kaspersky sowie für Regierungsvertreter zugänglich. Wie im Transparenzzentrum am Standort Zürich bietet der Cybersicherheitsanbieter Quellcode-Reviews und maßgeschneiderte Sicherheitsunterweisungen über die Datenverarbeitungspraktiken des Unternehmens und die Funktionsweise seiner Produkte an.

Threat-Intelligence-Support für Strafverfolgungsbehörden: Kaspersky kündigt einen erweiterten kostenlosen Dienst für Strafverfolgungsbehörden (Law Enforcement Agencies, LEAs) an. Ein einzigartiger und maßgeschneiderter – aus drei Komponenten bestehender – Ansatz, der entwickelt wurde, um deren Bemühungen bei der Bekämpfung der grenzenlosen Cyberkriminalität maximal zu unterstützen:
• >> Threat Intelligence Reporting
• >> Threat Data
• >> Automatisierte Security-Awareness-Plattform (Kaspersky ASAP).

Durch die Bereitstellung des kostenlosen Angebots für Strafverfolgungsbehörden will das Unternehmen das Bewusstsein dafür schärfen, wie Kaspersky-Dienste funktionieren und wie sie zur Bekämpfung von Cyberkriminalität und komplexen Cyberbedrohungen beitragen können.
(Kaspersky Lab: ra)

eingetragen: 06.08.19
Newsletterlauf: 06.09.19

Kaspersky Lab: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Unternehmen

  • Industrielles Netzwerk-Monitoring

    Rhebo, Anbieterin für Industrial Security und Industrial Continuity, hat 2018 mit einem Wachstumsrekord und einer Umsatzsteigerung von 300 Prozent abgeschlossen. Der Marktanteil in der DACH-Region steigerte sich im selben Zeitraum auf 30 Prozent. Diese Entwicklung wird in 2019 bestätigt. Bis Juli dieses Jahres konnte Rhebo ihren Umsatz im Vergleich zum Vorjahr bereits verdoppeln. Rhebo sieht darin ihre Strategie bestätigt, die Cybersicherheit vernetzter Industrieanlagen um den Aspekt der Anlagenverfügbarkeit und Operational Continuity zu erweitern. Hierfür hatte das deutsche Unternehmen seine Lösung für industrielles Netzwerk-Monitoring mit Anomalieerkennung "Rhebo Industrial Protector" bewusst um Funktionen erweitert, die über Cybersecurity hinausgehen. Die Lösung von Rhebo erkennt somit nicht nur versteckte Angriffe durch Cyberkriminelle oder Aktivitäten von Schadsoftware in der Automatisierungstechnik von Industrieunternehmen und der Netzleittechnik von Energie- und Wasserversorgungsunternehmen. Auch technische Fehlerzustände, welche die Netzwerkqualität und damit die Verfügbarkeit und Prozessstabilität beeinträchtigen können, werden lückenlos gemeldet.

  • Angebote für Behörden und Schulen

    Die Digitalisierung ist eine der größten Chancen und zugleich Herausforderungen der aktuellen Zeit. Sie betrifft alle Bereiche, prägt und verändert in immer stärkerem Ausmaß das Leben und Arbeiten der Menschen. Das gilt auch für zwei Bereiche, in denen Kommunikation elementar wichtig ist: Behörden und Bildung. Hierfür hat Cryptshare ab sofort zwei Lösungen im Portfolio. Dank "Cryptshare für Behörden" können Behörden zentrale Anforderungen der Europäischen Datenschutz-Grundverordnung sowie interne Datenschutz-Richtlinien umsetzen. Und mit "Cryptshare for Schools" bietet das Unternehmenab sofort kostenlose Software-Lizenzen für alle deutschen Schulen in öffentlicher Trägerschaft an. Er fördert damit die datenschutzgerechte Kommunikation in Behörden, der Schulverwaltung, bei Lehrkräften, Eltern und Schülern.

  • Bot-Erkennungs- und Abwehrfunktionen

    Barracuda hat das indische Startup InfiSecure Technologies erworben. Damit stattet die Sicherheitsspezialistin ihren erst kürzlich vorgestellten "Service Advanced Bot Protection" für die Barracuda WAFaaS-Plattformen sowie die Web Application Firewall mit erweiterten Funktionen aus. InfiSecure Technologies hat sich auf die Erkennung und Minimierung fortschrittlicher Bots mit niedriger Latenzzeit spezialisiert. Laut Gartner sind "DDoS-Angriffe, betrügerische Käufe, Web Scraping sowie Schwachstellen-Scans und -Angriffe die Hauptarten von Bot-Angriffen". Solch schadhafte Bots entwickeln sich ständig weiter, so dass sie menschliches Verhalten immer genauer nachahmen können. Abwehrstrategien zur Bot-Erkennung und -Minderung werden daher immer wichtiger.

  • Cyber-Risiken ganzheitlich verwalten

    Tenable erweitert ihr "Cyber Exposure"-Ökosystem um neue Technologieintegrationen. Diese umfassen Lösungen führender Anbieter öffentlicher Cloud-Infrastrukturen sowie SIEM- und IT-Service-Management. Gemeinsam ermöglichen sie Kunden Cyber-Risiken ganzheitlich zu verwalten, zu messen und zu reduzieren. Grundlage dafür ist der tiefere Einblick in die gesamte moderne Angriffsoberfläche sowie die integrierten Sicherheits- und IT-Workflows, um Probleme schnell zu erkennen und zu lösen.

  • Erweiterung des Zero-Trust-Netzwerkzugriff

    Pulse Secure gab bekannt, dass aufgrund der wachsenden Nachfrage nach Hybrid-IT-Modellen und Zugriff mit kompromissloser Sicherheit im ersten Halbjahr 2019 ein zweistelliges Wachstum beim Handelsvolumen erzielt werden konnte. Außerdem gab das Unternehmen erhebliche Errungenschaften in punkto Produktinnovation, Kommunikationsprogramme, Kundenservice und Gewinnung qualifizierter Mitarbeiter bekannt. "Unser Umsatzwachstum zeigt deutlich, dass wir die robusteste und flexibelste Plattform für sicheren Zugriff bieten. Unsere Position ist ideal, um Kapital aus dem Wachstum des Marktes zu schlagen und die Nachfrage nach unseren Lösungen für den Rest des Jahres und bis 2020 hinein weiter anzukurbeln", so Sudhakar Ramakrishna, CEO von Pulse Secure, zu einer vor Kurzem durchgeführten Umfrage von IDG, bei der herauskam, dass 91 Prozent der Unternehmen vorhaben, ihre Ausgaben für die Zugriffssicherung in den nächsten 18 Monaten zu steigern.