Unabhängige Studie beleuchtet Transparenz und Datenpraktiken in führenden Cybersecurity-Produkten

4. Dezember 2025

Die Wirtschaftskammer Tirol (WKO) hat in Zusammenarbeit mit MCI | The Entrepreneurial School® und AV-Comparatives den Bericht Transparency Review and Accountability in Cyber Security (TRACS) 2025 veröffentlicht, eine umfassende unabhängige Studie, in der untersucht wird, wie große Anbieter von Cybersicherheitslösungen ihre Datenpraktiken offenlegen, Compliance-Maßnahmen umsetzen und ihren Kunden Transparenz vermitteln. Der Bericht soll Unternehmen, öffentliche Einrichtungen und KMU dabei unterstützen, bei der Auswahl von Cybersicherheitslösungen fundierte, evidenzbasierte Entscheidungen zu treffen.

In der Studie werden 14 weit verbreitete Cybersicherheitsprodukte für Unternehmen bewertet. Sie kombiniert eine rechtliche Prüfung von Verträgen und öffentlich zugänglichen Anbieterinformationen mit einer technischen Bewertung des von den installierten Sicherheitslösungen erzeugten Netzwerkverkehrs.

Wichtigste Ergebnisse

Die Studie zeigt auf, wie die Anbieter Transparenz und Datenverarbeitungsrichtlinien kommunizieren. Alle Lösungen sind Closed-Source-Lösungen, und obwohl viele die Verwendung von Drittanbieter- oder Open-Source-Komponenten bestätigen, unterscheiden sich die Offenlegungen in Tiefe und Struktur. Eine kleine Anzahl von Anbietern betreibt Transparenzzentren, die ausgewählten Zielgruppen eine kontrollierte Einsicht in Quellcode und Dokumentation bieten.

Alle Anbieter bestätigen die Einhaltung der EU-DSGVO und die meisten die Einhaltung des US-amerikanischen CCPA. Keiner behauptet bisher die Einhaltung des bevorstehenden EU Cyber Resilience Act, was aufgrund der schrittweisen Einführung der Verordnung zu erwarten ist. Zertifizierungen nach ISO/IEC 27001 und SOC 2 Typ II werden häufig beobachtet, obwohl die Zertifizierungsumfänge variieren und oft eine genauere Untersuchung erfordern.

Was die Sicherheitslage betrifft, so bieten alle Anbieter Mechanismen zur Meldung von Schwachstellen an, und einige führen Bug-Bounty-Programme durch. Die Offenlegung von Sicherheitshinweisen, Details zur Reaktion auf Vorfälle und Prüfungsergebnisse ist jedoch uneinheitlich. Nur wenige Anbieter veröffentlichen Transparenzberichte über Datenanfragen von Strafverfolgungsbehörden.

Die technische Analyse ergab, dass alle bewerteten Produkte eine Kombination aus geräte-, netzwerk-, umgebungs- oder benutzerbezogenen Metadaten übertragen. Je nach Konfiguration übertragen einige Lösungen auch Benutzernamen, Hostnamen, installierte Anwendungen und Dateinamen oder Hashes. Bei einer begrenzten Anzahl von Produkten wurde beobachtet, dass sie unter bestimmten Bedingungen gutartige Dateiinhalte übermittelten. Alle Anbieter bieten Optionen zur Konfiguration von Telemetrie-, Datei-Übermittlungs- und Reputationsdiensten, wobei sich die Klarheit und Granularität dieser Einstellungen erheblich unterscheiden.

Auswirkungen für Organisationen

Die Ergebnisse unterstreichen die wachsende Bedeutung von Transparenz als wichtiges Beschaffungskriterium. Die Studie empfiehlt Unternehmen, Zertifizierungen und Konformitätsaussagen anhand offizieller Unterlagen und nicht anhand von Marketingaussagen zu überprüfen, SBOMs anzufordern, sofern verfügbar, Verpflichtungen zur Reaktion auf Vorfälle und Safe Harbor zu prüfen und Telemetrie-, Stichprobenübermittlungs- und Datenschutzeinstellungen vor dem Einsatz sorgfältig zu überprüfen.

Unternehmen, die in regulierten oder datenschutzsensiblen Umgebungen tätig sind, wird empfohlen, Offline-Fähigkeiten zu bestätigen, Richtlinien zur Datenaufbewahrung zu überprüfen und die Standorte von Datenzentren zu validieren, um die Einhaltung interner und gesetzlicher Vorschriften zu gewährleisten.

Aufruf zum Handeln

Unternehmen, die ihre Cybersicherheits-Governance, ihre Compliance-Position und ihr Anbieter-Risikomanagement verbessern wollen, sollten sich den vollständigen TRACS 2025-Bericht ansehen. Die vollständige Studie bietet detaillierte Einblicke, Datentabellen und anbieterspezifische Beobachtungen, die eine transparentere und fundiertere Entscheidungsfindung unterstützen können.

Lesen Sie den vollständigen Bericht mit allen Ergebnissen und Empfehlungen: https://www.wko.at/tirol/information-consulting/transparency-review-and-accountability-in-cyber-security-tra.pdf