Abonnieren Sie unseren NEWSLETTER

GSM: Vielleicht kurz zu Qualys und aktuellen Themen…

Jörg Vollmer: Ganz kurz zur Geschichte von Qualys: Qualys wurde 1999 in Frankreich gegründet. Ein französisch-amerikanischer Investor, Philippe Courtot, hat dann in das Unternehmen investiert und Qualys anschließend 2001 in die USA umgesiedelt. Seit 2002 sind wir weltweit vertreten. Qualys hat klassischerweise mit Schwachstellen-Scanning angefangen und war vor allem die erste Firma, die Schwachstellen-Scanning als Service angeboten hat. Dieser Service wurde von Tag 1 so entwickelt, dass wir Kunden und externe Infrastrukturen aus dem Internet heraus überprüfen konnten. Wir haben also damals Cloud-Services angeboten, als es den Begriff Cloud noch gar nicht gab. Unser ehemaliger CEO, als einer der Mitbegründer von Cloud, hat dazu beigetragen, dass wir als kleines Unternehmen und Start-up immer mehr gewachsen sind.
Wir haben dann kontinuierlich eine Plattform aufgebaut, anstatt nur einzelne Komponenten anzubieten. Es ging dann weiter mit Themen wie Compliance, Web Application Scanning und PCI-Scanning. In den letzten 20 Jahren hat sich die Plattform dementsprechend entwickelt und somit bieten wir heute eine gesamtheitliche Lösung, eine komplette Plattform für Compliance und, ganz wichtig, Risiko-Minimierung an. Der komplette Workflow, von der Entdeckung unbekannter Systeme, der Inventarisierung, über die Priorisierung und Kategorisierung wird abgebildet. Ein CISO möchte vor allem eins wissen: wo ist mein Risiko? Wenn ich über meine CVE-Daten beispielsweise 100 Millionen Schwachstellen finde und davon 75 % automatisch als hoch kritisch eingestuft werden, fehlt der konkrete Überblick. Es muss genauer kategorisiert werden, damit die wirklichen Risiken identifiziert und schnellstmöglich minimiert werden können. Und das sind eben die Prozesse, die wir auf unserer Plattform mit eingebunden haben. Es kann sein, dass es Schwachstellen gibt, die heute unkritisch sind, aber morgen kritisch werden, und da können wir z.B. direkt auf dem Dashboard anzeigen: es sind 50 Systeme dazugekommen, bitte aufpassen. Im Anschluss daran können wir direkt aus diesem Dashboard Patch-Prozesse entwickeln und die Systeme patchen. Patch-Management ist ein Service, den wir in den letzten zwei, drei Jahren, hinzugefügt haben.

GSM: Hilft das CISOs auch dabei, Kosten zu reduzieren?

Jörg Vollmer: Ja, auf jeden Fall, und zwar durch die Konsolidierung. Das ist der große Trend gerade. Wenn man sich die Statistiken anschaut, sieht man, dass es in großen Unternehmen, im Schnitt etwa vier dedizierte Security-Spezialisten gibt, die sich im Schnitt um 17 oder 18 Security-Tools kümmern müssen. Jetzt ist es einfach zu schauen: was habe ich im Einsatz und was brauche ich? Ich als Qualys-Kunde nutze im Moment zum Beispiel nur Schwachstellenmanagement, aber sehe, dass Qualys noch weitere Services anbietet, zum Beispiel auch EDR und Web Applications Scanning. Wieso nutze ich dann andere Tools, kann ich nicht alles konsolidieren? Bei uns ist es alles eine Plattform, mit immer denselben Daten, ohne Interfaces oder sonstigem, das ich noch implementieren muss. Dementsprechend kann ich dann agieren.

GSM: Ist das alles Cloud-basiert oder hat der Kunde die Wahl?

Jörg Vollmer: Der Kunde hat natürlich nach wie vor die Wahl, aber es ist gerade schon der primäre Ansatz und die Cloud ist generell der Trend. Es gibt immer noch Kunden, die sagen, dass sie ihre Daten bei sich haben wollen, aber viele Firmen, die vor drei, vier, fünf Jahren noch zögerlich waren, wenn es um die Cloud ging, sind inzwischen auch überzeugt. Aber die Diskussion über Datensouveränität haben wir natürlich immer wieder, auch wenn wir wenig persönliche Daten erfassen, sondern mehr mit Maschinen-Daten zu tun haben. Wichtig ist, bei unseren Cloud-Systeme kann man immer sagen, wo die Daten sind, da wir dedizierte Rechenzentren haben.

GSM: Thema Web Application Security: Was sind dabei die Herausforderungen?

Jörg Vollmer: Web Application Security ist seit mindestens 15 Jahren auch ein großer Bestandteil unseres Angebots. Man stellt fest, dass Web Applications einfach nicht gut gepflegt sind. Es ist nach wie vor so, dass 25 bis 30 Prozent der Schwachstellen reine Konfigurationsgeschichten sind. Die typischen Web Applications werden teilweise etwas stiefmütterlich behandelt und sind dementsprechend nicht so sicher, wie sie es eigentlich sein sollen.

GSM: Was schätzen die Kunden an Qualys am meisten?

Jörg Vollmer: Natürlich die Beständigkeit. Wir sind Marktführer und sind von Anfang auf dem Markt. Wir haben eine hundertprozentige Fokussierung auf den Servicegedanken. Alle die später kamen, haben mit einer Software angefangen und mussten diese erstmal portieren. Unser beständiges Team weltweit, also die Direct Line, die man zu uns haben kann. Die Technologie mit einer Plattform und der Fakt, dass wir wirklich permanent mit der Community arbeiten und viele Kunden in unsere Entwicklung einbinden, zum Beispiel in Advisory Boards.

GSM: Jetzt eine Frage, die mich persönlich interessiert. Siehst du eine Verbindung zwischen Konflikten in derWelt und Cyber-Sicherheit?

Jörg Vollmer: Überall, immer. Allein, wenn man die Situation in Osteuropa betrachtet, konnte man schon direkt, als die Konflikte damals losgingen, einen sehr starken Anstieg bei den Attacken, auch auf sensible Bereiche, beobachten. Ob man die Art der Angriffe klassifizieren kann, würde ich nicht behaupten, aber man erkennt schon einen generellen Trend und die Anzahl der Angriffe ist auf jeden Fall deutlich und schnell gestiegen.

GSM: Worüber sollte ich mir 2023 akut Gedanken machen? Was ist deine Empfehlung?

Jörg Vollmer: Brennend wichtig ist, dass ich wirklich hieb- und stichfeste Security-Programme habe. Zu denken, dass man sich einfach die besten Tools, die auf dem Markt sind, kaufen kann und dann ruhig schlafen gehen kann, funktioniert nicht mehr. Wichtig ist eine Kombination aus Tools, aus Spezialisten und Programmen, und, dass vom Top-Level bis zu den Mitarbeitern, alle eingebunden werden, um entsprechend die Awareness hochzuhalten und auch ein sehr hohes Level an Security einführen zu können bzw. halten zu können. Dazu noch eine Statistik. Etwa 80% der Unternehmen haben Security-Tools, haben alles, was man braucht, aber nur 20-25% davon haben tatsächlich ein echtes und durchgedachtes Security-Programm, das mit Leben erfüllt wird. Zu denken, dass ich sicher bin, wenn ich nur genug Tools einsetze ist auch eine wirkliche Schwachstelle.

GSM: Das heißt, das ganze Thema Security sollte auch in die Unternehmenskultur einfließen?

Jörg Vollmer: Genau. Es kommt auch immer mehr drauf an, dass ein CISOs direkt an den CEO angebunden sind, was schon eine uralte Forderung ist, aber es gibt immer noch Unternehmen, wo Security nur ein Teil der IT-Abteilung ist.