Vertrauen in Cybersicherheit ist nur durch maximale Transparenz und kontinuierliche Prozessüberprüfung möglich. Eindeutige, nachprüfbare Bewertungskriterien tragen zu einer sicheren, vertrauenswürdigen Digitalisierung bei.
(Bild: Kaspersky)
Interview mit Waldemar Bergstreiser, Head of Channel Germany bei Kaspersky.
Waldemar Bergstreiser, Head of Channel Germany bei Kaspersky
(Bild: Kaspersky)
Herr Bergstreiser, Cybersicherheit gewinnt, gerade aufgrund der zunehmenden Digitalisierung, immer mehr an Bedeutung. Welche Kriterien muss digitale Sicherheitstechnologie Ihrer Meinung nach erfüllen, um IT-Infrastruktur und sensible Daten zu schützen?
Grundlegend sind in diesem Zusammenhang insbesondere die Aspekte Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Diese Parameter müssen uneingeschränkt erfüllt sein, um ein Maximum an Sicherheit zu gewährleisten. Hierbei legen wir Wert auf wiederkehrende Auditierungen nach internationalen Standards. 2019 wurden die Entwicklungs- und Freigabeprozesse der Kaspersky-AV-Datenbanken nach den Richtlinien des vom American Institute of Certified Public Accounts (AICPA) [1] entwickelten Standards SOC 2 erstmals erfolgreich auditiert. Dabei analysieren die Prüfer die Beschreibungen und Dokumentationen, bewerten diese und evaluieren die Systemkontrollen im Produktivbetrieb. Dieser Auditierungsprozess wurde dieses Jahr von einer der vier großen Wirtschaftsprüfungsgesellschaften wiederholt und wir haben erneut das Zertifikat des AICPA erhalten. Auditierungen und Zertifizierungen nach anerkannten Industriestandards leisten einen großen Beitrag zur Steigerung von Vertrauen und Sicherheit. Kunden und Partner erhalten darüber wichtige Informationen und Argumente für eine Kaufentscheidung.
Wie kann man sich einen derartigen Audit-Prozess im Detail vorstellen?
Zunächst wurden die für die genannten Prozesse verantwortlichen Führungskräfte, firmeninternen Prüfteams sowie unmittelbar beteiligten Mitarbeiter befragt. Zudem haben die Prüfer alle Unterlagen, Aufzeichnungen und Dokumentationen geprüft. Dazu zählen beispielsweise Standardreports wie im System konfigurierte, parametergesteuerte Berichte, die von unseren Systemen generiert werden. Weitere Beispiele sind benutzerdefinierte Berichte, die nicht zum Standard der Anwendung gehören.
Cyberbedrohungsbezogene Nutzerdaten aus Europa, und damit auch Deutschland, speichert Kaspersky in der Schweiz – ein Land, das für seine strengen Datenschutzgesetze bekannt ist.
(Bild: Kaspersky)
Welche Merkmale wurden im Laufe des Audits bewertet?
Es ging hauptsächlich um den Systembetrieb, logische und physische Zugriffskontrollen, das Kontrollumfeld und die Kontrolltätigkeiten. Außerdem wurden Kommunikation und Information, Change Management, die Risikobewertung und die Risikominimierung bewertet.
Könnten Sie auf einzelne Punkte etwas näher eingehen?
Kaspersky setzt modernste Erkennungs- und Kontrollverfahren ein, um Änderungen an Konfigurationen zu identifizieren, die zum versehentlichen oder bewussten Einbau von Schwachstellen führen können. Dabei überwacht Kaspersky die Systemkomponenten und den Betrieb dieser Komponenten auf Anomalien, die auf schädliche Handlungen, Systemstörungen und Fehler hinweisen, die die Fähigkeit des Unternehmens beeinträchtigen könnten, die Schutzziele zu gewährleisten. Jede Änderung am Quellcode durchläuft ein dezidiertes Prüfverfahren, um ihre Integrität und Sicherheit zu bestätigen. Bei den Review-Prozessen zur Erstellung von Updates sind Kaspersky-Experten außerhalb Russlands immer mit einbezogen – einschließlich der Kaspersky-Teams in den USA und Kanada.
Ein weiteres Beispiel ist die Risikominimierung: Kaspersky identifiziert, entwickelt und setzt alle erforderlichen Risikominimierungsmaßnahmen um, die sich aus potenziellen Geschäftsunterbrechungen ergeben können. Dabei werden kontinuierlich alle Risiken mit Blick auf Zulieferer und die gesamte Supply-Chain bewertet. Genau diese Prozesse hat der Auditor geprüft.
Ist eine strikte Aufgabentrennung innerhalb des Unternehmens der Schlüssel zu mehr Sicherheit?
Absolut! Ein Schlüssel zu mehr Sicherheit liegt darin, wie der Zugriff auf Daten, Software, Funktionen und andere geschützte Informationsbestände auf der Grundlage von Rollen, Zuständigkeiten oder des Systemdesigns autorisiert, geändert oder aufgehoben wird. Kaspersky verfolgt dabei stringent die Konzepte der geringsten Privilegien und der Aufgabentrennung, um höchste Schutzziele zu erreichen.
IT-Sicherheit beruht auf Vertrauen – und Vertrauen auf Transparenz. Welche Maßnahmen ergreift Kaspersky neben dem besprochenen Audit zusätzlich?
Wir haben in den vergangenen Jahren als erstes Unternehmen unserer Branche wichtige Schritte unternommen und Maßnahmen implementiert, um technologische Transparenz und die Vertrauenswürdigkeit Kasperskys zu steigern. Die Verlagerung der Verarbeitung und Speicherung von Bedrohungsdaten in Rechenzentren in die Schweiz und die Eröffnung globaler Transparenzzentren, in denen der Quellcode unseres Unternehmens, die Software-Updates und die Regeln zur Bedrohungserkennung von vertrauenswürdigen Partnern, Kunden und Regierungsbehörden eingesehen werden können, sind für uns ein Grundpfeiler und ein Zeichen unserer Verpflichtung für mehr Transparenz. Da wir das schon seit 2018 machen, haben wir in diesem Bereich in der Cybersicherheit ein Benchmark gesetzt! Die Erneuerung des SOC-2-Typ-1-Berichts ist Teil unserer globalen Transparenzinitiative und zeigt unser kontinuierliches Engagement für Rechenschaftspflicht. Anfang dieses Jahres erneuerten wir zudem auch die Zertifizierung nach ISO 27001:2013, einem international anerkannten Sicherheitsstandard, der von der unabhängigen Zertifizierungsstelle TÜV AUSTRIA ausgestellt wird.
Wie können sich Unternehmen wirksam vor Cyberbedrohungen schützen?
Es sollten mehrstufige Lösungen mit Next-Generation-Malware-Erkennung, proaktiven Abwehrtechnologien sowie automatisierter Reaktion und Wiederherstellung zum Schutz vor zielgerichteten Angriffen eingesetzt werden. Sind intern nicht die nötigen Ressourcen vorhanden, können Cybersecurity Services die IT-Abteilung durch geschulte Cybersecurity-Experten in den Bereichen Threat Hunting, Malware-Analyse, Reverse Engineering, Forensik, Incident Response und Notfallplanung unterstützen, um sich umfassend vor allen Arten von Bedrohungen zu schützen. Außerdem sollten regelmäßig praxisnahe Security-Awareness-Schulungen, die in den Arbeitsalltag leicht integriert werden können, für alle Mitarbeiter mittels einer interaktiven Online-Trainingsplattform stattfinden, sodass diese Gelegenheit haben, sich mit typischen Angriffsszenarien auseinanderzusetzen. Im Rahmen der Kaspersky Automated Security Awareness Platform (ASAP) können Sie derzeit kostenfrei an einem Online-Kurs rund um den sicheren Umgang mit sozialen Medien und Social Engineering teilnehmen:
Des Weiteren sollten die Organisationen Zugriff auf aktuelle Bedrohungsdaten haben, damit sie stets über die neuesten Taktiken und Methoden von Cyberkriminellen informiert sind. Kaspersky unterstützt Institutionen etwa durch sein Threat-Intelligence-Netzwerk, das detaillierte Einblicke liefert. Kaspersky Threat Intelligence (TI) ermöglicht durch die Zusammenarbeit mit unserem weltweit führenden Branchen- und Analystenteam die neuesten und zuverlässigsten Informationen über neue Malware- und Bot-Bedrohungen. Derzeit stellen wir unter kas.pr/threat-intelligence einen für Sie kostenfreien Zugang bereit. Durch diesen mehrstufigen Ansatz kann ein hohes Sicherheitsniveau erreicht werden.
Auch Microsoft vertraut auf die Threat Intelligence von Kaspersky. So sind unsere Threat Data Feeds jetzt in Microsoft Sentinel integriert [2].
Das BSI hat vor dem Hintergrund des Kriegs in der Ukraine vor dem Einsatz von Kaspersky-Virenschutzprodukten gewarnt. Können Sie dazu Stellung beziehen?
Das BSI hat aus geopolitischen Gründen gewarnt, ohne die Kaspersky-Produkte und unsere Schutzmechanismen vor unberechtigtem Zugriff technisch und organisatorisch eingehend zu bewerten. Mit den jetzt erneut zertifizierten Sicherheitsstandards und organisatorischen Maßnahmen durch das SOC 2-Audit können Partner und Kunden weiterhin auf die Qualität und Integrität von Kaspersky und auf unsere Produkte und Services vertrauen. Zusätzliche eindeutige und nachprüfbare Bewertungskriterien finden Sie auf unserer Website kas.pr/vertrauen.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/42/07/4207a6ae481716e03ae4ec1b66b3743d/0129161840v1.jpeg "Patrick van Tent wird zum neuen Vorstand der Verbundgruppe berufen. (Bild: ElectronicPartner)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/2a/482a0953bf55fcc497763f7dadb6c5d6/0129166170v2.jpeg "Die beliebteste Passwortwahl hat sich kaum geändert, während Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um in Konten und Daten einzudringen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/0f/d30f909ea304c3acfdd5bf0a6e54cfe7/0129179494v1.jpeg "Motorola hat neue günstige Smartphones vorgestellt, die IP64-zertifiziert sind und über leistungsfähige Kameras verfügen. (Bild: Motorola)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/60/19/601907f06caef/kaspersky-logotype-green-cmyk.jpg "Kaspersky_logotype_green_CMYK.jpg (IT-BUSINESS)")
:quality(80)/p7i.vogel.de/wcms/ca/d0/cad0316df1c007865fbbbff7da6707b3/0123857205v1.jpeg "0123857205v1 (Bild: Kaspersky)")
:quality(80)/p7i.vogel.de/wcms/08/d0/08d0a82c1b67193fcf7de4a9beb94474/0126256656v1.jpeg "Im Dschungel der Cybersecurity-Zertifizierungen reicht es nicht, einfach drauflos zu marschieren. Wer die Spielregeln kennt und klug kombiniert, sichert sich nicht nur die Gunst von Auditoren, sondern auch das Vertrauen der Kunden. (Bild: Midjourney / KI-generiert)")