EQS Group

Die EQS Group ersetzt ihr VPN und modernisiert Zugriff und Bedrohungsabwehr mit Cloudflare

Die EQS Group ist ein in Deutschland ansässiger Anbieter im Bereich der Regulatorischen Technologie (RegTech), der Cloud-Software für Compliance, Datenschutz, Nachhaltigkeit und Investor Relations von Unternehmen entwickelt. Er wurde im Jahr 2000 gegründet. Seine mehr als 700 Mitarbeitenden und Auftragnehmer verteilen sich über Europa, Großbritannien, die USA und Asien.

Die Firma bietet SaaS-Lösungen für über 14.000 Unternehmen, darunter alle DAX40-Konzerne – die Top-Performer an der Frankfurter Börse, darunter Airbus, Allianz, Siemens und Volkswagen. Ihr Compliance-Angebot umfasst zwei Schlüsselprodukte: Compliance COCKPIT und EQS Integrity Line. Diese bieten in Kombination skalierbare, sichere Plattformen zur Verwaltung von Arbeitsabläufen mit Bezug zu Whistleblowing und der Bekämpfung von Bestechung und Korruption. Sie helfen Kunden dabei, gesetzliche Anforderungen zu erfüllen und Vertrauen bei den Stakeholdern zu schaffen.

Sichere Unterstützung von Expansion und Innovation auf dem internationalen Markt für Investor Relations und Compliance

Im Jahr 2024 wurde die EQS Group von der Beteiligungsgesellschaft Thomas Bravo übernommen. Damit wurde ein neues Kapitel ambitionierten Wachstums aufgeschlagen, was die Expansion in neue Weltregionen und Technologiekategorien und die Einführung hybrider Arbeit umfasste. Durch das schnelle Wachstum stieß jedoch die herkömmliche IT- und Sicherheitsarchitektur des Unternehmens an ihre Grenzen, unter anderem aufgrund von Ineffizienzen und der mit isolierten Einzellösungen wie dem bisher genutzten VPN verbundenen Risiken.

„Wir expandieren schnell, insbesondere in den USA. Die größte mit diesem Wachstum verbundene Herausforderung war, agil zu bleiben, während wir durch veraltete Technologie behindert wurden“, erklärt Marco Ermini, Chief Information Security Officer der EQS Group. „Es war an der Zeit, nicht nur unsere Technologie, sondern auch unsere Arbeitsweise zu modernisieren. Doch mit unser bisherigen Managed Service-Lösung war dies ein unmögliches Unterfangen.“

Deshalb entschied sich EQS, für zwei vorrangige Projekte die Dienste der Secure Access Service Edge (SASE)-Plattform von Cloudflare einzuführen:

• Ersetzen des bisherigen VPN durch einen modernen Zero Trust-Ansatz zur Vereinfachung der Skalierung und des Onboarding
• Modernisierung des Bedrohungsschutzes für E-Mail-Postfächer und das Internet

„Die Cloudflare-Plattform bestach durch ihre Einfachheit und Funktionalität“, erklärt Ermini. „Alle anderen von uns erprobten Lösungen waren komplizierter und erforderten zusätzliche Server oder eine VM – genau das, wovon wir uns lösen wollten. Nur mit Cloudflare klappte es sofort. Weder gab es Einschränkungen noch waren zusätzliche Implementierungen erforderlich.“

Ersetzen eines VPN durch Zero Trust Network Access (ZTNA)

Eines der wichtigsten Modernisierungsprojekte der EQS Group war der Ersatz des bisher genutzten VPN, das die Auslagerung des Supports an externe Partner erforderte und bei den Mitarbeitenden durch unzuverlässige Verbindungen für Verärgerung sorgte.

„Die Nutzung von VPN oder das Einrichten eines eigenen Netzwerks für jeden Arbeitsplatz war nicht machbar“, erläutert Ermini. „Wir wollten nicht mehr von externen Diensten abhängig sein.“

Stattdessen führte EQS den Zero Trust Network Access (ZTNA)-Service Cloudflare Access ein, um den Zugriff von Nutzern auf interne Anwendungen abzusichern. Cloudflare führt nun bei jeder Anfrage an spezifische Applikationen eine Überprüfung anhand von Identität und Gerätestatus gemäß bewährter Zero Trust-Praxis durch. Es hat sich gezeigt, dass dieser cloudnative Ansatz viel einfacher zu verwalten ist und eine bessere Performance bietet. Insgesamt konnte EQS innerhalb weniger Tage mit der Implementierung eines VPN-Ersatzes beginnen und schließlich binnen circa zehn Monaten das VPN für Hunderte von Nutzern abschaffen.

„Cloudflare bietet uns eine agilere Methode zur Verbindung unserer Mitarbeitenden mit Ressourcen, egal wo sie sich befinden – vor Ort, zu Hause, in einem Hotel in Indien oder in einem Café in Deutschland“, erklärt Ermini. „Jetzt verwalten unsere IT-Abteilungen Cloudflare intern. Wir brauchen weder regelmäßige Meetings zur Problembehebung, noch hängen wir beim Support in der Warteschleife, damit alles reibungslos läuft. Außerdem sind unsere Vertriebsmitarbeitenden, Entwicklungsabteilungen und Führungskräfte zufrieden, weil alles funktioniert – und zwar jedes Mal.“

Dieses Zero Trust-Konzept hat EQS als vertrauenswürdigem Compliance-Anbieter auch geholfen, hohe Sicherheitsstandards zu gewährleisten. Dank zentralisierter Zugriffskontrollen, automatisierter Richtlinienerstellung mittels Terraform und einer ausführlichen Protokollierung von Anfragen und Richtlinienverstößen haben sich das Sicherheitsniveau und die Verwaltungseffizienz von EQS erhöht.

ZTNA in Aktion: Onboarding neuer Mitarbeitender nach Übernahmen binnen Stunden statt Wochen

Bei der Übernahme der in den USA ansässigen Compliance- und Ethik-Geschäftsparte von OneTrust Ende 2024 hat EQS die Agilität des neuen Zero Trust-Ansatzes hervorgehoben.

Früher verbrachte man bei EQS Wochen damit, für die Einbindung neuer Mitarbeitender nach Akquisitionen VPN-Software bereitzustellen, zu konfigurieren und Fehler zu beheben. Jetzt werden Firmengeräte mit dem vorinstallierten Geräte-Client von Cloudflare bereitgestellt und Nutzern werden in Gruppen mit spezifischen, identitätsbasierten Zugriffsrechten für Anwendungen eingeordnet. Im Fall von OneTrust konnten die neuen Beschäftigten innerhalb weniger Stunden mit der Arbeit loslegen.

„Das Onboarding neuer Teams ist leicht. Cloudflare erspart uns Firewalls, VPN-Appliances und komplizierte Bereitstellungen“, so Ermini. „Unsere neuen Nutzer bekommen die Laptops ausgehändigt, melden sich mit ihrer Microsoft Entra-ID an und können sofort ganz reibungslos starten.“

Die Kompatibilität von Cloudflare mit verschiedenen Gerätetypen und Betriebssystemen erleichtert auch das Onboarding von Nutzern und die Unterstützung einer wachsenden, hybrid arbeitenden Belegschaft.

„Wir verwenden zu mehr als 50 Prozent Mac, deshalb ist es für uns sehr wichtig, dass mehrere Betriebssysteme unterstützt werden“, erklärt Ermini. „Die Mitglieder unseres Führungsteams sind begeistert davon, dass sie über Cloudflare sicher Informationen auf ihren iPads abrufen können.“

Wenn Auftragnehmer und andere externe Dienstleister mit nicht verwalteten Geräten auf bestimmte Anwendungen zugreifen müssen, isoliert EQS zudem ihren Zugriff häufig mit der Browserisolierung von Cloudflare. Dann wird der gesamte Browsercode im Netzwerk von Cloudflare ausgeführt. So kann EQS darüber bestimmen, wie Nutzer mit den Daten innerhalb dieser Anwendungen interagieren (z. B. durch das Einschränken von Kopieren/Einfügen, Hoch- und Herunterladen, Tastatureingaben und Drucken), was die Wahrscheinlichkeit von Datenlecks verringert.

Ausdehnung der Sicherheit auf das Surfen im Internet und E-Mail-Postfächer

Nachdem der Zugriff auf interne Anwendungen abgesichert war, hatte für EQS die Modernisierung der Bedrohungsabwehr und die Ausdehnung des Cloudflare-Schutzes auf E-Mail- und Websicherheit Priorität.

Ein wesentlicher Antrieb war der Umzug von EQS von einem lokalen Microsoft Exchange-E-Mail-Server in die Cloud. Damit wollte das Unternehmen die integrierten Filter von Microsoft um cloudnative Erkennung von raffinierten Phishing-Angriffen und Versuchen der Übernahme geschäftlicher E-Mail-Konten ergänzen. Zum Schutz der E-Mail-Postfächer wurde die E-Mail-Sicherheitslösung von Cloudflare implementiert.

„Area 1 ist bei der Erkennung von Bedrohungen viel cleverer als der alte Anbieter oder sogar Exchange“, berichtet Ermini. „Wir haben für die Einrichtung nur zehn Minuten gebraucht und innerhalb der ersten Stunde wurden drei Phishing-Versuche erkannt, die keines der anderen E-Mail-Sicherheitstools überhaupt registriert hat.“

Zum Schutz beim Surfen im Internet setzt EQS die DNS-Filterung von Cloudflare ein. Diese verhindert, dass Mitarbeitende auf schädliche und unangemessene Domains und IP-Adressen zugreifen. Es handelt sich um eine gängige und unkomplizierte Methode zur Stärkung der Verteidigung gegen Cyberbedrohungen wie Schadsoftware, Ransomware und Phishing.

Aufbau einer zukunftsfesten Sicherheitsplattform

Für die Zukunft ist man bei EQS daran interessiert, das eigene Datenschutzkonzept durch andere SASE-Dienste zu modernisieren. Das beinhaltet unter anderem die Erprobung der Cloud Access Security Broker (CASB) und der DLP-Lösung von Cloudflare. Die durch Cloudflare gebotene Übersicht und Kontrolle soll auf weitere webbasierte, im SaaS-Modell bereitgestellte und private Umgebungen ausgeweitet werden. Dann werden die dabei gewonnenen Telemetriedaten zur Gewährleistung einer ganzheitlichen und mehrstufigen Sicherheit an die SIEM (Security Information and Event Management)-Plattform der Firma übermittelt.

Mit Blick auf die Zukunft sieht EQS Cloudflare als strategischen Partner an, der die sichere Expansion in neue Märkte unterstützt, die Abläufe bei zukünftigen Übernahmen optimiert und das Unternehmen in seiner Position als globaler Marktführer für vertrauenswürdige Compliance-Dienste stärkt.

„Cloudflare passt zu unserer Betriebsweise“, sagt Ermini. „Beide Unternehmen sind nicht nur ausgesprochen proaktiv, motiviert und technikorientiert, sondern haben auch einen starken Drang, neue Lösungen zu finden. Wir ticken also sehr ähnlich. Die Chemie stimmt einfach.“