Startseite > Security > EICAR Stufe II: Mindeststandard für Anti-Malware-Produkte wird überprüfbar

Trend-Micro-CTO kommentiert EICAR-Zertifizierung von AV-Comparatives

EICAR Stufe II: Mindeststandard für Anti-Malware-Produkte wird überprüfbar

17. Dezember 2015, 9:43 Uhr | LANline/jos

Nachdem erste IT-Security-Lösungen zertifiziert wurden, hat die "European Expert Group for IT Security" (EICAR) nun die Stufe II ihres "Mindeststandards für Anti-Malware-Produkte" gestartet: So wurde mit AV-Comparatives erstmals ein unabhängiges Testlabor nach dem EICAR-Standard zertifiziert. Dies ist laut Raimund Genes, CTO des japanischen IT-Sicherheitsanbieters Trend Micro eine ausgezeichnete Nachricht für Privat- und Unternehmensanwender, und das in doppelter Hinsicht. Nicht nur die zertifizierten Hersteller, sondern auch die Testlabore folgen insbesondere den Datenschutzbestimmungen des Standards. Zudem werde damit die Prüfung der Hersteller-Zertifizierungen durch unabhängige Prüfer möglich.

EICAR verfolgt das Ziel, das Vertrauen in kommerzielle Sicherheitsprodukte und ihre Hersteller zu erhöhen. Dieses Vertrauen wird laut Genes seit geraumer Zeit sowohl durch Enthüllungen zum Beispiel zu erzwungenen Hintertüren als auch durch Zweifel erschüttert, ob die Hersteller in der eigenen Geschäftspraxis verantwortungsvoll mit den ihnen anvertrauten Kundendaten umgehen. Dabei handelt es sich nicht nur um Stammdaten wie Kundenname oder -anschrift, sondern auch um solche, die zur Bedrohungsabwehr erhoben werden müssen, die es dem Hersteller jedoch unter Umständen ermöglichen, sehr spezifische Kundenprofile zu erstellen und für Vermarktungszwecke zu nutzen.

Zu dieser Art Daten gehören etwa Metadaten zu E-Mails oder die Historie von besuchten Web-Seiten. Solche Profile sind nach Einschätzung des Trend-Micro-CTOs jedoch mit einem Datenschutzverständnis, das diesen Namen verdient, unvereinbar.

Aus diesem Grund verlange der EICAR-Standard nicht nur, dass Sicherheitsprodukte tatsächlich das leisten, was sie versprechen, sondern auch dass sie mit den Daten nach dem Grundsatz der Datensparsamkeit und Datenvermeidung umgehen. Das heißt konkret, dass sie nur diejenigen Daten, die zur Erledigung der Aufgaben tatsächlich benötigt werden, sammeln, darauf verzichten, auf der Basis dieser Daten spezifische Nutzerprofile zu erstellen, und auch keinen Handel mit diesen Daten treiben.

Doch nicht nur Hersteller, sondern auch unabhängige Testlabore gehen bei ihren Untersuchungen mit sensiblen Bedrohungsdaten um. So müssen die Prüfer mit ihrem Wissen, welche Sicherheitsprodukte durch welche Bedrohungen angreifbar sind, äußerst verantwortungsvoll umgehen, sodass es ausschließlich zur Erhöhung des Sicherheitsniveaus genutzt wird – etwa indem Hersteller entdeckte Sicherheitslücken schließen. Datenlecks zu solchen Lücken würden hingegen viele Anwender – ob privat oder geschäftlich – großen Risiken aussetzen und dem Vertrauen der Menschen in die IT-Sicherheitsindustrie einen schweren Schlag versetzen. Aus diesem Grund begrüße Trend Micro die EICAR-Zertifizierung von AV-Comparatives außerordentlich.

Wenn Hersteller und unabhängige Testlabore wie AV-Comparatives an einem Strang ziehen, lassen sich laut Genes die Mindestanforderungen des EICAR-Standards effektiv umsetzen. Werden etwa Hinweise darauf, dass der Standard trotz Zertifizierung von einem Hersteller nicht eingehalten wird, an EICAR herangetragen – etwa von Anwendern oder von einem zertifizierten Testlabor –, prüft sie die Organisation zusammen mit den Laboren oder Universitäten und diskutiert die Testergebnisse mit dem betreffenden Hersteller. So lassen sich eventuelle Abweichungen vom EICAR-Standard auf der Basis gegenseitigen Vertrauens aus dem Weg räumen. Stufe II des EICAR-Mindeststandards für Anti-Malware-Produkte sei daher ein hervorragendes Signal an den Markt, denn das Gütesiegel sei jetzt verifizierbar.

Als japanischer IT-Sicherheitshersteller teile Trend Micro die strenge EICAR-Auffassung im Bereich Datenschutz und habe es Anfang Oktober dieses Jahres als erster Hersteller geschafft, seine Produkte nach diesem Standard zu zertifizieren. Aktuell besteht eine Zertifizierung für die hauseigenen Lösungen „OfficeScan“, „Deep Security“ und „Deep Discovery“.

Der „EICAR-Mindeststandard für Anti-Malware-Produkte“ ist hier in deutscher und englischer Sprache abrufbar.