Der Cybersecurity-Spezialist Kaspersky hat seine Tätigkeiten in den USA kürzlich komplett eingestellt. Der Schritt erfolgte, nachdem die US-Regierung per 20. Juli den Verkauf von Softwarelösungen des russischen Unternehmens verboten hatte. Eine ausführliche Untersuchung habe ergeben, dass dies der einzige Weg sei, Bedenken in Bezug auf die nationale Sicherheit auszuräumen, begründete das US-Handelsministerium den Entscheid.

Trotz des Verbots treibt Kaspersky einen Vorschlag voran, seine Daten und Produkte für die Überprüfung durch Dritte zu öffnen, berichtet 'The Register'. Damit wolle das Unternehmen beweisen, dass sein Code nicht durch Russland kompromittiert werde. Es bestritt erneut, eine Gefahr für die nationale Sicherheit der USA darzustellen.

Der Plan, der laut Angaben des Unternehmens auf seiner früheren "Global Transparency Initiative" aufbaut, "kann die meisten Risiken in der ICT-Lieferkette im Zusammenhang mit der Produktentwicklung und -verteilung auf effektive und überprüfbare Weise angehen", erklärte CEO Eugene Kaspersky, in einem Blog-Beitrag, der 'The Register' vorliegt.

Das seien Abhilfemassnahmen, die in einem Diskussionsvorschlag an das US-Handelsministerium eingereicht wurden. "Ein weiterer Beleg für unsere Dialogbereitschaft und unsere Entschlossenheit, das höchste Mass an Sicherheitsgarantien zu bieten", so Kaspersky. "Unser Vorschlag wurde jedoch einfach ignoriert."

Yuliya Shlychkova, Vizepräsidentin für öffentliche Angelegenheiten bei Kaspersky, erläuterte das "umfassende Bewertungsframework" gegenüber dem Tech-Magazin. "Die erste Säule ist die Lokalisierung der Datenverarbeitung in den USA und eine strikte Zugriffsregelung, die sicherstellt, dass niemand von anderen Ländern aus auf diese Daten zugreifen kann, nicht einmal Kaspersky-Mitarbeitende aus anderen Ländern", sagte Shlychkova.

Lokale Daten sollen in einer physischen Umgebung in einer bestimmten Region gespeichert und verarbeitet werden. Eine unabhängige dritte Partei, die von den Regulierungsbehörden im jeweiligen Land ausgewählt wird und diesen Bericht erstattet, werde dann überprüfen, ob diese Massnahmen umgesetzt wurden, so das Unternehmen.

Auch die Prüfung der empfangenen Daten unterliege der Validierung durch diesen behördlich zugelassenen Prüfer. Dies soll sicherstellen, dass die von den Kaspersky-Produkten aufgenommenen Daten keine personenbezogenen oder sonstigen geschützten Daten an das Unternehmen oder Drittparteien übermitteln.

Schliesslich soll die unabhängige Stelle auch die Updates der Bedrohungsdatenbank von Kaspersky sowie die produktbezogene Softwarecode-Entwicklung prüfen. Dadurch werde sichergestellt, dass diese Updates und die gesendeten Daten keinerlei Risiken für die nationale Sicherheit oder anderweitig bergen.

Dieses Rahmenwerk sei aber nicht nur für die USA geplant worden, erklärte Shlychkova. Es könne auch in anderen Ländern zur Anwendung kommen. Die Umsetzung sei aufgrund der unterschiedlichen regulatorischen Rahmenbedingungen in den einzelnen Ländern "ein langer Prozess" und werde erhebliches Engagement und Investitionen erfordern. "Die Einrichtung dieses gesamten Systems bedarf auf jeden Fall der formellen Zustimmung der Regulierungsbehörden – wir stehen erst am Anfang dieses Prozesses."

Kaspersky plädiere weiterhin "für einen technischen, evidenzbasierten Ansatz zur Bewertung der Vertrauenswürdigkeit von Security-Produkten", betonte Shlychkova. "Wir haben diese Prinzipien, diesen Rahmen mit verschiedenen Regulierungsbehörden geteilt." So auch mit dem US-Handelsministerium. Dieses wollte die Fragen dazu von 'The Register' nicht beantworten.