Das Glashaus der deutschen Automobilindustrie steht im niederrheinischen Wegberg, direkt neben einem alten Militärflughafen der britischen Royal Air Force. An dem Standort mit bester Autobahnanbindung in alle Himmelsrichtungen hat der japanische Glasproduzent AGC sein einziges Werk in Deutschland aufgebaut. Zwischen 6000 und 7000 vorgefertigte Front- und Heckscheiben bestückt er hier täglich mit Temperaturfühlern und Regensensoren. Die fertigen Produkte schickt das Unternehmen dann möglichst schnell in Werke von Volkswagen, Daimler, BMW, Opel und Volvo.
Werksleiter Jan Houben muss alles tun, damit die Produktion nach Plan läuft. Verzögerungen würden in der eng getakteten Endmontage von Autos hohe Ausfallkosten verursachen und Konventionalstrafen nach sich ziehen. Um fast alle Details kümmert sich Houben deshalb persönlich. Die Abwehr von Cyberangriffen aber hat er einem externen Spezialisten anvertraut. „Ich will kein Projekt aufsetzen und eigene Informatiker einstellen“, sagt Houben. „Das überlasse ich lieber jemandem, der seine Kernkompetenzen in diesem Bereich hat.“
Den heiklen Job hat AGC der russischen Sicherheitsfirma Kaspersky Lab und dem Hamburger Fabrik-4.0-Spezialisten Tomorrow Labs anvertraut. Damit diese die Steuerung der vernetzten Produktionsanlagen abschirmen dürfen, hat sich sogar Firmengründer Eugene Kasperski persönlich engagiert. Der Mathematiker hat binnen 20 Jahren das Softwarehaus zum einzigen russischen IT-Unternehmen von Weltrang gemacht. Kaspersky zählt zu den größten Anbietern von Viren- und anderen Schutzprogrammen. Und ist deshalb hoch umstritten.
Die Kernforderungen des Corporate-Trust-Tests
Unternehmen müssen jederzeit in der Lage sein, einfach überprüfen zu können, welche Daten das Unternehmen verlassen haben und welche sensiblen Funktionen (z.B. Anfertigen eines Arbeitsspeicherauszuges eines laufenden Prozesses) aus der Ferne ausgelöst wurden und werden können.
Unternehmen müssen ausreichend und einfach granularen Einfluss darauf nehmen können, welche ihrer Daten übermittelt und wie analysiert werden und welche nicht. Sensible Funktionen müssen granular steuerbar sein (z.B. Ausführung bestimmter Funktionen erst nach Freigabe durch einen internen Mitarbeiter).
Unternehmen brauchen Transparenz und Nachweise darüber, dass die Sicherheit ihrer Daten und Systeme, gemäß gängiger Standards, während der Übertragung und in der Cloud gewährleistet ist.
Unternehmen sollten die Möglichkeit haben, ihre Daten zusätzlich schützen zu lassen. Darüber hinaus müssen sie jederzeit in der Lage sein, ihre möglicherweise sensiblen Daten vollständig löschen zu lassen.
Alle von den Antivirus-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein.
Das liegt vor allem an der Herkunft aus Russland, wegen der das Unternehmen latent immer unter Spionageverdacht steht. Dabei ist die Frage, welche Daten Sicherheitsfirmen aus den IT-Systemen ihrer Kunden fischen und was sie mit denen anstellen, bei allen Anbietern selbst für Spezialisten kaum zu beantworten, zeigt ein exklusiver Test für die WirtschaftsWoche. Transparenz zu dieser existenziell wichtigen Frage fehlt in der Branche fast völlig.
Kaspersky könnte damit nur der Vorbote einer Vertrauenskrise in der gesamten Branche sein. Unternehmen wie Symantec, Trend Micro und Sophos locken ihre Kunden mit dem Versprechen, ein Bollwerk gegen die immer dreisteren Angriffe professioneller Cyberbanden aufbauen zu können. Eine sehr ambitionierte Aufgabe, angesichts mehrerer Millionen Schadprogramme, die jeden Tag über die IT-Systeme herfallen.
So schnitten die getesteten Antivirenprogramme ab
| Kernanforderungen | |
| 1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
| 2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Steuerungsmöglichkeiten sind vorhanden; diese genügen aber nicht vollständig der Anforderung |
| 3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | ○ Lt. Aussage des Herstellers sind die Daten während der Übertragung verschlüsselt. Die Recherche ergab keine aussagekräftige Information zur Sicherheit in der Cloud |
| 4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
| 5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Bezüglich der Möglichkeiten der Prüfbarkeit für Unternehmen konnten keine aussagekräftigen Informationen gefunden werden |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
| Kernanforderungen | |
| 1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
| 2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Grobe Steuerungsmöglichkeiten vorhanden. Auch bei Abschaltung der Cloud-Funktionalität werden noch gewisse Daten übertragen |
| 3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | ● Lt. Aussage des Herstellers sind die Daten während der Übertragung verschlüsselt und werden auch verschlüsselt und anonymisiert gespeichert |
| 4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
| 5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | ○ Der Hersteller sichert die Behandlung der Daten nach den gängigen Sicherheitsstandards zu. Zertifizierungen konnten keine gefunden werden |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
| Kernanforderungen | |
| 1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
| 2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Mehrere Steuerungsmöglichkeiten vorhanden. Die Automatische Übermittlung hat ein einfaches ON/OFF, wobei OFF bedeutet, dass vor dem Upload eines Samples die Zustimmung des Nutzers eingeholt wird. |
| 3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
| 4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
| 5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
| Kernanforderungen | |
| 1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
| 2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Steuerungsmöglichkeiten sind vorhanden. Es ist möglich, das automatische Uploaden der Samples zu unterbinden. |
| 3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
| 4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
| 5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
| Kernanforderungen | |
| 1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
| 2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Steuerungsmöglichkeiten sind vorhanden; diese genügen aber nicht vollständig der Anforderung |
| 3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
| 4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
| 5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
| Kernanforderungen | |
| 1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
| 2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Mehrere Steuerungsmöglichkeiten vorhanden. Die Automatische Übermittlung hat ein einfaches ON/OFF. |
| 3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
| 4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
| 5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
Die höchsten Zuwachsraten melden derzeit Anbieter, die ihre Sicherheitsprodukte mit künstlicher Intelligenz zu einem Frühwarnsystem ausbauen. Dafür installieren sie eine Profiversion ihrer Software im Firmennetz. Mit deren Hilfe gehen sie dann als virtuelle Werkschützer auf Streife, durchsuchen angeklickte Webseiten und eingehende Mails nach Spionage-, Sabotage- und Erpresserprogrammen und schlagen sofort Alarm, wenn sie etwas Verdächtiges finden. Zur Schnellanalyse transferiert die Software auffällige Daten in das im Hintergrund als zentrale Auswertungsinstanz eingesetzte Rechenzentrum, programmiert ein Update und spielt das dann schnell an alle Kunden zurück.
Ob sich die Sicherheitsanbieter dabei aber an die vertraglich vereinbarten Zugriffsmöglichkeiten halten und wirklich nur Kopien infizierter Dateien bei ihren Kunden abziehen, lässt sich kaum kontrollieren. Wenn die Analyse wie bei Kaspersky dann auch noch in einem Rechenzentrum in Moskau stattfindet, fühlen sich einige Kunden nicht mehr sicher.
Im vergangenen Jahr hat die US-Regierung das Unternehmen offiziell der Spionage verdächtigt. Seitdem dürfen US-Behörden viele Kaspersky-Produkte nicht mehr einsetzen. Der harten Linie haben sich inzwischen auch Länder in Europa angeschlossen. In Großbritannien etwa hat die für Internetsicherheit zuständige Behörde NCSC die Ministerien davor gewarnt, Virenschutzsoftware des russischen Anbieters zu verwenden. Auch die niederländische Regierung lässt alle Verträge „vorsorglich auslaufen“. Die Software könne „missbraucht“ werden, da sie auch „Spionage und Sabotage“ ermögliche, heißt in einem Schreiben von Justizminister Ferd Grapperhaus.
Das EU-Parlament geht ebenfalls auf Distanz. Seine Abgeordneten fordern in einer mehrheitlich verabschiedeten Resolution die EU-Kommission auf, alle in ihren Organen eingesetzte Software „umfassend“ zu überprüfen. „Potenziell gefährliche und als böswillig eingestufte Programme“ sollen nicht mehr eingesetzt und verboten werden. Namentlich nennen die Parlamentarier Kaspersky Lab.
Dabei halten alle Sicherheitsanbieter Details über die Arbeitsweise ihrer Produkte zurück. „Ich bin mir sicher, dass es bei jedem nur einen ganz kleinen Kreis von Entwicklern gibt, die genau wissen, wie die eigene Lösung wirklich funktioniert“, sagt der IT-Chef eines großen deutschen Unternehmens. Vertrauensfördernd ist das nicht. Von den modernen Produkten, die ständig Daten zwischen den Kunden und den Rechenzentren austauschen, hält er deshalb auch gar nichts.
Antivirenprogramme bleiben eine Blackbox
Die fehlende Transparenz hält auch Friedrich Wimmer, Leiter der Bereiche IT-Forensik und Cyber Security Research bei der Münchner Unternehmensberatung Corporate Trust, für eine „fundamentale Schwäche“. Für die WirtschaftsWoche hat die auf Risiko- und Krisenmanagement spezialisierte Beratung Produkte von Kaspersky Lab, Symantec (USA), Sophos (Großbritannien), Trend Micro (Japan) und Cylance (USA) ausgiebig untersucht. Zusätzlich wurde Microsoft in den Test aufgenommen. Dessen neues Betriebssystem Windows 10 hat das Sicherheitsprogramm Defender standardmäßig installiert und ist deshalb für viele Unternehmenskunden der erste Schutz vor Cyberangriffen.
Der Test sollte Fragen beantworten, die sich viele Unternehmen vor der Installation eines Schutzprogramms stellen: Besitzen sie die Möglichkeit, klar und einfach nachzuvollziehen, welche und wie viele Daten zur umfassenden Analyse zum IT-Sicherheitsanbieter transferiert werden? Können Unternehmen Einfluss auf den Datentransfer nehmen und die Übertragung sensibler Dateien einfach und im Detail steuern? Können sie kontrollieren, ob sensible Daten anonymisiert oder verschlüsselt aus dem Unternehmen transportiert werden? Und können sie darauf Einfluss nehmen, in welchem Hoheitsgebiet die Daten verarbeitet und ausgewertet werden?
Die Antworten auf diese Fragen sind ernüchternd. So klärt kein einziger Anbieter seine Kunden umfassend darüber auf, welche und wie viele Daten seine Programme aus den Netzen und IT-Systemen abziehen. „Allen Produkten fehlt ein Schaufenster, mit dem Kunden einfach überprüfen können, welche Informationen das Unternehmen verlassen“, kritisiert Berater Wimmer. „Außerdem sollten die Unternehmen selbst darauf Einfluss nehmen können, welche Daten übermittelt und analysiert werden.“
Nachfragen beantworteten vier der sechs Anbieter gar nicht. US-Newcomer Cylance, der Cyberangriffe nach eigenen Aussagen mit besonders viel künstlicher Intelligenz abwehren will, reagierte nicht einmal auf die Anfrage. Microsoft sah sich nicht in der Lage, fundierte Antworten zu geben, weil „unterschiedliche Teams mit diesem Thema beschäftigt sind“. Der Virenschutzspezialist Symantec erklärte, dass die zuständigen Experten zu wenig Zeit hätten.
Mehr Transparenz könnte ein staatlich anerkanntes Gütesiegel schaffen. Doch das dafür zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt mit den Vorbereitungen dazu nur sehr schleppend voran. Jeder Labortest mit Sicherheitsprogrammen und ihren unterschiedlichen Konfigurationen sei unheimlich kompliziert, heißt es bei dem Amt. Und das so gewonnene Testergebnis sei dann bloß eine Momentaufnahme. „Schon beim nächsten Update kann jeder Anbieter sein Produkt so stark verändern, dass gegebenenfalls eine Neubewertung gegen die Anforderungen des Gütesiegels durchgeführt werden muss“, sagt Michael Mehrhoff, der für Informationssicherheitsprodukte zuständige Abteilungsleiter beim BSI.
Besonders misstrauische Unternehmen könnten die unerwünschten Datentransfers zu den Rechenzentren ganz oder zeitweise abschalten. Doch davon rät das BSI ab. So hätten Untersuchungen gezeigt, dass die Erfolgsquote, Schadprogramme zu erkennen, um mehr als 50 Prozent sinkt, wenn der Datentransfer zum Sicherheitsanbieter unterbrochen wird. Wichtiger wäre nach Ansicht von BSI-Experte Mehrhoff eine nachvollziehbare Antwort auf die Frage: „Welcher Anbieter hat den größten Erfolg bei minimalem Datenverkehr?“
Solche Fragen sind den Entwicklern in den IT-Sicherheitsfirmen jedoch völlig fremd. „Da sitzen Programmierer, die neue Angriffstrends genau beobachten, die sie vorher noch nicht gesehen haben“, sagt Mehrhoff. Und deshalb arbeiten sie eigentlich nur an einem Ziel: die Software so zu modifizieren, dass jede neue Variante möglichst schnell entdeckt werden kann. „Der Datenschutz spielt, wenn überhaupt, in diesen Überlegungen nur eine untergeordnete Rolle“, sagt Mehrhoff. „Denn je mehr Daten sie von den Kunden bekommen, desto besser und aktueller arbeitet die Software, die dann auch andere Unternehmen vor Angriffen schützen kann.“
Den Wunsch vieler Kunden nach mehr Transparenz will das BSI trotzdem aufgreifen und eine eigene Initiative starten. Noch in diesem Jahr will die Behörde einen Katalog mit Mindestanforderungen an IT-Sicherheitsprodukte aufstellen und veröffentlichen. Ganz oben auf der Liste für die Sicherheitsanbieter soll dann der Einbau eines Schaufensters für die bisher so undurchsichtige Blackbox stehen. „Die Nutzer müssen alle Daten anschauen können, die durch die Leitung fließen, und das Gesehene auch dokumentieren und aufzeichnen können“, fordert BSI-Abteilungsleiter Mehrhoff. „Denn nur dann können sie auch kontrollieren, welche Anbieter sich an ihre Versprechen halten.“
Einen Kritikpunkt will Russlands Vorzeigeunternehmer Kaspersky schneller aus der Welt schaffen. Noch in diesem Jahr verlegt der Firmengründer einen Teil seiner Moskauer Zentrale in die neutrale Schweiz. Dort soll eine unabhängige Instanz alle Aktivitäten überwachen, damit „vollständige Transparenz und Integrität gewährleistet ist“. Dann, hofft Kaspersky, heben auch die Behörden in den USA und Europa ihr Embargo wieder auf.
