Thought Leadership
Ein Kommentar von Raimund Genes, CTO des japanischen IT-Sicherheitsanbieters Trend Micro, zur EICAR-Zertifizierung von AV-Comparatives.
Nachdem erste Lösungen von Herstellern wie Trend Micro zertifiziert wurden, hat die „European Expert Group for IT Security“ (EICAR) jetzt die Stufe II ihres „Mindeststandards für Anti-Malware-Produkte“ gezündet: So wurde mit AV-Comparatives erstmals ein unabhängiges Testlabor nach dem EICAR-Standard zertifiziert. Das ist eine ausgezeichnete Nachricht für Privat- und Unternehmensanwender, und das in doppelter Hinsicht: Nicht nur die zertifizierten Hersteller, sondern auch die Testlabore folgen insbesondere den Datenschutzbestimmungen des Standards. Zudem wird damit die Prüfung der Hersteller-Zertifizierungen durch unabhängige Prüfer möglich.
EICAR verfolgt das Ziel, das Vertrauen in kommerzielle Sicherheitsprodukte und ihre Hersteller zu erhöhen. Dieses Vertrauen wird seit geraumer Zeit sowohl durch Enthüllungen zum Beispiel zu erzwungenen Hintertüren als auch durch Zweifel erschüttert, ob die Hersteller in der eigenen Geschäftspraxis verantwortungsvoll mit den ihnen anvertrauten Kundendaten umgehen. Dabei handelt es sich nicht nur um Stammdaten wie Kundenname oder -anschrift, sondern auch um solche, die zur Bedrohungsabwehr erhoben werden müssen, die es dem Hersteller jedoch unter Umständen ermöglichen, sehr spezifische Kundenprofile zu erstellen und für Vermarktungszwecke zu nutzen. Zu dieser Art Daten gehören etwa Metadaten zu E-Mails oder die Historie von besuchten Webseiten. Solche Profile sind jedoch mit einem Datenschutzverständnis, das diesen Namen verdient, unvereinbar.
Aus diesem Grund verlangt der EICAR-Standard nicht nur, dass Sicherheitsprodukte tatsächlich das leisten, was sie versprechen, sondern auch dass sie mit den Daten nach dem Grundsatz der Datensparsamkeit und Datenvermeidung umgehen. Das heißt konkret, dass sie nur diejenigen Daten, die zur Erledigung der Aufgaben tatsächlich benötigt werden, sammeln, darauf verzichten, auf Basis dieser Daten spezifische Nutzerprofile zu erstellen, und auch keinen Handel mit diesen Daten treiben.
Auch Testlabore in der Pflicht
Doch nicht nur Hersteller, sondern auch unabhängige Testlabore gehen bei ihren Untersuchungen mit sensiblen Bedrohungsdaten um. So müssen die Prüfer mit ihrem Wissen, welche Sicherheitsprodukte durch welche Bedrohungen angreifbar sind, äußerst verantwortungsvoll umgehen, so dass es ausschließlich zur Erhöhung des Sicherheitsniveaus genutzt wird – etwa indem Hersteller entdeckte Sicherheitslücken schließen. Datenlecks zu solchen Lücken würden hingegen viele Anwender – ob privat oder geschäftlich – großen Risiken aussetzen und dem Vertrauen der Menschen in die IT-Sicherheitsindustrie einen schweren Schlag versetzen. Aus diesem Grund begrüßen wir die EICAR-Zertifizierung von AV-Comparatives außerordentlich und gratulieren dem österreichischen Testlabor herzlich.
EICAR-Standard verifizierbar
Wenn Hersteller und unabhängige Testlabore wie AV-Comparatives an einem Strang ziehen, lassen sich die Mindestanforderungen des EICAR-Standards effektiv umsetzen. Werden etwa Hinweise darauf, dass der Standard trotz Zertifizierung von einem Hersteller nicht eingehalten wird, an EICAR herangetragen – etwa von Anwendern oder von einem zertifizierten Testlabor –, prüft sie die Organisation zusammen mit den Laboren oder Universitäten und diskutiert die Testergebnisse mit dem betreffenden Hersteller. So lassen sich eventuelle Abweichungen vom EICAR-Standard auf der Basis gegenseitigen Vertrauens aus dem Weg räumen. Stufe II des EICAR-Mindeststandards für Anti-Malware-Produkte ist daher ein hervorragendes Signal an den Markt, denn das Gütesiegel ist jetzt verifizierbar.
Trend Micro als erster Hersteller zertifiziert
Als japanischer IT-Sicherheitshersteller teilt Trend Micro die strenge EICAR-Auffassung im Bereich Datenschutz und hat es Anfang Oktober dieses Jahres als erster Hersteller geschafft, seine Produkte nach diesem Standard zu zertifizieren. Aktuell besteht eine Zertifizierung für unsere Lösungen „OfficeScan“, „Deep Security“ und „Deep Discovery“.
Weitere Informationen:
Der „EICAR-Mindeststandard für Anti-Malware-Produkte“ kann hier in deutscher und englischer Sprache abgerufen werden.
