Erster Hersteller erwirbt Eicar-Zertifizierung Anti-Malware mit europäischem Zertifikat

Autor / Redakteur: Susanne Franke / Dr. Andreas Bergler

Mit dem Gütesiegel „Eicar trusted IT security“ will Eicar die Vertrauenswürdigkeit von IT-Sicherheitsprodukten verbessern. Als erster Hersteller wurde Trend Micro für drei Produkte zertifiziert.

Firma zum Thema

Datenschutz steht beim Gütesiegel „Eicar trusted IT security“ im Mittelpunkt.
Datenschutz steht beim Gütesiegel „Eicar trusted IT security“ im Mittelpunkt.
(Bild: © Thomas Reimer - Fotolia)

Eicar (European Expert Group for IT-­Security) ist eine gemeinnützige Organisation mit einer internationalen, unabhängigen Sicherheitsexpertengruppe. Ihr Ziel ist es, für eine bessere IT-Sicherheit und für ein geschärftes Security-Bewusstsein zu sorgen, aber auch die Industrie zur Einhaltung definierter Standards zu bewegen.

Als ersten Schritt, das derzeit angeschlagene Vertrauen in IT-Sicherheitslösungen und deren Anbieter wiederherzustellen, hat die Organisation nun den „Eicar Minimum Standard für Anti-Malware-Produkte“ entwickelt. Darin sind Mindestanforderungen an IT-Sicherheitsprodukte definiert (siehe Kasten). Es geht um die Einhaltung von Datenschutz, Transparenz bezüglich der Kommunikation der Produkte und Hersteller sowie eine Zusicherung, dass die Produkte nicht ­manipuliert sind. Das Gütesiegel kostet 5.000 Euro pro Produkt und Jahr. Aufgrund der Forderungen an den Datenschutz können Produkte amerikanischer Anbieter die Kriterien der Eicar nicht ­erfüllen.

Ergänzendes zum Thema
Eicar-Mindeststandard für Anti-Malware-Produkte

Die Anforderungen dieses Standards gelten für alle Teile des Produkts, auch für Code, der dazu von Dritten entwickelt wurde. Der Anbieter muss alle diese Codes auch kontrollieren können, um etwaige Fehler beheben zu können.

  • Der Anbieter muss garantieren, dass das Produkt keine „versteckten Funktionen oder sonstige beabsichtigte Funktionen, die in den erklärten Zielen nicht vorgesehen sind“, enthält und auch keine „Hintertür“.
  • Zudem müssen „ausreichend robuste“ kryptografische Methoden für den Schutz der Daten und deren ­Integrität zum Einsatz kommen.
  • Inhalte im Eigentum des Benutzers wie Kontakte, Nachrichten und ­Dokumente dürfen ohne die ausdrückliche Zustimmung des Benutzers nicht an den Anbieter übertragen werden.
  • Alle Daten, die vom Gerät des Benutzers erhoben werden, sind nach den geltenden datenschutzrechtlichen Anforderungen geschützt.
  • „Der Eigentümer/Anbieter des Produktes erklärt sich mit einer unabhängigen Bewertung und Überprüfung der genannten Anforderungen einverstanden.“

[ www.eicar.org ]

Als erster hat nun der japanische Sicherheitsanbieter Trend Micro „Office­Scan“, „Deep Security“ und „Deep Dis­covery“ mit dem Gütesiegel „Eicar trusted IT security“ zertifizieren lassen und sich damit verpflichtet, den Schutz der Privatsphäre zu achten und keinerlei Hintertüren zu erlauben.

Zusammenarbeit im Zeichen der Sicherheit

Freiwillige Selbstkontrolle der Sicherheitsanbieter, die das Gütesiegel erhalten, spielt dabei eine wesentliche Rolle. „In unserem Verhältnis zu den Herstellern setzen wir auf Vertrauen in deren Aussagen, das sich dann auch auf die Anwender übertragen soll“, erklärt der Eicar-­Vorsitzende Rainer Fahs. „Auf der anderen Seite aber müssen wir natürlich sicherstellen, dass bei Zweifeln oder Auffälligkeiten die Möglichkeit besteht, diesen durch tiefer gehende Tests nachzugehen.“

Für diese hoffentlich nie eintretenden Fälle, so Fahs, arbeite man mit unabhängigen Prüflabors wie AV Comparatives, der Universität Mannheim (mit Prof. Sachar Paulus, dem ehemaligen Chief Security Officer der SAP), der Universität Hannover (mit Prof. Nikolaus Forgo vom Institut für Rechtsinformatik) sowie der Universität Leuven in Belgien (mit dem Kryptologen Prof. Bart Preneel zusammen).

Je nachdem, wo Evaluierungsbedarf besteht, wird sich die Eicar an ­einen dieser Partner wenden. „Dafür müssen wir aber noch Testprozeduren und Ziele definieren“, betont Fahs. „Wir werden auch mit dem TÜV Rheinland über eine mögliche Zusammenarbeit sprechen. Der Dienstleister bietet ebenfalls Sicherheitszertifizierungen und verfügt über hohe technische Expertise.“

Ergänzendes zum Thema
Statement von Trend Micro

Raimund Genes, CTO bei Trend Micro
Raimund Genes, CTO bei Trend Micro
( Bild: Trend Micro )

„Es gibt heute immer mehr Anbieter, die ihre Software vemeintlich kostenlos an die Anwender abgeben. In den meisten Fällen bezahlen diese Nutzer aber mit ihren Daten dafür. Aus einem Nutzer wird ein „Profil“, das der Anbieter anonymisiert an Dritte verkaufen kann. Dieses „Geschäftsmodell“ ist heute allgegenwärtig – selbst bei einigen Sicherheitsprodukten. Doch gerade im Sicherheitsbereich sollte eine gewisse Sensibilität bei jeglichem Umgang mit personenbezogenen Daten vorhanden sein.

Trend Micro beweist mit der Eicar-Zertifizierung, dass unser Geschäftsmodell darin besteht, den Kunden den bestmöglichen Schutz gegen Gefahren der IT-Welt zu verkaufen. Die Erhebung und Zweitverwertung von Kundendaten sowie deren Weiterverkauf gehören definitiv nicht dazu.“

[ www.trendmicro.de ]

Nächste Seite: Der Eicar-Standard im Vergleich

(ID:43665622)