USA lehnten unabhängige Prüfung des Codes von Kaspersky ab

26. Juli 2024 um 07:00
  • security
  • Regulierung
  • USA
  • Kaspersky
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

Das Unternehmen schlug eine Überprüfung seiner Security-Produkte vor. Diese hätten nie die nationale Sicherheit bedroht.

Der Cybersecurity-Spezialist Kaspersky hat seine Tätigkeiten in den USA kürzlich komplett eingestellt. Der Schritt erfolgte, nachdem die US-Regierung per 20. Juli den Verkauf von Softwarelösungen des russischen Unternehmens verboten hatte. Eine ausführliche Untersuchung habe ergeben, dass dies der einzige Weg sei, Bedenken in Bezug auf die nationale Sicherheit auszuräumen, begründete das US-Handelsministerium den Entscheid.
Trotz des Verbots treibt Kaspersky einen Vorschlag voran, seine Daten und Produkte für die Überprüfung durch Dritte zu öffnen, berichtet 'The Register'. Damit wolle das Unternehmen beweisen, dass sein Code nicht durch Russland kompromittiert werde. Es bestritt erneut, eine Gefahr für die nationale Sicherheit der USA darzustellen.

"Ein Beleg für unsere Dialogbereitschaft"

Der Plan, der laut Angaben des Unternehmens auf seiner früheren "Global Transparency Initiative" aufbaut, "kann die meisten Risiken in der ICT-Lieferkette im Zusammenhang mit der Produktentwicklung und -verteilung auf effektive und überprüfbare Weise angehen", erklärte CEO Eugene Kaspersky, in einem Blog-Beitrag, der 'The Register' vorliegt.
image
Eugene Kaspersky.
Das seien Abhilfemassnahmen, die in einem Diskussionsvorschlag an das US-Handelsministerium eingereicht wurden. "Ein weiterer Beleg für unsere Dialogbereitschaft und unsere Entschlossenheit, das höchste Mass an Sicherheitsgarantien zu bieten", so Kaspersky. "Unser Vorschlag wurde jedoch einfach ignoriert."

Strikte Zugriffsregelung für Daten

Yuliya Shlychkova, Vizepräsidentin für öffentliche Angelegenheiten bei Kaspersky, erläuterte das "umfassende Bewertungsframework" gegenüber dem Tech-Magazin. "Die erste Säule ist die Lokalisierung der Datenverarbeitung in den USA und eine strikte Zugriffsregelung, die sicherstellt, dass niemand von anderen Ländern aus auf diese Daten zugreifen kann, nicht einmal Kaspersky-Mitarbeitende aus anderen Ländern", sagte Shlychkova.
Lokale Daten sollen in einer physischen Umgebung in einer bestimmten Region gespeichert und verarbeitet werden. Eine unabhängige dritte Partei, die von den Regulierungsbehörden im jeweiligen Land ausgewählt wird und diesen Bericht erstattet, werde dann überprüfen, ob diese Massnahmen umgesetzt wurden, so das Unternehmen.

Unabhängige Prüfung von Datenbank und Code

Auch die Prüfung der empfangenen Daten unterliege der Validierung durch diesen behördlich zugelassenen Prüfer. Dies soll sicherstellen, dass die von den Kaspersky-Produkten aufgenommenen Daten keine personenbezogenen oder sonstigen geschützten Daten an das Unternehmen oder Drittparteien übermitteln.
Schliesslich soll die unabhängige Stelle auch die Updates der Bedrohungsdatenbank von Kaspersky sowie die produktbezogene Softwarecode-Entwicklung prüfen. Dadurch werde sichergestellt, dass diese Updates und die gesendeten Daten keinerlei Risiken für die nationale Sicherheit oder anderweitig bergen.

Ein Rahmenwerk auch für andere Länder

image
Yuliya Shlychkova.
Dieses Rahmenwerk sei aber nicht nur für die USA geplant worden, erklärte Shlychkova. Es könne auch in anderen Ländern zur Anwendung kommen. Die Umsetzung sei aufgrund der unterschiedlichen regulatorischen Rahmenbedingungen in den einzelnen Ländern "ein langer Prozess" und werde erhebliches Engagement und Investitionen erfordern. "Die Einrichtung dieses gesamten Systems bedarf auf jeden Fall der formellen Zustimmung der Regulierungsbehörden – wir stehen erst am Anfang dieses Prozesses."
Kaspersky plädiere weiterhin "für einen technischen, evidenzbasierten Ansatz zur Bewertung der Vertrauenswürdigkeit von Security-Produkten", betonte Shlychkova. "Wir haben diese Prinzipien, diesen Rahmen mit verschiedenen Regulierungsbehörden geteilt." So auch mit dem US-Handelsministerium. Dieses wollte die Fragen dazu von 'The Register' nicht beantworten.

Loading

Mehr erfahren

Mehr zum Thema

image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Iraner wollten US-Wahlkampf mithilfe von ChatGPT beeinflussen

OpenAI hat ChatGPT-Accounts von iranischen Nutzern identifiziert und gesperrt. Diese hatten Inhalte erstellt, um Wählerinnen und Wähler in den USA mit Fake News zu beeinflussen.

publiziert am 19.8.2024