»Die schmalen Budgets sind unsere schärfsten Mitbewerber«

Herr Michel, sehe ich das richtig: die Schwachstellen-Analyse von Qualys gibt es nur als komplette Dienstleistung? Oder kann man auch eine Software-Lizenz zum Eigeneinsatz erwerben?
Nein, nur ersteres. Das Leistungspaket von Qualys umfasst den Betrieb der kompletten Scan-Infrastruktur für die Kunden, so dass diese keinerlei Investitionen in Hardware oder Software tätigen müssen.

Sie bieten praktisch einen Webservice?
Ganz genau. Unsere Lösung arbeitet mit einem Webportal. Die Kunden benötigen lediglich einen Webbrowser. Dort gibt der Anwender ein, was er genau scannen will. Er kann auf diese Weise seine Netzwerk-Audits vollständig automatisieren und sich ganz auf die Ergebnisse konzentrieren.

Die Ergebnisse werden dann in Ihrem Rechenzentrum abgelegt? Der Kunde hat sie also erst mal nicht bei sich auf seinem System? Das werden nicht alle Unternehmen mögen.
Die Daten werden in unserem Rechenzentrum in Frankfurt am Main abgelegt. Es ist richtig, dass das bei unseren Gesprächen mit potenziellen Kunden immer wieder eine Rolle spielt. Die Daten gehen außer Haus. Aber einmal abgesehen davon, dass die Daten bei uns sicher, natürlich auch mandantensicher, gehandhabt werden, erhält der Kunde durch die externe Speicherung eigentlich nur Vorteile.

Die wären?
Wenn Sie eine revisionssichere Datenhaltung haben möchten, dann können Sie das eigentlich nur mit großem Aufwand im eigenen Haus machen. Irgendein Administrator wäre nämlich immer in der Lage, die Daten zu manipulieren. Wenn sie auf einem externen Datenbank-Server liegen und dazu noch verschlüsselt sind, ist das praktisch unmöglich.

Abgesehen davon, dass auch im eigenen Haus die gespeicherten Daten verschlüsselt werden können, stelle ich mir die Frage, warum ein Administrator Daten manipulieren wollen sollte?
In der Regel besteht da keine Gefahr, da gebe ich Ihnen Recht. Aber trotzdem sind Versuchungen denkbar. In der IT-Sicherheit muss immer das oberste Prinzip sein, niemandem voll zu vertrauen. Stellen Sie sich nur vor, ein Administrator kommt mit Patch-Vorgängen in Zeitverzug und möchte das kaschieren. Da könnten er oder sie schon in Versuchung kommen, Daten zu manipulieren.

Ist eine Mietlösung wie die von Qualys grundsätzlich auch billiger als eine Kauflösung?
Eigentlich immer. Je größer der zu überwachende Netzbereich, desto günstiger ist Qualys.

Wieso eigentlich? Bei größeren Netzumgebungen müssten sich doch auch Hardware- und Software-Anschaffungen immer besser rentieren?
Meine Aussage bezog sich erst mal auf Qualys selbst. Bei wenigen IP-Adressen wird bei Qualys pro Scan lizenziert, für umfangreiche Netzbereiche wird dagegen normalerweise ein Preismodell benutzt, das sich auf die Anzahl der aktiven IP-Adressen bezieht, die der Kunde innerhalb eines Jahres so oft scannen kann wie er will.

Gut, aber noch einmal die Frage nach dem Vergleich mit Lösungen, die auf Software-Lizenzen aufbauen.
Auch da ist der Qualys-Service in der Regel deutlich billiger. Und zwar deshalb, weil große Netze normalerweise aus Sicherheitsgründen stark parzelliert sind. Sie finden da Netzgrenzen vor, über die Sie nicht hinwegscannen können. Deshalb benötigen Sie in diesen Fällen für jedes Netzsegment eine eigene Hardware und Software. Und das wird teuer. Nicht zu reden von der Management-Problematik. Ganz große Firmen können durchaus 300 und 400 Netzbereiche weltweit haben. Die müssen natürlich auch verwaltet und gewartet werden. Das geht auch in die Personalkosten.

Also ist ein Open-Source-Werkzeug wie Nessus keine Konkurrenz?
Nein, überhaupt nicht. Auch für Nessus benötigen Sie für jedes Teilnetz eine eigene Hardware und die Administratoren müssen sozusagen ständig um die Erde jetten, um die einzelnen Teilnetze zu scannen. Das ist umständlich, teuer und Sie bekommen überdies in einem Teilsegment immer nur einen Snapshot.

Wenn ich es recht verstehe, ist Qualys in erster Linie oder eigentlich ausschließlich ein Problemmelder. Die Schwachstelle wird gemeldet, danach müssen andere ran, beispielsweise um einen Patch aufzuspielen. Wäre da nicht ein leistungsfähiges System zur Einbruchs­prävention wirkungsvoller. Das ist doch Problemmelder und Problemlöser in einem.
Diese so genanten Intrusion Prevention Systeme sind ja trotz des Namens reaktiv. Aber generell ist der Ansatz nicht schlecht. Sie sind aber teuer, haben bei schnellen Netzen auch Performance-Probleme und es stellt sich bei großen Netzen sicher auch die Frage der Verwaltbarkeit. Ein Service wie Qualys ist eigentlich viel stärker präventionsorientiert als die Einbruchspräventions-Systeme. Und zusammen mit Partnern decken wir auch den Bereich Problemlösung ab, durch Patches oder provisorische Korrekturen.

Qualys kann die Angriffsmöglichkeiten von außen und innen einschränken?
Ja, durch vollautomatische Appliances, die den Sicherheitsstatus des internen Netzwerkes auditieren und damit die Beseitigung von kritischen Schwachstellen noch vor einem Angriff ermöglichen, kann man das Risiko von internen und externen Angriffen deutlich reduzieren. Damit lässt sich zum Beispiel auch feststellen, welche Geräte sich überhaupt im Netzwerk befinden und ob die Existenz beispielsweise WLAN-Routern bekannt ist. Gleichzeitig kann man dann auch die Einhaltung von Sicherheitsrichtlinien effizient überwachen. Sie sprachen eben an, dass Qualys auf vielen IT-Sicherheits-Sektoren mit Partnern arbeitet. Welche sind das?
Die kann ich sicher hier nicht alle aufzählen. Nur ein paar Beispiele: Remedy im Bereich Helpdesk, ArcSight im SIM-Umfeld, Skybox bei der Risiko-Simu­lation, Symantec im Umkreis des Störfall-Managements und Cisco bei der Netz-Zugangskontrolle.

Und welches sind die direkten Mit­bewerber? Ich weiß, Sie haben keine, aber ganz allein sind Sie sicher auch nicht.
Sagen wir so: Die schärfsten Konkurrenten sind eigentlich die eingeschränkten Budgets der Unternehmen und die immer noch nicht genügende Sensibilisierung vieler Firmen für die Wichtigkeit der permanenten Schwachstellen-Erkennung.