Häufig gestaltet sich die Analyse von Sicherheitslücken oder Konfigurationsfehlern schwieriger, als zunächst erwartet. Vor dem Einsatz komplexerer Umgebungen wie Nessus oder Metasploit beispielsweise haben viele IT-Verantwortliche einen gewissen Respekt. Qualys möchte dies mit seiner "Cloud Platform" ändern und Administratoren die Möglichkeit geben, Sicherheitsprüfungen durchzuführen, ohne sich mit zu vielen Details auseinandersetzen zu müssen.
Auf der Homepage bietet Qualys eine Vielzahl von Produkten in unterschiedlichen Editionen an, auch als Testversionen. Für unseren Test wählten wir das "Vulnerability Management" für kleinere Unternehmen in der "Express Lite Edition". Die Editionen unterscheiden sich in der Anzahl von maximal zulässigen IP-Adressen, Anzahl von Benutzern und Scannern und der Anzahl der Prüfungen für verschiedene Web-Applikationen. Die von uns betrachtete Express-Lite-Variante erlaubt zwei Scanner und maximal drei unterschiedliche administrative Benutzer. In der Testvariante ist zudem nur ein einziger Scanner zulässig, dazu später mehr.
Nach Eingabe einiger persönlicher Daten erhielten wir die Zugangsdaten für den Online-Zugriff auf die Plattform. Der Anmeldename wurde vom Hersteller vorgegeben, das Passwort in einer zweiten E-Mail versandt. Im Zuge der ersten Anmeldung mussten wir das vorgegebene Passwort durch ein eigenes Kennwort ersetzen – dies war aber erst möglich, nachdem wir die 12-seitige Endbenutzervereinbarung bestätigt hatten. Ohne auf die Details näher eingehen zu wollen: Der Benutzer verpflichtet sich, die im Zuge der Teststellung gewonnenen Informationen nicht produktiv zu nutzen. Das Wort "Privacy" kommt erst gar nicht vor. Spätestens am Folgetag erhält ein Interessent zudem einen Anruf von einem Qualys-Mitarbeiter, der seine Unterstützung anbietet und sich über den Stand der Dinge erkundigt.
Was uns nach der ersten Anmeldung sehr gut gefiel:
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.