Was Sie über das Thema Datensicherheit bei QSC wissen sollten
IT-Sicherheit wird derzeit überall heiß diskutiert. Hackerangriffe und Wirtschaftsspionage via Internet nehmen zu – und ebenso die Angst davor. Wie geht die QSC AG mit diesem Thema um, wie schützt sie die eigenen Daten und die ihrer Kunden? In zehn Fragen und Antworten geben wir darüber Auskunft.
Unbefugten Zugang in Rechenzentren zu verwehren ist nur eine Form der Sicherung. Die QSC setzt vielfältige Maßnahmen ein, um den Schutz der Daten zu gewährleisten.
1. Kann QSC 100-prozentige Sicherheit aller Kundendaten gewährleisten?
Nein. Absolute Sicherheit gegen Angriffe von Hackern gibt es nicht. Wer das verspricht, ist unseriös. Aber man kann es Angreifern maximal schwer machen. Hier setzt QSC alle verfügbaren Mittel ein.
2. Wie schützt QSC ihr Netz und ihre Server gegen Angriffe?
QSC führt regelmäßig systematische Kontrollen durch, um ungewöhnliches Verhalten aller Systemkomponenten sofort aufzudecken und Schwachstellen zu beseitigen. Dazu gehört unter anderem die Kontrolle sämtlicher Logfiles und Protokolle der Server. Darüber hinaus werden Systemkomponenten auch auf offene Ports und bekannt gewordene Schwachstellen untersucht, um eventuell unautorisierten Datenverkehr, wie er durch unerlaubtes Abgreifen entstehen würde, zeitnah zu enttarnen. Die Überwachung aller Systemkomponenten erfolgt rund um die Uhr 365 Tage im Jahr.
3. Komponenten welcher Hersteller setzt QSC in ihrem Backbone ein?
Die Netzkomponenten stammen sowohl von amerikanischen Herstellern (z.B. Cisco, Juniper), als auch vom chinesischen Hersteller Huawei. Bewusst werden nicht einseitig Komponenten von nur einem Hersteller eingesetzt, um eventuelle Schwachstellen lokal begrenzen zu können.
4. Sind meine Daten in deutschen Rechenzentren besser geschützt als im Ausland?
Die QSC AG betreibt ihre Rechenzentren ausschließlich in Deutschland. Da QSC auch keine Tochterunternehmen in den USA unterhält, unterliegt das Unternehmen nicht dem amerikanischen Patriot Act. Dieses 2001 verabschiedete Gesetz erlaubt es US-Behörden wie FBI, NSA oder CIA, jederzeit und ohne richterlichen Beschluss Zugriff auf die Server von US-Unternehmen oder Unternehmen mit US-Töchtern zu erlangen, auch wenn sich die Server nicht auf US-Staatsgebiet befinden. QSC ist davon als rein in Deutschland agierendes Unternehmen nicht betroffen.
QSC betreibt Rechenzentren ausschließlich in Deutschland. Hier ein Blick ins Rechenzentrum München.
5. Welche Standards erfüllen die Rechenzentren der QSC AG?
Die großen Rechenzentren der QSC AG in Hamburg, Nürnberg und München entsprechen modernsten Standards und und erfüllen damit strenge Anforderungen an die Funktionssicherheit, Verfügbarkeit, Informationssicherheit und Energieeffizienz. Sie sind sowohl TÜV-geprüft als auch ISO-zertifiziert.
Eine ISO-27001-Zertifizierung bescheinigt zudem die Implementierung ganzheitlicher Maßnahmen zur Informationssicherheit in diesen Rechenzentren.
Im Übrigen sorgen wir mit mehrstufigen Zugangskontrollen vor Ort und einer Rund-um-die-Uhr-Systemüberwachung sowohl physikalisch wie virtuell für höchste Sicherheit in allen unseren Rechenzentren.
6. Gibt QSC Daten auf Verlangen an Sicherheitsbehörden weiter?
QSC ist als Telekommunikationsanbieter aufgrund verschiedener gesetzlicher Vorschriften verpflichtet, Auskünfte über Nutzerdaten zu erteilen. Verkehrsdaten gibt QSC jedoch ausschließlich zweckgebunden zur Vermeidung oder Aufklärung von Straftaten, bei Gefahr im Verzug oder zur Abwehr von Gefahren für die öffentliche Sicherheit und Ordnung und nur aufgrund eines richterlichen Beschlusses weiter.
7. Haben deutsche Geheimdienste, wie z.B. der Verfassungsschutz, Zugriff auf das QSC-Netz?
Die QSC AG ist – wie jedes andere Telekommunikationsunternehmen mit mehr als 10.000 Teilnehmern in Deutschland auch – gesetzlich verpflichtet, Vorrichtungen im Sprach-Daten-Netz bereit zu halten die es deutschen Sicherheitsbehörden, also auch dem Bundesamt für Verfassungsschutz erlauben, gezielte Überwachungsmaßnahmen einzelner Anschlüsse bzw. Teilnehmer einzuleiten und zwar nur unter Einhaltung der gesetzlichen Regelungen, die in der Strafprozessordnung, dem Artikel 10-Gesetz, dem Zollfahndungsdienstgesetz sowie in Landesgesetzen verankert sind. Diese so genannte “Legal Interception“ ist und war bei „alten“ ISDN- und analogen Telefonanschlüssen nicht anders. Eine verdachtsunabhängige Überwachung ihrer Kunden wird von der QSC AG nicht unterstützt.
Sicherheitswand, Sichtschutz, Stacheldraht: Auch gegen physische Angriffe von außen sind die Rechenzentren der QSC AG gewappnet. Im Bild der Standort Nürnberg.
8. Wie sicher sind Firmennetzwerke (VPN) von QSC?
Bei Unternehmensvernetzungen setzt QSC grundsätzlich MPLS, das so genannte „Multi Protocol Label Switching“ ein. Dabei werden die jeweiligen Verbindungswege der Datenpakete im Vorfeld vom Carrier festgelegt. Das ermöglicht zum einen zusätzliche Qualitätsmerkmale bei der Datenübertragung und verhindert zum anderen, dass die Daten auf ihrem Weg durch das Firmennetzwerk über unbekannte Wege abgegriffen werden können.
Es werden also vorher exklusive Transportwege festgelegt. Bei einem selbstgebauten VPN ergibt sich dieser Mehrwert nicht, da der Datentransfer von Standort zu Standort über öffentliche Strukturen im Internet stattfindet und man keinen Einfluss auf die Wege nehmen kann.
Bei QSC sorgen netzbasierte Firewalls für zusätzliche Sicherheit gegen unerwünschte Angriffe von außen. Werden dann vom Kunden noch zusätzlich eigene Firewalls an den jeweiligen Standorten eingesetzt, erhört sich die Sicherheit entsprechend. Auf Kundenwunsch kann die Datenübertragung innerhalb des MPLS-VPN obendrein verschlüsselt werden.
9. Wie steht es um die Sicherheit der (Cloud-)Produkte von QSC?
Der Datenverkehr zwischen Kundengeräten und unseren Cloudservern wird standardmäßig verschlüsselt. Ein paar Beispiele: Bei QSC-tengo, einer virtuellen Arbeitsplatzlösung, und der Kollaborationsplattform cospace werden die Daten auf dem Transportweg mit einem 256-Bit-AES-Schlüssel gesichert, Zertifikate zur Nutzeridentifizierung bei QSC-tengo durch einen 2048-Bit-RSA-Key. Wer klassische E-Mail über QSC-Server nutzt, kann für einen sicheren Datentransport das TLS-Protokoll nutzen.
10. RSA, AES – Wie sicher sind diese Schlüssel auch vor Geheimdiensten?
Auch hier gilt der Grundsatz: 100-prozentige Sicherheit gibt es niemals. RSA und AES sind zunächst einmal unterschiedliche Verschlüsselungsmethoden. Aber bei beiden gilt: Jeder Schlüssel lässt sich mit genug Rechenkraft und vor allem dem Faktor Zeit irgendwann entschlüsseln. Jedoch: Die bei QSC verwendeten Schlüsselstärken zu überwinden, setzt einen extrem hohen technischen und zeitlichen Aufwand voraus, und sie dürften auch einer sehr guten Ausstattung lange Widerstand leisten. Eine genaue Zeitangabe, wie lange es dauern würde, wäre unseriös. Sollten die Geheimdienste Kenntnisse über Schwachstellen der Verschlüsselungsalgorithmen haben – bei AES und RSA sind derartige derzeit nicht bekannt – , so könnten sie die Dauer für die Entschlüsselung entsprechend verkürzen. Für „private“ Angreifer sind solche Verschlüsselungen jedoch praktisch unüberwindbar.