Interview: Eindeutige Bewertungskriterien für eine sichere Digitalisierung: Cybersicherheit muss auf den Prüfstand!

Advertorial

ITS: Herr Michels, Cybersicherheit gewinnt immer mehr an Bedeutung. Welche Kriterien muss digitale Sicherheitstechnologie erfüllen?

Jochen Michels: Für eine angemessene Sicherheit müssen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz risikobasiert betrachtet und erfüllt sein. Auditierungen und Zertifizierungen nach anerkannten Industriestandards helfen Kunden und Partnern, eine fundierte Kaufentscheidung zu treffen.

ITS: Können Sie Beispiele nennen?

Jochen Michels: Hier gibt es zum Beispiel die Richtlinien des vom American Institute of Certified Public Accounts (AICPA) entwickelten Standards Service Organization Control 2 (SOC 2).[1] 2019 wurden die Entwicklungs- und Freigabeprozesse der Kaspersky-AV-Datenbasen nach diesen Vorgaben auditiert. Dieses Jahr gab es eine erneute Zertifizierung der jetzt aktuellen Prozesse, durchgeführt von einer der vier großen Wirtschaftsprüfungsgesellschaften. Anfang 2022 wurde das Informationssicherheits-Managementsystem nach ISO  27001:2013 durch die unabhängige Zertifizierungsstelle TÜV AUSTRIA zertifiziert.

ITS: IT-Sicherheit beruht auf Vertrauen und Transparenz. Welche Maßnahmen ergreift Kaspersky dafür?

Jochen Michels: Kaspersky hat seit vielen Jahren umfassende Maßnahmen ergriffen, um technologisch, organisatorisch und strukturell so transparent wie möglich zu sein. Die Verarbeitung und Speicherung von Bedrohungsdaten erfolgt in hochsicheren Rechenzentren in der Schweiz, also einem Land mit hohen Datenschutzstandards. Für Kunden, Partner und Regierungsorganisationen haben wir weltweit verschiedene Transparenzzentren eröffnet. Dort können der Quellcode der Software, die Software-Updates und die Regeln zur Bedrohungserkennung eingesehen und analysiert werden! Weitere nachprüfbare Bewertungskriterien finden Sie auf unserer Website kas.pr/vertrauen.

ITS: Wie können sich Unternehmen vor Cyberbedrohungen schützen?

Jochen Michels: Wichtig ist eine individuelle Risikoanalyse und darauf aufbauend die angemessene Gestaltung der IT-Sicherheitsarchitektur. Dabei sind nicht nur technische Fragen zu beantworten, sondern auch organisatorische und Fragen der Mitarbeiterqualifikation. Sind intern nicht die erforderlichen Ressourcen vorhanden, ist externe Unterstützung durch geschulte Experten in den Bereichen Threat Hunting, Malware-Analyse, Reverse Engineering, Forensik, Incident Response und Notfallplanung erforderlich.

Mitarbeiter sollten sich in regelmäßigen praxisnahen Security-Awareness-Trainings mit typischen Angriffsszenarien auseinandersetzen. Im Rahmen der Kaspersky Automated Security Awareness Platform (ASAP) können diese auf kas.pr/asap-some derzeit kostenfrei an einem Online-Kurs rund um den sicheren Umgang mit sozialen Medien und Social Engineering teilnehmen.

Des Weiteren sollten die Organisationen Zugriff auf aktuelle Bedrohungsdaten haben, damit sie stets über die neuesten Taktiken und Methoden von Cyberkriminellen informiert sind. Kaspersky unterstützt Institutionen etwa durch sein Threat-Intelligence-Netzwerk, das detaillierte Einblicke liefert. Kaspersky Threat Intelligence (TI) ermöglicht durch die Zusammenarbeit mit unserem weltweit führenden Branchen- und Analystenteam neueste, zuverlässige Informationen über neue Malware- und Bot-Bedrohungen. Derzeit stellen wir unter kas.pr/threat-intelligence einen kostenfreien Zugang bereit. Durch einen solchen mehrstufigen Ansatz können Unter-nehmen ein hohes Sicherheitsniveau erreichen.

ITS: Vielen Dank für das Gespräch!

Quelle: [1] https://us.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpacybersecurityinitiative