Sicherheit heißt Risiken erkennen

Die automatisierten Hacker

Ob eine Sicherheitslösung wirklich gut ist, findet man durch Tests heraus. Unsere letzte Tour ins Valley führt deshalb nach Redwood Shores zum Vulnerability-Assessment-Anbieter Qualys. Das Unternehmen bietet automatisierte Hacking-Versuche an, um die Netze auf Angriffsmöglichkeiten zu untersuchen, ohne Schaden anzurichten. Philippe Courtot, Chairman und CEO des Unternehmens, und Gerhard Eschelbeck, Vice President Engineering, erweisen sich schnell als charmante Gesprächspartner, die viel über die aktuelle Situation der Firmen im Silicon Valley zu erzählen haben (diesen Teil der Diskussion finden Sie als News-Beitrag auf Seite 12).

Bei Nokia (Reportage in Heft 12) hatten unsere Gastgeber Zweifel am Erfolg von Vulnerability-Assessment-Angeboten angemeldet: Die Netzwerkverantwortlichen würden sich ungern in Verlegenheit bringen lassen.

Dem widerspricht Courtot: "Die Unternehmen wissen längst, dass sie den Status ihrer Sicherheitseinrichtungen immer wieder prüfen müssen." Eschelbeck fügt hinzu: "Manche Unternehmen wissen nicht einmal, welche Systeme bei ihnen Internetzugang haben." Auf Vulnerability-Assessment zu verzichten und stattdessen ein Intrusion-Detection-System (IDS) einzusetzen, wie es manchmal empfohlen werde, sei unsinnig: "IDS erkennt Angriffe, die bereits stattfinden, aber mit uns finden Sie die Sicherheitslücken vorher", stellt Eschelbeck klar.

"Zu unseren wichtigsten Zielen gehört es allerdings auch, Sicherheitsbewusstsein zu schaffen", ergänzt Courtot. Im Web stellt das Unternehmen deshalb eine Anwendung zur Verfügung, die kostenlose Sicherheitsüberprüfungen beliebiger Internet-Browser durchführt. "Vulnerability Assessment für jedermann ist unsere Vision", bekräftigt Eschelbeck.

Einige Tage später beweist Qualys mit der Konferenz "Fortifying our Networks" in San Francisco, dass es tatsächlich ein wachsendes Interesse an Vulnerability Assessment gibt. Techniker des Unternehmens erklären etwa 150 Zuhörern ausführlich die Verfahren ihrer Auto-Hacks, und Anwender wie Derrick Donnelly, Security-Verantwortlicher bei Apple, sowie Analysten wie Allan Carey von IDC teilen ihre Erfahrungen und Ansichten zum Thema mit.

Dass die Unternehmen intensiv über die Dienste nachdenken, zeigen die Fragen nach dem Datenschutz: "Was geschieht mit den Informationen, die Qualys über die Verwundbarkeit einzelner Netze sammelt?", will man wissen. Der Anbieter beruhigt: Die Daten befänden sich zwar auf Qualys-Servern, seien aber nicht einmal den eigenen Mitarbeitern zugänglich, sondern nur mit den Schlüsseln der Anwender aufzurufen. Wer IT-Sicherheit will, muss immer irgendjemandem vertrauen.

Zur Person

Bettina Weßelmann

ist freie IT-Fachjournalistin und Fachbuchautorin in München.