QSC bietet ausgezeichnete „Managed Security Services“

Experton_Logo_300

Auszeichnung für QSC: Die Security-Angebote für deutsche Unternehmen nahm die Experton Group unter die Lupe. QSC erhielt von dem Beratungshaus in zwei Kategorien Auszeichnungen: bei den „Managed Security Services“ die Bestnote „Security Leader Germany“ und im Bereich „E-Mail/Web/Collaboration Security“ gemeinsam mit FTAPI die Einstufung als „Product Challenger“.

Die Experton Group hat in ihrem aktuellen „Security Vendor Benchmark 2016“ die QSC AG in der Kategorie „Managed Security Services“ (MSS) als „Security Leader“ ausgezeichnet – und dies bereits zum zweiten Mal in Folge. Grund genug, Dirk Kappich zu befragen: Als Leiter des „Competence Center Security“ bei QSC verantwortet er die technische Umsetzung aller Sicherheitsmaßnahmen für Kunden.

Details über den „Security Vendor Benchmark 2016″ und die Auszeichnungen für QSC siehe unten.

Herr Kappich, „Security Leader“ bedeutet, dass QSC zu den besten Anbietern zählt. Wie hebt sich das Portfolio der „Managed Security Services“ von QSC vom Wettbewerb ab?

Dirk Kappich: Tatsächlich zählt QSC laut Experton bei den „Managed Security Services“ zu den 13 besten Anbietern in Deutschland. Im Vergleich zum Vorjahr – damals wurden wir erstmals als „Security Leader“ ausgezeichnet – haben wir uns in der Experton-Bewertung sogar noch verbessert.

Die Tester von Experton heben hervor, dass die End-to-End-Verantwortung hier eine große Rolle spielt: QSC kann als Netzbetreiber und Betreiber eigener Rechenzentren Schutz auf der ganzen Linie bieten – vom Data Center bis hin zum Arbeitsplatz des Kunden.

Welche „Managed Security Services“ bietet denn die QSC AG im Einzelnen an?

Dirk Kappich: Ob Firewall, Verschlüsselung oder Spam-Filter: Wir bieten das ganze Spektrum an Lösungen an, die der Sicherheit der Unternehmensdaten und -kommunikation unserer Kunden dienen. Unsere Kunden erhalten auf Wunsch von uns Komplettschutz, der alle wichtigen Komponenten enthält:

  • Firewalls bieten einen Basisschutz und reglementieren, von wo und wohin eine Verbindung aufgebaut werden darf.
  • Unsere betreuten Mail-Gateways stellen die zentrale Schnittstelle dar für E-Mails aus und in das Internet. Sie verhindern, dass Spam-Mails und Viren in die Systeme unserer Kunden eindringen.
  • Wir bieten Sicherheits-Lösungen für solche Kunden an, die Home-Office-Arbeitsplätze in ihre IT-Landschaft einbinden.
  • Auch halten wir Proxy-Systeme vor, die prüfen, welche Internetseiten schädliche Inhalte beherbergen und feststellen, ob Seiten im Einklang mit den Unternehmensrichtlinien stehen. Ist das nicht der Fall, blockieren sie solche Seiten.
  • Zu den weiteren Basisdiensten, die wir anbieten, zählen unter anderem Loadbalancer, Reverse Proxy und Web Application Firewalls, Intrusion Detection und Prevention, Mobile Device Management, E-Mail-Verschlüsselung, PKI Management, 2-Faktor-Authentisierung, Client-Verschlüsselung, Identity Management.

Wir setzen dabei die Hard- und Software namhafter Hersteller ein und „veredeln“ sie. Unsere Kunden kaufen bei uns die entsprechenden Serviceleistungen ein: Um Server und Lizenzen – und natürlich um den Betrieb – kümmern wir uns.

Den Großteil unserer „Managed Security Services“ bieten wir im Rahmen größerer IT-Outsourcing-Projekte an. Daneben haben wir für den Indirekten Vertrieb im TK-Geschäft auch Security-Produkt-Pakete geschnürt, die über unsere Vertriebspartner verkauft werden.

Bei unseren IT-Outsourcing-Projekten stellen die Security-Services einen festen Bestandteil der Leistung dar. Für unsere Cloud- und TK-Kunden gibt es entsprechende Lösungen, die dazugebucht werden können.

Welche Vorteile bietet es, Sicherheitslösungen als „Managed Services“ zu buchen?

Dirk Kappich: Die Kunden können sich auf ihre Kernkompetenzen konzentrieren, wenn sie die externe IT-Security Fachleuten überlassen.

Außerdem haben wir gerade im IT-Security-Umfeld Fachkräftemangel. Was, wenn ein Kunde vor der Entscheidung steht, im Rahmen des Lifecycles neue Produkte einführen zu müssen, ihm dafür aber kein Fachmann zur Verfügung steht? In diesem Fall kann er darüber nachdenken, dies an einen Dienstleister wie uns abzugeben.

Wenn es auch nicht in jedem Fall günstiger ist: Bei uns können sich die Kunden auf eine gleichbleibend hohe Qualität verlassen. Wir haben in unserem Bereich einfach viel mehr Routine und Erfahrung als eine normale, interne IT-Abteilung. Außerdem werden wir häufig von Dritten für unsere Kunden auditiert – und verbessern uns dadurch fortlaufend.

Auch wenn Sicherheitsfachleute wie wir manchmal als „Verhinderer“ wahrgenommen werden – sorry, das ist unser Job: Die Leistungen unseres Teams werden von Kunden immer wieder lobend erwähnt. Allerdings scheuen wir für sie auch keine Mühe. Dabei ist es uns stets wichtig, unseren meist mittelständischen Kunden auf Augenhöhe zu begegnen.

Welche Schutzmaßnahmen sind für Unternehmen am wichtigsten und was bietet QSC an?

Dirk Kappich: Eine wesentliche Rolle spielt ein Informations-Sicherheits-Management-System (ISMS), das konkret für jedes Unternehmen aufgesetzt wird. Es beschreibt die möglichen Sicherheitsrisiken und die notwendigen Maßnahmen dagegen. Dabei orientiert man sich an standardisierten IT-Sicherheitsleitlinien, beispielsweise an der international gültigen ISO27001. QSC selbst ist für ISO27001:2013 zertifiziert.

Welche Sicherheitsmaßnahmen dann konkret umgesetzt werden, ergibt sich zum einen aus den Mindestanforderungen, die in diesen Leitlinien definiert sind. Zum anderen wünschen sich Kunden häufig zusätzliche Schutzmaßnahmen.

Wir sorgen selbstverständlich für eine maximal mögliche Verfügbarkeit und Ausfallsicherheit der IT-Landschaft: Je nach Kundenanforderung bauen wir dafür die Systeme redundant über zwei Brandabschnitte oder verteilt auf zwei Standorte auf. Für richtig große Lösungen können wir sogar noch mehr Standorte anbieten.

Unsere vorgeschalteten Hotlines sind für Keyuser bis zu 24-mal-7 – also rund um die Uhr – geschaltet. Je nach Anforderung bauen wir Systeme – beispielsweise bei Firewalls – logisch getrennt auf, das heißt auf gleicher Physik oder sogar dediziert für die Kunden.

Wir betreiben die Systeme entweder am Standort des Kunden oder in einem der QSC-eigenen TÜV-zertifizierten Rechenzentren in Deutschland. Auch bieten wir Cloud-Systeme als Alternative zu herkömmlich dediziert aufgebauten Lösungen an – beispielsweise in den Bereichen E-Mail oder bei Web-Security.

Eins noch: „Distributed Denial of Service“-Angriffe sind leider immer mehr ein Thema, mit dem wir uns ebenfalls beschäftigen. Gerade Kunden, die vom Funktionieren ihrer Online/Web-Services direkt abhängig sind, sollten hier in Schutzmaßnahmen investieren.

Wofür genau ist das „Competence Center Security“ zuständig, das Sie leiten?

Dirk Kappich: Das „Competence Center Security“ ist ein Team mit 17 Mitarbeitern, die  diverse herstellertypische Zertifizierungen nachweisen können – Checkpoint, Fortinet, Cisco und viele weitere. Wir designen und betreiben viele der oben genannten Systeme für uns und unsere Kunden.

Dabei stehen wir in regem Kontakt mit etlichen anderen QSC-Teams. Sehr eng arbeiten wir mit den Kollegen zusammen, die Weitverkehrsnetzwerke sowie lokale Netzwerke (Switche, Router und WLAN-Systeme) designen und betreiben. Aus dem Bereich Serverbetrieb beziehen wir Vorleistungen. Und natürlich kooperieren wir eng mit unserer Informationssicherheit um Christian Ebert.

Ein Punkt ist mir persönlich sehr wichtig: eine gute Ausbildung unserer dualen Studierenden und Auszubildenden. Für sie halten wir eine Labor-Umgebung mit ausgemusterten Systemen bereit, damit sie zuerst ein wenig „spielen“ können, bevor sie unter unserer Aufsicht dann auf die Kundeninfrastrukturen gelassen werden. So arbeiten wir selbst gegen den Fachkräftemangel in unserem Bereich an.

Dirk_Kappich

Zur Person:

Dirk Kappich (Jg. 1980) hat eine Ausbildung zum Fachinformatiker Systemintegration bei der EOS IT Services GmbH und berufsbegleitend ein Fernstudium der Wirtschaftsinformatik (FH) absolviert. Im Jahr 2008 wechselte er von EOS zur INFO AG, wo er zunächst als Security Administrator tätig war. Im März 2012 wurde er – nach der Verschmelzung der INFO AG mit QSC – zum Leiter des „Competence Center Security“ der QSC AG. Dirk Kappich wohnt mit seiner Frau und seinem Sohn in Pinneberg bei Hamburg. Seine Freizeit verbringt er gerne mit seiner Familie. Er begeistert sich für Heimnetzwerk und Heimkino, Gesellschaftsspiele, sein Haus und den Garten.

 

 

Experton-Studie: „Security Vendor Benchmark 2016“

QSC punktet zweimal: bei „Managed Security Services“ und bei sicherer E-Mail-Kommunikation

Die Experton Group hat in ihrem gerade veröffentlichten „Security Vendor Benchmark 2016“ die QSC AG in der Kategorie „Managed Security Services“ als „Security Leader“ ausgezeichnet. In der Kategorie „E-Mail/Web/Collaboration Security“ sieht Experton das Unternehmen zusammen mit seiner Münchner Tochter FTAPI als „Product Challenger“.

Security Leader

„Als Netzbetreiber kann QSC End-to-End-Verantwortung anbieten, vom Data Center bis zum Kunden, was sich positiv auf die Beurteilung der Wettbewerbsstärke auswirkt. QSC ist zudem in der Lage, eine umfangreiche Palette an Managed Security Services anzubieten, auch Identity & Access Management ist nun möglich“, heißt es dazu in der nun veröffentlichten Studie.

Insgesamt wurden in der Kategorie der Managed Security Services 21 Anbieter als relevant für den deutschen Markt eingestuft. Schon vor einem Jahr erhielt QSC von Experton in dieser Kategorie die Auszeichnung „Security Leader“.

Siehe dazu auch das Interview mit Dirk Kappich (oben).

Experton_Group_MSS_rot_600

„Security-Leader“ bei „Managed Security Services“: QSC schaffte es im Koordinatensystem aus Portfolio-Attraktivität (y-Achse) und Wettbewerbsstärke (x-Achse) in den begehrten Quadranten rechts oben – unter die Top-Anbieter in dieser Kategorie. Quelle: Experton Group/Security Vendor Benchmark 2016. Zum Vergrößern bitte Grafik anklicken.

Product Challenger

Für die Kategorie „E-Mail/Web/Collaboration Security“ nahm Experton rund 40 Anbieter genauer unter die Lupe. In die Bewertungskriterien flossen unter anderem Verschlüsselungsmöglichkeiten, aber auch ein leistungsfähiger Vertriebs-Channel mit ein.

Wie im „Security Vendor Benchmark“ des vergangenen Jahres stufte Experton die QSC AG wieder in die Gruppe der „Product Challenger“ ein. In dem Studienbericht heißt es:

„Die FTAPI-Lösung bietet eine sichere Übertragung und Speicherung von Daten. Die End-to-End-Verschlüsselung macht dieses Angebot sehr attraktiv für Anwenderunternehmen wie auch der Betrieb der SaaS-Lösung in deutschen Rechenzentren.“

Explizit bescheinigen die Marktforscher von Experton dieser Lösung eine hohe Markt-Attraktivität, die sich auch durch die Kooperation mit Vodafone widerspiegele: „Vodafone, immerhin in einigen Marktsegmenten ein Wettbewerber von QSC, entschied sich für die E-Mail-Verschlüsselungs-Lösung von FTAPI, was eine weitere Bestätigung für die Attraktivität dieses Produkts ist“, so Experton weiter.

Am 1. Dezember verkündete Vodafone den Start ihres Business Produktes „Secure E-Mail“ basierend auf der FTAPI-Technologie. Das als „Freemium“-Angebot konzipierte Produkt ermöglicht den einfachen und sicheren Versand von E-Mails via Webbrowser, Smartphone-App oder direkt aus Outlook heraus.

 

Experton_Group_E_Mail_Security_rot_600

„Product Challenger“ bei „E-Mail/Web Collaboration Security“: QSC-Tochterfirma FTAPI bietet einen bewährten Service zur Daten-Verschlüsselung an – und spielt daher in diesem Markt mit. Es fehle, so Experton, allerdings noch an Wettbewerbsstärke. Quelle: Experton Group/Security Vendor Benchmark 2016. Zum Vergrößern bitte Grafik anklicken.

 

Weitere Informationen:

 

Drucken
  • Avatar
    Markus M. sagt:

    Da sieht man sehr schön, wie realistisch solche Auszeichnungen sind. Noch immer sind die Webserver der QSC (sowohl qsc.de als auch blog.qsc.de) anfällig für DROWN. Alleine die Tatsache, dass die Webserver der QSC auch vor Bekanntwerden von DROWN noch SSLv2 unterstützt haben, spricht Bände.

    Und jetzt kommt bitte nicht mit dem Spruch vom Schuster und den eigenen Schuhen…

  • Avatar
    Markus M. sagt:

    Sehr geehrter Herr Knake,

    das sehen diese beiden Test hier anders:
    https://www.ssllabs.com/ssltest/analyze.html?viaform=on&d=qsc.de
    https://test.drownattack.com/?site=qsc.de

    Mit freundlichen Grüßen
    Markus M.

    • Christian Ebert
      Christian Ebert sagt:

      Sehr geehrter Herr M.,

      vielen Dank für Ihren Hinweis.

      Wenn man den SSLLabs Report genau liest, findet man folgende Informationen

      Das bezieht sich auf den Server (wonach Sie die Anfrage gestellt haben): qsc.de, der auch unter http://www.qsc.de erreichbar ist.

      Protocols
      TLS 1.2 Yes
      TLS 1.1 Yes
      TLS 1.0 Yes
      SSL 3 No
      SSL 2 No

      Wie Sie sehen, sind SSLv2 und SSLv3 nicht aktiv, also auch nicht per Drown angreifbar.

      Ganz unten im Report sehen Sie den Grund für das schlechte Rating:

      DROWN (experimental)
      IP Address Port Export Special Status
      213.148.129.14 25 Yes Yes Vulnerable (same hostname with SSL v2)

      Das ist ein ganz anderer Server, weder qsc.de noch http://www.qsc.de noch blog.qsc.de. Es handelt sich um einen Mailserver, der bei SMTP over TLS auch SSLv2 und SSLv3 anbietet. Sie sehen an der Portnummer 25, dass es hier um SMTP geht und nicht um HTTPS. Der Grund, warum dieser Server SSLv2 und SSLv3 anbietet, ist historisch bedingt: Vor der Drown-Attacke war es best Practice, beim opportunistic SMTP over TLS auch die schwächeren Verschlüsselungen anzubieten, da diese besser sind als keine Verschlüsselung. Das hat sich mit Drown geändert, und wir sind dabei, auf allen Systemen die SSLv2 Unterstützung zu deaktivieren.

      MfG
      Christian Ebert

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.