Kaspersky zeigt, was das Unternehmen mit Transparenz meint

Vor fünf Jahren hat Kaspersky in Zürich ein Transparenzentrum eröffnet. Interessierte können in dem Zentrum den Quellcode der Produkte des russischen Cybersecurityanbieters selbst prüfen. Zur gleichen Zeit verlagerte das Unternehmen einen Teil seiner Rechenzentrumsaktivitäten in zwei Schweizer Rechenzentren. Schädliche und verdächtige Dateien der europäischen Kundschaft werden nun hierzulande verarbeitet. 

Die bisherige Location in Russland sei für viele Regulierungsbehörden, Stakeholder und Partner ein Problem oder zumindest eine Herausforderung gewesen, erklärte Anton Shingarev, damals Vice President for Public Affairs bei Kaspersky, in einem Interview. Mit dem Umzug in die Schweiz wollte Kaspersky das Vertrauen der Kunden und Partner zurückgewinnen. 

"Die Schweiz legt schon seit Jahrhunderten grossen Wert darauf, ihre Neutralität zu wahren. Sie schmiedet weder politische Allianzen noch militärische Bande. Für ein Cybersecurity-Unternehmen gehört die Neutralität ebenfalls zu den Grundprinzipien. Wir sehen uns selbst ein wenig wie Ärzte: Wir helfen all denen, die unsere Dienste benötigen – unabhängig von deren Nationalität, Partei- oder sonstiger Zugehörigkeit. Und deswegen gingen wir mit unserem RZ in die Schweiz", erklärte Shingarev in einem Interview kurz nach der Eröffnung des Transparenzentrums.

Das vollständige Interview mit Shingarev, in dem er auch sagt, woher man weiss, dass der im Transparenzzentrum zu prüfende Code der echte ist, können Sie hier nachlesen. Shingarev arbeitet mittlerweile nicht mehr für Kaspersky. Er wechselte Februar 2020 zum ebenfalls russischen Machine-Learning-Spezialisten Yandex.

Drei neue Transparenzzentren geplant

Das Transparenzzentrum in Zürich war das erste; unterdessen betreibt Kaspersky weltweit neun solcher Zentren. Und es sollen weitere folgen, wie das Unternehmen im Rahmen einer Tour durch das Transparenzzentrum im Rahmen der Veranstaltung Kaspersky Next 2023 erklärte. 5,6 Millionen US-Dollar habe die Verlagerung der RZ-Aktivitäten in die Schweiz gekostet.

Das Transparenzzentrum von Kaspersky in den Zürcher Räumlichkeiten von Digital Realty. (Source: Screenshot / www.interxion.com/ch/referenzstorys/kaspersky/download)

Nun will das Unternehmen seine globale Transparenzinitiative ausbauen. Bislang konnten Interessierte nur dem Quellcode der wichtigsten Consumer- und Enterprise-Produkte auf den Zahn fühlen. In diesem Jahr erweitert Kaspersky das Angebot um weitere Produkte. Zudem plant das Unternehmen, bis Mitte des nächsten Jahres drei neue Transparenzzentren zu eröffnen. Diese werden sich im Nahen Osten und Afrika befinden. 

Gemäss dem Cybersecurity-Anbieter wurden die Transparenzzentren seit der Eröffnung des ersten in 2018 insgesamt 57 Mal beansprucht. So ein Besuch involviert in der Regel mehrere Personen und kann auch mehrere Tage dauern. Das Unternehmen betonte, dass die Anzahl Besuche wohl auch wegen des Lockdowns eher niedrig ist für eine Zeitspanne von 5 Jahren. 

Das Angebot, den Quellcode der Produkte zu überprüfen, ist nur eine der Massnahmen, mit denen Kaspersky Transparenz schaffen will. 

Bis zu 100'000 Dollar als Prämie für Bugs

Wer Schwachstellen in Kaspersky-Systemen findet, kann diese im Rahmen eines Bug-Bounty-Programms dem Anbieter melden. Die Prämien wurden nun erhöht. Für besonders kritische Sicherheitslücken zahlt das Unternehmen bis zu 100'000 Dollar. Bislang war aber noch keine Schwachstelle seriös genug, um so ein Kopfgeld zu rechtfertigen, wie das Unternehmen während der Tour einräumte. 

Das Programm läuft seit Anfang 2018. Stand heute zahlte Kaspersky nach eigenen Angaben 77'450 Dollar an Bug-Jäger aus, die insgesamt 55 "kleinere Sicherheitslücken" fanden. Die Lücken seien unterdessen gepatcht worden.

Regelmässige Audits durch Dritte sollen zusätzlich dazu beitragen, das Vertrauen der Welt zurückzugewinnen. Und in in halbjährlichen Transparenzberichten listet Kaspersky die Anfragen von Strafverfolgungs- und Regierungsbehörden auf, die das Unternehmen erhält. Gemäss der aktuellen Ausgabe erhielt das Unternehmen in der zweiten Jahreshälfte 2022 total 37 Anfragen von Regierungen und Strafverfolgungsbehörden aus sechs Ländern. Knapp zwei Drittel der Anfragen lehnte das Unternehmen nach eigenen Angaben ab, da "keine Daten vorlagen oder die rechtlichen Anforderungen nicht erfüllt wurden".

Angst vor Industriespionage hat das Unternehmen nicht. Das Zentrum - ein Meetingraum in einem Zürcher Rechenzentrum von Digital Realty - ist mit Kameras ausgestattet. Auf den zwei eingerichteten Arbeitsplätzen, an denen man den Code prüfen kann, gibt es keine Möglichkeiten, diesen oder Teile dessen zu kopieren oder zu editieren. Wer den Source Code stehlen will, müsste ihn also komplett auswendig lernen. 

Das eigentliche Transparenzzentrum ist eine webbasierte Datenbank. Zugang erhalte man jedoch nur durch einen speziellen VPN-Zugang, der einen Hardwareschlüssel erfordere. Nebst dem Source Code gibt Kaspersky in den Zentren auch Einblick in die Software-Komponenten, die das Unternehmen in seinen Produkten verbaut und in den Prozessen, die dahinter stecken. 

Backup-Systeme für Backup-Systeme für Backup-Systeme

Nach dem Besuch des Transparenzzentrums im Digital-Realty-RZ ging die Tour weiter zum Green-Datacenter Zurich City. Auch hier hat sich Kaspersky eingemietet. Diese Georedundanz dient der Sicherheit - sollte ein RZ ausfallen, laufen alle Dienste auf dem zweiten weiter. Eine übliche Strategie.

Wie unwahrscheinlich es ist, dass man davon Gebrauch machen muss, erklärten Kaspersky und Green bei einer Führung durch das RZ. Wie Marco Stadler, Chief Sales Officer bei Green, erklärte, verfügt das RZ über eine doppelte Stromversorgung - und zwar bis zum einzelnen Rack. 

Sollte die Stromzufuhr von beiden Seiten ausfallen, läuft das RZ auf Batterien. Bevor diesen auch nur Ansatzweise der Saft ausgeht, springen die stets warm gehaltenen Dieselgeneratoren an. Das soll nur wenige Minuten dauern und wird monatlich getestet. Vor Ort hat der RZ-Betreiber genügend Diesel gelagert, um das ganze Datacenter für 72 Stunden zu betreiben. Verträge mit zwei Zulieferern sollen dafür sorgen, dass der Diesel nicht ausgeht. Theoretisch, solange die Versorgung aufrecht erhalten bleibt, könnte Green das Rechenzentrum unbegrenzt mit Diesel betreiben. 

Das Datacenter Zurich City von Green. (Source: Green)

Dasselbe Schema zeigt sich auch bei der Kühlung: Das Hauptsystem wird durch zwei redundante Systeme ergänzt - für den Fall, dass ein System versagt. Moderne Server sind zwar sehr viel resistenter geworden, wenn es um die Betriebstemperatur geht. In den rund 100 Racks dieses Rechenzentrums stehen jedoch auch noch viele ältere Geräte, die ohne Kühlung innert Minuten überhitzt wären. 

Da das Gebäude nahe der Limmat steht und sich das eigentliche RZ unterirdisch befindet, musste auch an die Gefahr durch Überschwemmungen gedacht werden. Das RZ ist daher quasi ein Gebäude innerhalb eines Gebäudes. Sollte Wasser eindringen, fliesst es in dieser äusseren Ummantelung ab und sammelt sich im 5. Untergeschoss. Die Racks bleiben im Trockenen. 

Zumindest theoretisch. Denn - wie Green während der Tour betont - bisher musste noch nie eine dieser Notfallmassnahmen zum Einsatz kommen. Das RZ läuft seit vielen Jahren im Normalbetrieb. 

Spurensuche im Darknet

Nach der Tour durch die Rechenzentren begann das Vortragsprogramm des Events. Yuliya Novikova, Head of Digital Footprint Intelligence bei Kaspersky, sprach über die Recherchen des Unternehmens im Darknet. Manchmal findet es Daten von Unternehmen, manchmal aber auch Hinweise darauf, dass eine Firma infiltriert oder attackiert werden soll.

In 2022 gab es rund 300 solcher Fälle gemäss Novikova - die meisten davon betrafen europäische Firmen. Wird Kaspersky fündig - allerdings nur wenn es sich um kritische Vorfälle, die eine zeitnahe Reaktion erzwingen - kontaktiert der Sicherheitsanbieter das betroffene Unternehmen und informiert kostenlos über Gegenmassnahmen - auch wenn es sich nicht um Kunden handelt. 

Wie reagieren die Firmen darauf? Nur 6 Prozent der Firmen sagten, dass sie von dem Problem wissen. "Diese Firmen haben bereits den richtigen Approach und monitoren Cyberprobleme proaktiv", sagte Novikova. Weitere 22 Prozent akzeptierten die Infos und es folgte ein konstruktiver Austausch mit den Experten von Kaspersky. 

Die Kehrseite sind die zwei Prozent, die das Problem schlicht ignorieren und die 28 Prozent, die entweder nicht reagierten oder denen das gemeldete Sicherheitsproblem egal war. Gemäss Novikova hatten diese Firmen entweder kein Budget für Cybersecurity oder sie hatten bereits Partnerschaften mit anderen Anbietern. Ein Teil der kontaktierten Firmen reagierte auch mit Skepsis und fand es verdächtig, dass Kaspersky über solche Informationen zu ihrer Firma verfügte. 

Yuliya Novikova, Head of Digital Footprint Intelligence bei Kaspersky. (Source: Netzmedien)

Junior-Entwickler bei versierter Hackerbande

Jornt van der Wiel, Security Researcher bei Kasperskys GREAT (Global Research & Analysis Team), referierte über die jüngsten Entwicklungen rund um die Hacker-Gruppe Lazarus. Kaspersky hatte einen genaueren Blick auf die Untergruppe Andariel geworfen und entdeckte dabei eine neue Malware-Familie namens "EarlyRat". Wie der Name vermuten lässt, handelt es sich dabei um einen Remote-Access-Trojaner (RAT). Dieser sammle bei seiner Aktivierung Systeminformationen und übertrage sie anhand einer bestimmten Vorlage an seinen Command-and-Control-Server.

Van der Wiel sprach auch über einen interessanten Fall, hinter dem Andariel stecken soll. Was diesen Fall so interessant macht, sind die Anzeichen, dass die Attacke dieser sehr versierten und berüchtigten Hackerbande von einer sehr unerfahrenen Person verübt wurde. Ein "Junior Entwickler", wie van der Wiel sagte. 

Der Neu-Hacker machte einige Tippfehler beim Eingeben der Befehle und gelang eher durch Ausprobieren zum Erfolg. So versuchte der Hacker etwa zunächst lange, einen neuen User zur Gruppe "administrators" hinzufügen, bevor er bemerkte, dass sein Ziel kein englischsprachiges Unternehmen war, sondern spanisch und er entsprechend den User zu den "administradores" hinzufügen musste.

Jornt van der Wiel, Security Researcher bei Kasperskys Global Research & Analysis Team (GREAT). (Source: Netzmedien)

KI in der Security

Den Abschluss des Events bildete Maher Yamouts Vortrag über künstliche Intelligenz. Yamout ist ebenfalls Security Researcher bei GREAT. Er zeigte ein paar Use Cases auf, wie zum Beispiel ChatGPT im Bereich Corporate Security genutzt werden kann. 

So könne man den Chatbot etwa nutzen, um ein Beispiel einer Phishing-Nachricht zu erstellen. Dieses Beispiel könne man dann für Awareness-Trainings nutzen. Ferner wollte er prüfen, ob ChatGPT von KI geschriebene Texte erkennt. Das Resultat war mässig. Aber dafür erkannte er dabei, dass von KI geschriebene Texte keine Quellen angeben. Formulierungen wie "gemäss", "laut dem Bericht", "wie so und so sagte" seien daher Anzeichen dafür, dass ein Text von einer Person geschrieben wurde. 

Schliesslich wollte Yamout auch das Code-Verständnis von ChatGPT prüfen. Er fütterte den Chatbot mit einem Auszug eines Source Codes und fragte ihn, ob es darin eine Backdoor hat. Füttert man den Bot mit einem konkreten Code-Schnipsel und fragt man ihn direkt, erhält man auch eine klare Antwort mit einer Analyse, wieso etwas eine Backdoor sein könnte. Aber: ChatGPT sei ein Enabler, kein Ersatz für menschliche Fachkräfte. Es brauche immer noch eine Person, die diese Befunde bestätige und falsche Positive ausschliesse.

Apropos ChatGPT: Die grenzenlos scheinenden Möglichkeiten von ChatGPT sind derzeit in aller Munde. Von diesen können aber auch Cyberkriminelle Gebrauch machen. Was also bedeutet der Chatbot für die Security? Dieser Frage gingen Netzmedien und Check Point in einem gemeinsamen Webinar nach.

Maher Yamout, Security Researcher bei Kasperskys Global Research & Analysis Team (GREAT). (Source: Netzmedien)