Die fehlende Transparenz hält auch Friedrich Wimmer, Leiter der Bereiche IT-Forensik und Cyber Security Research bei der Münchner Unternehmensberatung Corporate Trust, für eine „fundamentale Schwäche“. Für die WirtschaftsWoche hat die auf Risiko- und Krisenmanagement spezialisierte Beratung Produkte von Kaspersky Lab, Symantec (USA), Sophos (Großbritannien), Trend Micro (Japan) und Cylance (USA) ausgiebig untersucht. Zusätzlich wurde Microsoft in den Test aufgenommen. Dessen neues Betriebssystem Windows 10 hat das Sicherheitsprogramm Defender standardmäßig installiert und ist deshalb für viele Unternehmenskunden der erste Schutz vor Cyberangriffen.
Der Test sollte Fragen beantworten, die sich viele Unternehmen vor der Installation eines Schutzprogramms stellen: Besitzen sie die Möglichkeit, klar und einfach nachzuvollziehen, welche und wie viele Daten zur umfassenden Analyse zum IT-Sicherheitsanbieter transferiert werden? Können Unternehmen Einfluss auf den Datentransfer nehmen und die Übertragung sensibler Dateien einfach und im Detail steuern? Können sie kontrollieren, ob sensible Daten anonymisiert oder verschlüsselt aus dem Unternehmen transportiert werden? Und können sie darauf Einfluss nehmen, in welchem Hoheitsgebiet die Daten verarbeitet und ausgewertet werden?
Die Antworten auf diese Fragen sind ernüchternd. So klärt kein einziger Anbieter seine Kunden umfassend darüber auf, welche und wie viele Daten seine Programme aus den Netzen und IT-Systemen abziehen. „Allen Produkten fehlt ein Schaufenster, mit dem Kunden einfach überprüfen können, welche Informationen das Unternehmen verlassen“, kritisiert Berater Wimmer. „Außerdem sollten die Unternehmen selbst darauf Einfluss nehmen können, welche Daten übermittelt und analysiert werden.“
Nachfragen beantworteten vier der sechs Anbieter gar nicht. US-Newcomer Cylance, der Cyberangriffe nach eigenen Aussagen mit besonders viel künstlicher Intelligenz abwehren will, reagierte nicht einmal auf die Anfrage. Microsoft sah sich nicht in der Lage, fundierte Antworten zu geben, weil „unterschiedliche Teams mit diesem Thema beschäftigt sind“. Der Virenschutzspezialist Symantec erklärte, dass die zuständigen Experten zu wenig Zeit hätten.
Mehr Transparenz könnte ein staatlich anerkanntes Gütesiegel schaffen. Doch das dafür zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt mit den Vorbereitungen dazu nur sehr schleppend voran. Jeder Labortest mit Sicherheitsprogrammen und ihren unterschiedlichen Konfigurationen sei unheimlich kompliziert, heißt es bei dem Amt. Und das so gewonnene Testergebnis sei dann bloß eine Momentaufnahme. „Schon beim nächsten Update kann jeder Anbieter sein Produkt so stark verändern, dass gegebenenfalls eine Neubewertung gegen die Anforderungen des Gütesiegels durchgeführt werden muss“, sagt Michael Mehrhoff, der für Informationssicherheitsprodukte zuständige Abteilungsleiter beim BSI.
Besonders misstrauische Unternehmen könnten die unerwünschten Datentransfers zu den Rechenzentren ganz oder zeitweise abschalten. Doch davon rät das BSI ab. So hätten Untersuchungen gezeigt, dass die Erfolgsquote, Schadprogramme zu erkennen, um mehr als 50 Prozent sinkt, wenn der Datentransfer zum Sicherheitsanbieter unterbrochen wird. Wichtiger wäre nach Ansicht von BSI-Experte Mehrhoff eine nachvollziehbare Antwort auf die Frage: „Welcher Anbieter hat den größten Erfolg bei minimalem Datenverkehr?“
Solche Fragen sind den Entwicklern in den IT-Sicherheitsfirmen jedoch völlig fremd. „Da sitzen Programmierer, die neue Angriffstrends genau beobachten, die sie vorher noch nicht gesehen haben“, sagt Mehrhoff. Und deshalb arbeiten sie eigentlich nur an einem Ziel: die Software so zu modifizieren, dass jede neue Variante möglichst schnell entdeckt werden kann. „Der Datenschutz spielt, wenn überhaupt, in diesen Überlegungen nur eine untergeordnete Rolle“, sagt Mehrhoff. „Denn je mehr Daten sie von den Kunden bekommen, desto besser und aktueller arbeitet die Software, die dann auch andere Unternehmen vor Angriffen schützen kann.“
Den Wunsch vieler Kunden nach mehr Transparenz will das BSI trotzdem aufgreifen und eine eigene Initiative starten. Noch in diesem Jahr will die Behörde einen Katalog mit Mindestanforderungen an IT-Sicherheitsprodukte aufstellen und veröffentlichen. Ganz oben auf der Liste für die Sicherheitsanbieter soll dann der Einbau eines Schaufensters für die bisher so undurchsichtige Blackbox stehen. „Die Nutzer müssen alle Daten anschauen können, die durch die Leitung fließen, und das Gesehene auch dokumentieren und aufzeichnen können“, fordert BSI-Abteilungsleiter Mehrhoff. „Denn nur dann können sie auch kontrollieren, welche Anbieter sich an ihre Versprechen halten.“
Einen Kritikpunkt will Russlands Vorzeigeunternehmer Kaspersky schneller aus der Welt schaffen. Noch in diesem Jahr verlegt der Firmengründer einen Teil seiner Moskauer Zentrale in die neutrale Schweiz. Dort soll eine unabhängige Instanz alle Aktivitäten überwachen, damit „vollständige Transparenz und Integrität gewährleistet ist“. Dann, hofft Kaspersky, heben auch die Behörden in den USA und Europa ihr Embargo wieder auf.
