Wie Kaspersky mit einem Zürcher RZ das Vertrauen zurückgewinnen will

Warum verlegte Kaspersky Lab sein Rechenzentrum in die Schweiz?

Anton Shingarev: Als wir realisierten, dass die bisherige Location in Russland für viele Regulierungsbehörden, Stakeholder und Partner ein Problem oder zumindest eine Herausforderung war, begannen wir damit, Alternativen zu prüfen. Wir überlegten uns, wohin wir das RZ umsiedeln könnten und entschieden uns schliesslich für die Schweiz. Aus unserer Sicht eine naheliegende Entscheidung.

Wieso?

Die Schweiz legt schon seit Jahrhunderten grossen Wert darauf, ihre Neutralität zu wahren. Sie schmiedet weder politische Allianzen noch militärische Bande. Für ein Cybersecurity-Unternehmen gehört die Neutralität ebenfalls zu den Grundprinzipien. Wir sehen uns selbst ein wenig wie Ärzte: Wir helfen all denen, die unsere Dienste benötigen – unabhängig von deren Nationalität, Partei- oder sonstiger Zugehörigkeit. Und deswegen gingen wir mit unserem RZ in die Schweiz.

Was sprach sonst noch für die Schweiz?

Der Datenschutz ist hierzulande ein sehr wichtiges Thema. Dementsprechend hat die Schweiz auch starke Datenschutzgesetze. So ist es für die Strafverfolgungsbehörden beispielsweise fast unmöglich, einen Durchsuchungsbefehl zu erhalten, der einen Einblick in fremde Daten ermöglicht.

Warum haben Sie nicht ein eigenes RZ gebaut?

Das haben wir ja gemacht – einfach innerhalb eines Interxion-Rechenzentrums. Wir sind keine gigantische Internetfirma wie etwa Google. Entsprechend haben wir auch nicht die Notwendigkeit, eine eigene Einrichtung für mehrere Milliarden Franken aufzubauen. Zudem ist es auch nicht unsere Kernkompetenz. Wieso auch, wenn Anbieter wie Interxion schon die ganze Infrastruktur haben?

Warum entschieden Sie sich für Interxion und nicht für Equinix oder Green?

Da steckt kein grosses Geheimnis dahinter: Das war ein regulärer Beschaffungsprozess. Interxion hatte das beste Angebot, was Qualität, Location und Preis betraf. Laut unseren IT-Experten ist das Zürcher Interxion-RZ eines der Besten weltweit. Und unsere Anforderungen waren hoch – nicht nur an die Konnektivität. Dafür kosten die Leistungen von Interxion aber auch etwas.

Was war noch wichtig?

Eine der Herausforderungen war etwa die Sicherheit der Daten, die zwingend gewährleistet sein muss. Sowohl die Sicherheit der Daten als auch die der physischen Infrastruktur selbst. Denn wir sammeln und verarbeiten Proben schadhafter Dateien und Programme. Durch die Analyse dieser Proben können wir unsere Produkte und unsere Algorithmen verbessern. Dies erfordert jedoch auch entsprechende Einrichtungen.

Welche strategische Bedeutung nimmt die Schweiz durch das RZ für Kaspersky ein?

Zuvor war die Schweiz lediglich ein Land, in dem wir aktiv waren. Jetzt befindet sich aber eine unserer Schlüsselinfrastrukturen hier. Die Malware-Datenbank ist unser Wettbewerbsvorteil. Und genau den verlagern wir in die Schweiz. Das Zürcher RZ wird ganz Europa bedienen. Zu einem späteren Zeitpunkt werden wir das Einzugsgebiet vermutlich noch vergrössern. Eventuell kommen dann auch Asien oder Nordamerika dazu. Wir planen also, eine Weile in der Schweiz zu bleiben.

Kappen Sie mit dem Schritt in die Schweiz auch ein Stückweit die Verbindung zu Russland?

Es geht uns mehr darum, unsere Infrastruktur neu zu organisieren. Rein faktisch gesehen sind unsere Daten in Russland genauso sicher wie in der Schweiz. Doch es gab diese Bedenken der Regulierungsbehörden, Stakeholder und Partner. Aus meiner Sicht waren diese Bedenken zwar unbegründet, trotzdem bestanden sie ja ganz real und deshalb wollten wir sie respektieren.

Wie wird die Schweizer Wirtschaft von diesem Schritt profitieren?

Ich glaube, dass die Wirtschaft hier vor einem Boom steht. Die Schweiz gilt schon sehr lange als das Land, in dem viele ihr Geld anlegen. Das Schweizer Bankenwesen nahm schon im späten Mittelalter seine Anfänge. Nun könnte es aber auch zu dem Land werden, in dem man seine Daten speichert. Das Angebot ist reichhaltig. Was mir besonders gefiel, war die Möglichkeit, sich in einem RZ in einem ehemaligen Militärbunker einzumieten. Die Vorteile liegen auf der Hand: Weil das RZ tief im Berg ist, ist es dort stehts kühl und auch die physische Sicherheit ist da besonders hoch.

Warum haben Sie sich dann nicht in einen dieser Bunker eingemietet?

Ich fand die Idee grossartig! Aber diese RZ-Bunker findet man nicht in den grossen Städten. Das heisst, dass diese Einrichtungen nicht sehr gut erreichbar sind. Für uns war der Zugang jedoch eine der Prioritäten. Denn wir müssen die Infrastruktur verwalten und auch etwa Regulierungsbehörden für einen Besuch einladen können. Das war ein weiterer Grund, der für Interxion sprach: Deren RZ befindet sich nahe beim Flughafen Zürich.

Was bedeutet diese Verlagerung für die Nutzer?

Wenn ein Kunde eines unserer Produkte installiert, hat er die Option, bei unserer cloud-gestützten Sicherheitslösung Kaspersky Security Network mitzumachen. Stimmt der Nutzer zu, sendet er im Falle einer Infektion Malware-Proben in die Cloud. Er erhält aber auch einen schnelleren und effizienteren Schutz vor den neuesten Bedrohungen.

Ist das RZ schon voll einsatzbereit?

Das Ganze ist etwas komplizierter, als einen Knopf auf On zu stellen oder Hardware in ein Rack zu stellen. Das RZ soll später viele Funktionen übernehmen, darunter etwa Sandboxing und die automatisierten Algorithmen. Zudem laufen auch viele internen Dienstleistungen darüber. Wir müssen nun den Source Code teilweise neu schreiben und unsere Produkte neu entwickeln. Die einzelnen Funktionen werden nun nach und nach in die Schweiz umgeleitet. Spätestens ab dem vierten Quartal des laufenden Jahres wird das RZ aber voll einsatzbereit sein. Dann werden auch alle gesammelten Malware-Proben in die Schweiz geschickt, hier gespeichert und verarbeitet. Wer fähig genug ist, kann selbst prüfen, welche Dienste bereits mit der Schweiz verknüpft sind.

Bietet die Cloud auch neue Möglichkeiten für Schweizer Partner, etwa um Managed Security Services anzubieten?

Das ist eine gute Frage. Bisher hatte ich das RZ noch nicht als Geschäftsmöglichkeit gesehen. Wir werden das aber zunächst noch prüfen müssen.

Wird damit auch die Schweizer Niederlassung ­ausgebaut?

Wir wollten keine russischen Bürger in die Schweiz umsiedeln. Derzeit sind ein paar vor Ort, um das RZ aufzubauen. Aber sobald es läuft, läuft es auch fast vollständig automatisiert – wie das so üblich ist bei modernen RZs. Wir überlegen uns aber, bestimmte Schweizer Spezialisten hier zu stationieren. Diese würden sich um die tiefergehende Integration kümmern. Das Problem ist aber, dass Schweizer Löhne sehr hoch sind. Für den Lohn eines mittelmässig erfahrenen Spezialisten in der Schweiz kann ich in Russland wohl etwa fünf Top-Experten beschäftigen.

Sie sagten gerade, Sie wollten keine russischen Bürger in die Schweiz versetzen. Warum?

Bei den Anschuldigungen, mit denen wir uns derzeit auseinandersetzen müssen, geht es vor allem um Politik und Emotionen – nicht um Fakten. Ginge es um Fakten, könnte man etwas belegen und dann wären unsere Produkte weltweit verboten. So ist es aber nicht. Nur die USA sprachen ein Verbot aus. Aber sogar ihre engsten Verbündeten, wie etwa das Vereinigte Königreich, entschieden sich dagegen. Wir wollten das RZ in der Schweiz so unabhängig von Russland wie möglich machen. Deshalb ziehen wir es auch vor, Spezialisten aus der Schweiz zu engagieren.

Wie wollen Sie gegen dieses Verbot in den USA ­vorgehen?

Das Problem ist wie gesagt, dass es um Emotionen geht. Die Entscheidung der USA, unsere Produkte zu verbieten, war politisch motiviert. Daher ist es auch schwierig, mit Fakten dagegen vorzugehen. Unabhängige Prüfungen, das Bug-Bounty-Programm sowie ein Einblick in unseren Source Code überzeugten sie nicht. Damit das Verbot aufgehoben wird, müssen sich zuerst die politischen Verhältnisse zwischen den USA und Russland ändern. Aber das wird nicht von heute auf morgen passieren.

Wie reagieren andere Länder darauf?

Wenn wir mit europäischen Regulierungsbehörden reden, hören sie sich unsere Argumente an. In Deutschland, Frankreich, Italien und in der Schweiz herrscht daher eine sehr ausgewogene Haltung uns gegenüber. Pläne, unsere Produkte zu verbannen, gibt es nicht. Denn die Fakten sprechen gegen ein Verbot.

Zu diesem Zweck eröffneten Sie auch das Transparenz-Zentrum, ebenfalls in Zürich.

Stimmt. Als wir mit den Regulierungsbehörden über die Anschuldigungen sprachen, kristallisierten sich zwei Hauptgruppen von Problemen heraus. Einerseits die Sicherheit der Daten und der Datenschutz. Diese Fragen adressierten wir, indem wir das RZ in die Schweiz verlagerten. Andererseits wurde aber auch das Produkt selbst infrage gestellt: Gibt es ausnutzbare Schwachstellen oder gar Backdoors in unseren Lösungen? Um diese Bedenken zu adressieren, eröffneten wir im November das Zürcher Transparenz-Zentrum. Im April eröffneten wir ein weiteres Zentrum in Madrid.

Ist dieses einfach offen für Interessierte?

Jede Regulierungsbehörde auf der ganzen Welt kann uns eine Anfrage schicken und dann laden wir sie gerne ein, den Source Code zu prüfen. Wir demonstrieren auch gerne, wie die einzelnen Module funktionieren. Die Spezialisten der Regulierungsbehörden können den Code mit ihren eigenen Tools testen. Unsere Experten stehen für Fragen bereit.

Ist das Transparenz-Zentrum nur für Regulierungsbehörden, oder können auch interessierte Partner und Kunden davon Gebrauch machen?

Zunächst haben wir nur die Regulierungsbehörden eingeladen. Aber wenn es Partner und Kunden gibt, die sich dafür interessieren, dürfen sie gerne eine Anfrage schicken.

Besteht nicht das Risiko, dass jemand den Source Code stiehlt und nachbaut?

Wir geben den Source Code nicht einfach so heraus. So eine Prüfung ist aber durchaus kompliziert, daher wollen wir auch aus Sicherheits- und Unterstützungsgründen anwesend sein. Das Zentrum wird zudem mit Kameras überwacht. Und eine strikte Zugangsregulierung verhindert, dass Unberechtigte einfach hineinmarschieren und den Code kopieren.

Woher weiss man, dass der gezeigte Source Code echt ist?

Genau das fragten die Regulierungsbehörden auch. Die Antwort ist aber recht einfach. Wir haben im Transparenz-Zentrum auch die nötigen Compiler. Wer den Source Code prüft, kann auch den kompilierten Code prüfen und mit den im Handel erhält­lichen Produkten vergleichen. Die sind zwar nie 100 Prozent identisch. Jeder Experte weiss, dass während des Kompilierens gewisse Unterschiede auftreten. Wir können diese Unterschiede aber immer erklären. So beweisen wir, dass alles echt ist.

Zur Person: Anton Shingarev arbeitet seit Oktober 2012 beim russischen Sicherheitsanbieter Kaspersky Lab. Mittlerweile ist sein Aufgabenbereich sehr vielseitig geworden. Als Vice President for Public Affairs kümmert er sich unter anderem um die Beziehungen des Unternehmens zu den Regulierungsbehörden, politischen Akteuren sowie Organisationen wie die Vereinten Nationen oder Interpol. Zudem ist er als Head of CEO Office auch für alles verantwortlich, was den CEO und Gründer Eugene Kaspersky betrifft: von der ­Medienarbeit bis zu dessen Terminkalender. Vor fast zwei Jahren kam noch eine weitere Aufgabe dazu: Shingarev ist Evangelist für ein internes Start-up: Polys. Dieses entwickelt eine auf Blockchain basierende Voting-Lösung.