Das Glashaus der deutschen Automobilindustrie steht im niederrheinischen Wegberg, direkt neben einem alten Militärflughafen der britischen Royal Air Force. An dem Standort mit bester Autobahnanbindung in alle Himmelsrichtungen hat der japanische Glasproduzent AGC sein einziges Werk in Deutschland aufgebaut. Zwischen 6000 und 7000 vorgefertigte Front- und Heckscheiben bestückt er hier täglich mit Temperaturfühlern und Regensensoren. Die fertigen Produkte schickt das Unternehmen dann möglichst schnell in Werke von Volkswagen, Daimler, BMW, Opel und Volvo.
Werksleiter Jan Houben muss alles tun, damit die Produktion nach Plan läuft. Verzögerungen würden in der eng getakteten Endmontage von Autos hohe Ausfallkosten verursachen und Konventionalstrafen nach sich ziehen. Um fast alle Details kümmert sich Houben deshalb persönlich. Die Abwehr von Cyberangriffen aber hat er einem externen Spezialisten anvertraut. „Ich will kein Projekt aufsetzen und eigene Informatiker einstellen“, sagt Houben. „Das überlasse ich lieber jemandem, der seine Kernkompetenzen in diesem Bereich hat.“
Den heiklen Job hat AGC der russischen Sicherheitsfirma Kaspersky Lab und dem Hamburger Fabrik-4.0-Spezialisten Tomorrow Labs anvertraut. Damit diese die Steuerung der vernetzten Produktionsanlagen abschirmen dürfen, hat sich sogar Firmengründer Eugene Kasperski persönlich engagiert. Der Mathematiker hat binnen 20 Jahren das Softwarehaus zum einzigen russischen IT-Unternehmen von Weltrang gemacht. Kaspersky zählt zu den größten Anbietern von Viren- und anderen Schutzprogrammen. Und ist deshalb hoch umstritten.
Die Kernforderungen des Corporate-Trust-Tests
Unternehmen müssen jederzeit in der Lage sein, einfach überprüfen zu können, welche Daten das Unternehmen verlassen haben und welche sensiblen Funktionen (z.B. Anfertigen eines Arbeitsspeicherauszuges eines laufenden Prozesses) aus der Ferne ausgelöst wurden und werden können.
Unternehmen müssen ausreichend und einfach granularen Einfluss darauf nehmen können, welche ihrer Daten übermittelt und wie analysiert werden und welche nicht. Sensible Funktionen müssen granular steuerbar sein (z.B. Ausführung bestimmter Funktionen erst nach Freigabe durch einen internen Mitarbeiter).
Unternehmen brauchen Transparenz und Nachweise darüber, dass die Sicherheit ihrer Daten und Systeme, gemäß gängiger Standards, während der Übertragung und in der Cloud gewährleistet ist.
Unternehmen sollten die Möglichkeit haben, ihre Daten zusätzlich schützen zu lassen. Darüber hinaus müssen sie jederzeit in der Lage sein, ihre möglicherweise sensiblen Daten vollständig löschen zu lassen.
Alle von den Antivirus-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein.
Das liegt vor allem an der Herkunft aus Russland, wegen der das Unternehmen latent immer unter Spionageverdacht steht. Dabei ist die Frage, welche Daten Sicherheitsfirmen aus den IT-Systemen ihrer Kunden fischen und was sie mit denen anstellen, bei allen Anbietern selbst für Spezialisten kaum zu beantworten, zeigt ein exklusiver Test für die WirtschaftsWoche. Transparenz zu dieser existenziell wichtigen Frage fehlt in der Branche fast völlig.
Kaspersky könnte damit nur der Vorbote einer Vertrauenskrise in der gesamten Branche sein. Unternehmen wie Symantec, Trend Micro und Sophos locken ihre Kunden mit dem Versprechen, ein Bollwerk gegen die immer dreisteren Angriffe professioneller Cyberbanden aufbauen zu können. Eine sehr ambitionierte Aufgabe, angesichts mehrerer Millionen Schadprogramme, die jeden Tag über die IT-Systeme herfallen.
So schnitten die getesteten Antivirenprogramme ab
Kernanforderungen | |
1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Steuerungsmöglichkeiten sind vorhanden; diese genügen aber nicht vollständig der Anforderung |
3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | ○ Lt. Aussage des Herstellers sind die Daten während der Übertragung verschlüsselt. Die Recherche ergab keine aussagekräftige Information zur Sicherheit in der Cloud |
4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Bezüglich der Möglichkeiten der Prüfbarkeit für Unternehmen konnten keine aussagekräftigen Informationen gefunden werden |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
Kernanforderungen | |
1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Grobe Steuerungsmöglichkeiten vorhanden. Auch bei Abschaltung der Cloud-Funktionalität werden noch gewisse Daten übertragen |
3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | ● Lt. Aussage des Herstellers sind die Daten während der Übertragung verschlüsselt und werden auch verschlüsselt und anonymisiert gespeichert |
4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | ○ Der Hersteller sichert die Behandlung der Daten nach den gängigen Sicherheitsstandards zu. Zertifizierungen konnten keine gefunden werden |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
Kernanforderungen | |
1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Mehrere Steuerungsmöglichkeiten vorhanden. Die Automatische Übermittlung hat ein einfaches ON/OFF, wobei OFF bedeutet, dass vor dem Upload eines Samples die Zustimmung des Nutzers eingeholt wird. |
3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
Kernanforderungen | |
1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Steuerungsmöglichkeiten sind vorhanden. Es ist möglich, das automatische Uploaden der Samples zu unterbinden. |
3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
Kernanforderungen | |
1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Steuerungsmöglichkeiten sind vorhanden; diese genügen aber nicht vollständig der Anforderung |
3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
Kernanforderungen | |
1. Transparenz der übertragenen Daten und Zugriffe – ein „Schaufenster“ | X Kein „Schaufenster“ vorhanden |
2. Steuerungsmöglichkeit der zu übertragenen Daten und Funktionen | ○ Mehrere Steuerungsmöglichkeiten vorhanden. Die Automatische Übermittlung hat ein einfaches ON/OFF. |
3. Sicherheit der Daten in der AV-Cloud und während der Übertragung | X Die Recherche ergab keine aussagekräftige Information |
4. Steuerungsmöglichkeiten und Einflussnahme der Unternehmen auf die bereits übertragenen Daten in der Cloud | X Soweit ersichtlich keine Möglichkeiten vorhanden |
5. Alle von den AV-Herstellern zugesicherten Maßnahmen müssen im Rahmen von Zertifizierungen belegt oder durch die Unternehmen prüfbar sein | X Die Recherche ergab keine aussagekräftige Information |
● = Forderung ist aus Expertensicht angemessen erfüllt; ○ = Forderung ist aus Expertensicht teilweise erfüllt; X = Forderung ist aus Expertensicht nicht erfüllt
Die höchsten Zuwachsraten melden derzeit Anbieter, die ihre Sicherheitsprodukte mit künstlicher Intelligenz zu einem Frühwarnsystem ausbauen. Dafür installieren sie eine Profiversion ihrer Software im Firmennetz. Mit deren Hilfe gehen sie dann als virtuelle Werkschützer auf Streife, durchsuchen angeklickte Webseiten und eingehende Mails nach Spionage-, Sabotage- und Erpresserprogrammen und schlagen sofort Alarm, wenn sie etwas Verdächtiges finden. Zur Schnellanalyse transferiert die Software auffällige Daten in das im Hintergrund als zentrale Auswertungsinstanz eingesetzte Rechenzentrum, programmiert ein Update und spielt das dann schnell an alle Kunden zurück.
Ob sich die Sicherheitsanbieter dabei aber an die vertraglich vereinbarten Zugriffsmöglichkeiten halten und wirklich nur Kopien infizierter Dateien bei ihren Kunden abziehen, lässt sich kaum kontrollieren. Wenn die Analyse wie bei Kaspersky dann auch noch in einem Rechenzentrum in Moskau stattfindet, fühlen sich einige Kunden nicht mehr sicher.
Im vergangenen Jahr hat die US-Regierung das Unternehmen offiziell der Spionage verdächtigt. Seitdem dürfen US-Behörden viele Kaspersky-Produkte nicht mehr einsetzen. Der harten Linie haben sich inzwischen auch Länder in Europa angeschlossen. In Großbritannien etwa hat die für Internetsicherheit zuständige Behörde NCSC die Ministerien davor gewarnt, Virenschutzsoftware des russischen Anbieters zu verwenden. Auch die niederländische Regierung lässt alle Verträge „vorsorglich auslaufen“. Die Software könne „missbraucht“ werden, da sie auch „Spionage und Sabotage“ ermögliche, heißt in einem Schreiben von Justizminister Ferd Grapperhaus.
Das EU-Parlament geht ebenfalls auf Distanz. Seine Abgeordneten fordern in einer mehrheitlich verabschiedeten Resolution die EU-Kommission auf, alle in ihren Organen eingesetzte Software „umfassend“ zu überprüfen. „Potenziell gefährliche und als böswillig eingestufte Programme“ sollen nicht mehr eingesetzt und verboten werden. Namentlich nennen die Parlamentarier Kaspersky Lab.
Dabei halten alle Sicherheitsanbieter Details über die Arbeitsweise ihrer Produkte zurück. „Ich bin mir sicher, dass es bei jedem nur einen ganz kleinen Kreis von Entwicklern gibt, die genau wissen, wie die eigene Lösung wirklich funktioniert“, sagt der IT-Chef eines großen deutschen Unternehmens. Vertrauensfördernd ist das nicht. Von den modernen Produkten, die ständig Daten zwischen den Kunden und den Rechenzentren austauschen, hält er deshalb auch gar nichts.