Christian Milde: Wir sind der Meinung, dass diese Entscheidung nicht auf einer technischen Bewertung der Kaspersky-Produkte beruht – für die wir uns beim BSI und in ganz Europa immer wieder eingesetzt haben –, sondern dass sie aus geopolitischen Gründen getroffen wurde. Wir werden unsere Partner und Kunden weiterhin von der Qualität und Integrität unserer Produkte überzeugen und mit dem BSI zusammenarbeiten, um die Entscheidung zu klären und die Bedenken des BSI auszuräumen. Wir sind überzeugt davon, dass Transparenz sowie die kontinuierliche Umsetzung konkreter Maßnahmen, mit denen wir unser dauerhaftes Engagement für Integrität und Vertrauenswürdigkeit gegenüber unseren Kunden belegen, von größter Bedeutung sind.

Kaspersky ist ein privat geführtes globales Cybersicherheitsunternehmen, und als solches hat Kaspersky keine Verbindungen zur russischen oder einer anderen Regierung. Die Sicherheit und der Schutz der Privatsphäre unserer Nutzer haben für uns höchste Priorität. Die Sicherheit und Integrität unserer Datendienste und technischen sowie organisatorischen Verfahren wurde durch unabhängige Bewertungen zweier externer Prüforganisationen bestätigt. Wir haben das SOC-2-Audit (Service Organization Control for Service Organizations) Typ 1 durch einen Big-Four-Auditor erfolgreich absolviert, das die Sicherheit des Kaspersky-Prozesses zur Entwicklung und Freigabe von AV-Updates gegen das Risiko unbefugter Änderungen bestätigte. Darüber hinaus wurden unsere Datendienste vom TÜV AUSTRIA nach ISO/IEC 27001:2013 kürzlich re-zertifiziert. Zudem unterliegt Kaspersky nicht dem russischen System operativer Ermittlungsmaßnahmen oder ähnlichen Gesetzen und ist deswegen nicht zur Auskunftserteilung verpflichtet. Dies wurde durch eine unabhängige rechtliche Bewertung der russischen Gesetzgebung zur Datenverarbeitung bestätigt. Unsere Datenverarbeitungsinfrastruktur und die Verarbeitung bedrohungsbezogener Daten, die von Anwendern aus Europa, den Vereinigten Staaten und Kanada sowie vielen asiatischpazifischen Ländern freiwillig und unter deren Zustimmung mit uns geteilt werden, erfolgt in zwei Rechenzentren am Standort Zürich in der Schweiz.

Für uns stand und steht an erster Stelle, mit unseren Partnern und Kunden direkt ins Gespräch zu gehen, alle Fragen zu beantworten und sie weiterhin von der Qualität und Integrität unserer Produkte zu überzeugen. Viele unserer Partner stärken uns den Rücken und bleiben uns treu. Auch externe Dritte aus unterschiedlichen Bereichen, sei es der Cybersicherheit oder der Rechtswissenschaften, haben sich wertschätzend gegenüber Kaspersky geäußert und öffentlich Zweifel bezüglich der Warnung formuliert. Nicht zuletzt hat von den 27 Cybersicherheitsbehörden in den EU-Mitgliedsstaaten keine eine vergleichbare Warnung herausgegeben.

Wir verstehen uns als internationales Unternehmen mit russischen Wurzeln. Und wir sind uns bewusst, dass Vertrauen nicht einfach gegeben ist, sondern immer wieder neu gewonnen werden muss. Deshalb haben wir schon vor Jahren im Rahmen unserer Globalen Transparenzinitiative – an der wir übrigens ständig weiterarbeiten – diverse Maßnahmen ergriffen. Erstens: die Datenspeicherung und Verarbeitung in der Schweiz. Zweitens: die Einrichtung sogenannter Transparenzzentren – beispielsweise in Zürich und Madrid – für die Überprüfung aller Versionen unserer Builds und der AV-Datenbank, der Softwareentwicklung sowie des Datenmanagements. Darüber hinaus gewähren wir Zugang zu unserem Quellcode, um sicherzustellen, dass dieser mit öffentlich verfügbaren Modulen übereinstimmt. Drittens: die Audits und Zertifizierungen durch Dritte. Und viertens: unser Vulnerability-Management, über das wir im Rahmen eines Bug-Bounty-Programms die Prämien für externe Forscher, die in unseren Produkten kritische Schwachstellen finden, auf bis zu 100.000 US-Dollar erhöht haben. Seitdem haben wir 53 Prämien vergeben, obwohl noch nie eine kritische Sicherheitslücke gemeldet wurde.

Nein, das betrifft uns zum Glück nicht.

Das Identity- und Access-Management, kurz IAM, bezieht sich auf die Zugangsprivilegien, die den Benutzerkonten angeboten werden. Die Verwaltung der Authentifizierung und Autorisierung von Benutzerkonten betrifft auch diesen Bereich. Zugriffskontrollen sind von zentraler Bedeutung, um Nutzer – sowohl legitime als auch böswillige – daran zu hindern, in sensible Daten und Systeme einzudringen und diese zu kompromittieren. Passwortverwaltung, Multifaktor-Authentifizierung und andere Methoden fallen in den Geltungsbereich von IAM. Cyberkriminelle setzen zunehmend auf Social Engineering beziehungsweise Spear-Phishing, um geschickt an die Zugangsdaten der Mitarbeiter zu kommen. Des Weiteren sehen wir immer mehr Business-E-Mail-Compromise-Angriffe, bei denen zunächst ein Korrespondenzaustausch mit einem Angestellten des Unternehmens per E-Mail hergestellt oder eine bestehende Firmen-E-Mail übernommen wird, um Vertrauen aufzubauen.

Für kleine und mittlere Unternehmen bietet es sich an, externe IT-Sicherheits -expertise im Rahmen eines Managed-Detection-and-Response-Service in Anspruch zu nehmen, um aktuellen und zukünftigen IT-Sicherheitsherausforde -rungen zu begegnen. Dedizierte Services können bei der Abwehr von Bedrohungen helfen. Die Basis sollte aber eine leistungsstarke Sicherheitslösung sein, die Angriffe bereits im Frühstadium abwehren kann. Da der Mensch einen der größten Risikofaktoren bei Cyberangriffen darstellt, ist es zudem besonders wichtig zu gewährleisten, dass die gesamte Belegschaft durch regelmäßige Schulungen ein tieferes Verständnis für eine bewusste Cybersecurity-Hygiene entwickelt und für digitale Gefahren sensibilisiert wird, da viele zielgerichtete Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen.

Mit der Digitalisierung stieg auch die Vernetzung in Industrieanlagen und diese geraten deshalb jetzt verstärkt in das Blickfeld von Hackern. Die meisten Anlagen wurden bereits vor langer Zeit installiert, als Cybersicherheit noch kein großes Thema war. Vor dem Einsatz von vernetzten Geräten sollte zunächst deren Sicherheit evaluiert werden. Eine geeignete und rasche Vorfallreaktion setzt zudem voraus, dass Verfahren eingeführt werden, die Transparenz hinsichtlich wesentlicher Sicherheitslücken in Software und Anwendungen sowie zu verfügbaren Updates bieten. Durch den Einsatz geeigneter Cybersicherheitslösungen, die den Netzverkehr analysieren, können mögliche Angriffe auf allen Geräten – also auch IoT – erkannt und verhindert werden.

Für die komplette Unternehmenssicherheit ist es ausschlaggebend, zuerst alle Geräte, die mit dem Netzwerk verbunden sind, zu identifizieren, richtig zu klassifizieren und im Idealfall auch die damit verbundenen Risiken zu analysieren. Der nächste Schritt besteht darin, mithilfe dieser Daten das Netzwerk zu segmentieren. Gibt es Geräte, die unabdingbar sind, aber Schwachstellen haben, die nicht mit Aktualisierungen behoben werden können, ist das Netzwerk so zu konfigurieren, dass die anfälligen Geräte keinen Zugang zum Internet haben und diesen Geräten auch keine Zugangsrechte zu anderen Netzwerksegmenten gegeben wird. Besonders empfehlenswert ist es, bei der Segmentierung das Zero-Trust-Sicherheitskonzept anzuwenden.

Eine Kaspersky-Studie im vergangenen Jahr ergab, dass jeder dritte Entscheider im Gesundheitswesen die eigenen Mitarbeiter als größtes Sicherheitsrisiko betrachtet. Von besonderer Bedeutung für die Cybersicherheit ist daher deren Schulung, da menschliches Versagen aufgrund mangelnder Kenntnisse und fehlenden Bewusstseins eine der Hauptursachen für Cybervorfälle sind. Zudem mangelt es vielen Einrichtungen am nötigen Instrumentarium und Know-how, um effektiv präventive Cybersicherheitsaktivitäten zu ergreifen und damit Gefahren schon im Vorfeld zu erkennen. Deshalb gilt es, geeignete Maßnahmen umzusetzen, um den Sicherheitsstatus der eigenen Organisation so hoch wie möglich zu halten. Im ersten Schritt sollte ein Business-Continuity-Plan, beziehungsweise ein Disaster-Recovery-Plan für den Ernstfall, konzipiert werden. Der Einsatz von speziellen Sicherheitstools oder -services zum Schutz der internen IT-Infrastruktur bietet im zweiten Schritt Sicherheit vor Cyberangriffen. Eine Segmentierung des Netzwerks – also kritische Systeme wie etwa Röntgengeräte oder Computertomographen von der Büro-IT-In -frastruktur zu trennen – minimiert das Risiko des Verlusts sensibler Patientendaten zusätzlich.

Um das Sicherheitsniveau generell, aber auch in solchen Umgebungen zu steigern, bieten sich zusätzlich zu den genannten Maßnahmen die Unterstützung durch externe Sicherheitsexperten, eine Threat Intelligence sowie ein externes Security Operations Center an.