Der Kampf gegen staatlich finanzierte Angriffe auf AV-Tools

Von: Raimund Genes, Chief Technology Officer

Es war noch nie leicht, zum Angriff gegen Cyberkriminelle überzugehen. Mit jedem Jahr verfolgen unsere Online-Widersacher ihre Ziele hartnäckiger, vergrößern ihre Ressourcen weiter und werden immer geschickter beim Umgehen von Hindernissen. Aber selbst angesichts der massiv steigenden Anzahl von immer raffinierteren Bedrohungen haben wir inzwischen gute Strategien erarbeitet, um unsere Kunden zu schützen. Laut neuester Enthüllungen sind wir nun allerdings mit einem weiteren Gegner konfrontiert, der uns noch gefährlicher werden kann: staatlich unterstützte Hacker, die Sicherheitsunternehmen angreifen.

Daher hat sich Trend Micro für die Implementierung eines neuen, freiwilligen Leistungsstandards für IT-Sicherheitsprodukte entschieden. Wir hoffen, dass dies unseren Kunden in Europa in diesen turbulenten Zeiten die nötige Gewissheit gibt, dass Trend Micro-Produkte nicht angegriffen oder manipuliert wurden und weiterhin ein Höchstmaß an Schutz bieten.

Schädigung der Branche

Wir alle wissen, dass sich die Bedrohungslandschaft unaufhörlich weiterentwickelt und neue Gefahren mit sich bringt, die IT-Manager ständig auswerten und nach Kräften abwehren müssen. Jedoch hätte noch vor wenigen Jahren kaum jemand damit gerechnet, dass der Geheimdienst der USA und Großbritanniens nicht vor dem Reverse Engineering von Sicherheitsprodukten zurückschrecken würde, um ihre eigenen Cyberspionage-Aktivitäten zu vertuschen.

Doch genau dies ist passiert, wenn man den jüngst vom NSA-Whistleblower Edward Snowden veröffentlichten Dokumenten Glauben schenken kann. Doch es kommt noch schlimmer: Geheimdienstagenten haben anscheinend auch versucht, Kunden über deren eigene Sicherheitssoftware zu identifizieren, zu überwachen und möglicherweise sogar anzugreifen sowie die E-Mails von Mitarbeitern in AV-Unternehmen nach den Namen der neuesten Schwachstellen zu durchsuchen, die sie sich zunutze machen können.

Man muss kein Genie sein, um zu begreifen, welche Auswirkungen derartige Enthüllungen auf die gesamte AV-Branche sowie die zahllosen Personen und Organisationen haben, die sich auf den Schutz durch unsere Produkte verlassen.

Vertrauen muss wiedergewonnen werden

Nun gehen wir zum Gegenangriff über. Das EICAR (European Institute for Computer Antivirus Research), ein gemeinnütziger Verein zur Erforschung und Bekämpfung von Computerviren, hat in dieser Woche einen neuen Mindeststandard für Anti-Malware-Produkte veröffentlicht. Ich war bei dieser Veranstaltung dabei, denn Trend Micro unterstützt die Bemühungen des EICAR, das Vertrauen der Verbraucher in Sicherheitsprodukte durch diesen freiwilligen Standard zu steigern, voll und ganz. Dieser Standard legt die Grundvoraussetzungen fest, welche von den erworbenen Produkten erwartet werden können. In einem ersten Schritt geht es hierbei um Anti-Malware-Produkte, weitere Kategorien können und sollen folgen.

Folgende absolute Mindestanforderungen sollten von allen mit dem EICAR-Standard konformen Produkten und Dienstleistungen erfüllt werden:

  • Einhaltung der Vorgaben zur Datensicherheit
  • Produkt- und Funktionstransparenz gegenüber dem Benutzer
  • Zusicherung, dass die Produkte nicht manipuliert wurden

Wir von Trend Micro sind stolz, Teil dieser Initiative zu sein, und haben – zusammen mit einigen unserer Kollegen – die offizielle Zusicherung abgegeben, dass es in unseren Produkten keine Backdoors gibt. Bis zur Entwicklung und vollständigen Implementierung von standardisierten Anforderungen für Tests und Compliance haben wir noch einen weiten Weg vor uns, aber der Anfang ist gemacht.

Im Zuge einer immer dichteren und unübersichtlicheren Bedrohungslandschaft bietet das EICAR eine wertvolle Möglichkeit für Unternehmen wie Trend Micro, ihren Kunden zu vermitteln, dass sie sich unter ihrem Schutz weiterhin sicher fühlen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.