Olympus Europa Holding GmbH hält die IT-Infrastruktur mit Qualys regelkonform und sicher

Ein Unternehmen wie die Olympus Europa Holding GmbH kann die Sicherheitsvorgaben für seine IT-Infrastruktur nur dann effizient überwachen, wenn die Prüfmechanismen hochgradig automatisiert und in den Unternehmens-Workflow eingebunden sind. Mit der Qualys Suite hat das Unternehmen zentrale Überwachungsprozesse etabliert, welche auch die Datenbasis für die Kommunikation mit der Geschäftsleitung bilden.

Olympus wurde 1919 unter dem Namen Takachiho Seisakusho in Japan gegründet und ist einer der weltweit führenden Hersteller von optischen Produkten. 1949 wurde das Unternehmen in Olympus Optical Co, Ltd umbenannt. Das Produktspektrum umfasst neben den digitalen Kameras für den Consumermarkt vor allem Mikroskope und Endoskope für medizinische und industrielle Anwendungen.

"Qualys ist die zentrale Basis zur Kommunikation mit der Geschäftsleitung."

Matthias-Marc Gsuck,
IT Audit Manager IT Security,
Olympus Europa

Die 47 europäischen Tochtergesellschaften von Olympus sind in der Olympus Europa Holding GmbH mit Sitz in Hamburg zusammengefasst. Die Holding bietet den Tochtergesellschaften umfangreiche Services in den Bereichen Finanzen, Personalwesen, IT, Logistik, Marketing und Unternehmenskommunikation. Neben der Corporate Division zählen die Consumer Product Division und die Medical Systems and Micro-Imaging Solutions Group zur Olympus Europa Holding.

Die Olympus Europa Holding GmbH beschäftigt 4.700 Mitarbeiter. Der Umsatz lag im Geschäftsjahr 2009/10 bei 1.383,712 Millionen Euro.

Die IT-Infrastruktur basiert auf Windows Servern und Clients sowie verschiedenen Hostsystemen (Datenbanken und Citrix-Terminal-Systemen). Im Netzwerkbereich setzt Olympus Europa auf Cisco. Das Unternehmen orientiert sich an den Vorgaben des Standards 27001 für Informationssicherheitsmanagement (ISMS) und ist gemäß Standard zertifiziert.

Automatisierung der Scans war unausweichlich

Besonders sensible IT-Bereiche im Intranet und Extranet, E-Commerce und CRM wurden schon immer regelmäßig auf Schwachstellen untersucht. „Wir haben hier am Standort Hamburg ein Prüfungsschema aufgebaut, das den Anforderungen von Sarbanes-Oxley (SOX) beziehungsweise seiner japanischen Ausprägung JSOX sowie den COSO- und CObIT-Frameworks genügt“, sagt Matthias-Marc Gsuck, IT Audit Manager IT Security bei Olympus Europa.

Ursprünglich ging man dabei manuell vor und verwendete beispielsweise Nessus und andere Opensource-Systeme. Die Ergebnisse waren durchaus gut, allerdings stieß man angesichts der umfangreichen IT-Infrastruktur bei der manuellen Handhabung schnell an Grenzen. Eigenständige Systeme für die Durchführung der Prüfungen waren zwar vorhanden, aber sie hätten ständig aktualisiert werden müssen. “Bei diesen Aktualisierungen mussten wegen der Orientierung der Prüfungsschemata an den geschäftlichen Abläufen zudem ständig die entsprechenden Fachabteilungen einbezogen werden. Das war ein immenser Arbeitsaufwand, so dass eine Automatisierung des Scan-Prozesses unausweichlich war”, so Matthias-Marc Gsuck.

Auch die Clients werden künftig auf Regelkonformität geprüft

Die IT-Verantwortlichen bei Olympus Europa suchten deshalb eine Scan-Lösung, mit der die Schwachstellenanalyse über alle IT-Bereiche hinweg vereinheitlicht und zentral gesteuert werden kann. Es sollten keinerlei lokale Installationen an den jeweiligen Rechnern und Geräten notwendig sein.

Die Qualys Suite mit ihrem Software-as-a-Service-Ansatz (SaaS) war deshalb für Olympus Europa genau die richtige Lösung. Nach einer längeren Testphase wird mittlerweile das Modul Qualys Vulnerability Management (VM) im Produktivbetrieb eingesetzt. Die beiden Module Policy Compliance und Web Application Scan von Qualys sind im Pilotbetrieb.

Durch das SaaS-Konzept kann die Schwachstellenanalyse in den verschiedenen Unternehmenseinheiten von Olympus Europa einheitlich genutzt werden, wobei sich die Scan-Parameter an die Notwendigkeiten der jeweiligen Aufgabe individuell anpassen lassen, ohne dass vor Ort Software oder Hardware installiert werden müssen.

Mit Qualys wurde der gesamte Workflow bei Olympus Europa automatisiert. „Patchprozesse im Stil der Feuerwehr eignen sich nicht für den Grad von Sicherheit, wie wir ihn benötigen“, sagt Matthias-Marc Gsuck, deshalb würden in Zukunft nicht nur die oben erwähnten exponierten Systeme automatisiert gescannt, sondern mit Modulen wie Policy Compliance vor allem auch die Clients.

Regulatorische Anforderungen werden durch Qualys gut abgedeckt

Die Qualys Scan Engine erhält laut Gsuck nicht zuletzt dadurch einen großen Mehrwert, dass durch sie auch die regulatorischen Anforderungen abgedeckt werden können. Die Anforderungen sind in den Workflow und das Ticketing-System eingebunden. „Wir haben mit einem Testaccount von Qualys angefangen und haben diesen immer noch - für Testzwecke. Mittlerweile aber auch eine auf IP-Adressen basierende Lizenz von Qualys”, erzählt Matthias-Marc Gsuck aus der Historie. Derzeit scannt man bei Olympus Europa rund 2000 IP-Adressen, will die Lösung aber auf allen Kernsystemen einsetzen. In den nächsten Jahren könnten laut Gsuck rund 6000 Systeme (Server, Clients und Netzkomponenten) dazukommen. „Qualys passt bezüglich der Prozesse und der Zuordnung der Systeme wie der Deckel auf den dazugehörigen Topf“, lobt der IT Audit-Verantwortliche und fährt fort: „Pro Host wird ein Systemeigner definiert und diese Information automatisch in das Ticketing-System übertragen, sodass alles transparent und nachvollziehbar und die jeweilige Verantwortlichkeit richtig zugewiesen ist.“ Damit können die Anforderungen von SOX ebenso nachgehalten werden wie die internen Kontrollsysteme, die bei Olympus gelten.

Wichtig bei der Entscheidung für Qualys war auch, dass Qualys eine gut handhabbare Anwendungsprogrammierschnittstelle (API) liefert, sodass die Ergebnisse der Schwachstellenanalyse gut in Systemmanagement- und Helpdesksysteme zu integrieren sind. „Unsere diesbezüglichen Systeme werden in den nächsten Jahren konsolidiert werden, der Schwachstellen-Scan sollte aber keine Vorentscheidung für ein bestimmtes Managementsystem mit sich bringen, wir wollten da ganz frei bleiben“, erläutert Gsuck.

Saas-Ansatz birgt immense Vorteile

Manche Unternehmen zeigen immer noch eine gewisse Reserve gegenüber SaaS-Lösungen im Security-Bereich, weil interne Daten in die Obhut eines externen Dienstleisters gegeben werden. Mattias-Marc Gsuck kann diese Bedenken nachvollziehen, teilt sie aber in diesem Fall nicht. Schließlich würden die Daten der Schwachstellenanalyse in der Datenbank von Qualys verschlüsselt und mandantensicher gespeichert. Vor allem sieht er aber die immensen Vorteile. Beispielsweise kann Qualys VM durch ausgereifte Korrelationsmechanismen eine Gewichtung von erkannten Schwachstellen festlegen.

Unschätzbare Vorteile bringt der SaaS-Ansatz dadurch, dass einerseits die Anforderungen einzelner Unternehmensteile schnell umgesetzt werden können und andererseits der Scan-Prozess zentral gesteuert werden kann, sowie ein zentrales Berichtswesen möglich ist. „Für mich ist die Qualys-Plattform gleichzeitig die zentrale Datenbasis für die Kommunikation mit dem Management. Die Berichte enthalten die wesentlichen Punkte, sind übersichtlich und stärken auf diese Weise das Engagement der Geschäftsführung für Fragen der IT-Sicherheit“, sagt der IT Audit-Verantwortliche bei Olympus Europa.