Einführung von Virtualisierungslösungen ist nicht gleichbedeutend mit einer Erhöhung der Sicherheit

Häufig befinden sich nach einer Virtualisierung Anwendungen mit unterschiedlichen Sicherheits-Levels ohne adäquate Trennung auf demselben physikalischen System

(28.04.10) - Dass die Einführung von Virtualisierungslösungen gleichbedeutend mit einer Erhöhung der Sicherheit ist, bezeichnet Cyber-Ark als Trugschluss. Im Gegenteil: Vielfach sei gerade die Implementierung einer virtualisierten IT-Infrastruktur mit zahlreichen neuen und zusätzlichen Gefahren verbunden - insbesondere im Hinblick auf die unterlassene Beschränkung der Zugriffs-rechte von Administratoren.

Cyber-Ark sieht drei zentrale Gefahren bei der Virtualisierung:

· Keine klaren Verantwortlichkeiten und keine adäquate Überwachung der administrativen Accounts

Bei Virtualisierungslösungen sind Administratoren in der Regel - und im Unterschied zu physika-lischen Systemen - nicht mehr nur für ein System oder eine Applikation verantwortlich, sondern für die gesamte IT-Infrastruktur. Dadurch werden sie zu Super-Admins mit uneingeschränkten privilegierten Rechten. Das heißt, es erfolgt keine strikte Separation of Duties und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen.

· Keine Trennung von unternehmenskritischen und weniger wichtigen VMs (Virtual Machines)

Häufig befinden sich nach einer Virtualisierung Anwendungen mit unterschiedlichen Sicherheits-Levels auf demselben physikalischen System - ohne adäquate Trennung. Das bedeutet, dass die Sicherheitslücken eines Systems genutzt werden können, um auf unternehmenskritische Applikationen und Daten zuzugreifen.

· Keine Erfahrung der Administratoren

Mit der Implementierung von virtualisierten Umgebungen erweitert sich auch der Aufgabenbereich von Administratoren: zum Beispiel im Hinblick auf das Management unterschiedlicher Infrastruktur-Bereiche wie Server, Storage, Netzwerk und Applikationen. Dabei besteht die große Gefahr, dass sie nicht über genügend Praxiserfahrung in der Verwaltung all dieser Lösungen verfügen. Und dies führt zu zusätzlichen Sicherheitsrisiken und sei es nur bedingt durch falsche Konfigurationen.

Zu ähnlichen Ergebnissen wie Cyber-Ark kommt Gartner in der aktuellen Studie "Addressing the Most Common Security Risks in Data Center Virtualization Projects", in der die Marktforscher mehrere Bereiche identifiziert haben, die bei der Virtualisierung Sicherheitsrisiken darstellen. Gartner prognostiziert hier zudem, dass im Jahr 2012 rund 60 Prozent der virtuellen Server weniger Sicherheit bieten als die physikalischen Systeme, die sie ersetzen.

Die Brisanz des Themas zeigt sich auch daran, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen 1. IT-Grundschutz-Tag des Jahres 2010 Mitte März unter das Motto: "Virtualisierung von IT-Systemen - Risiken und Abhängigkeiten" gestellt hat. Dabei hat das BSI auch eine Vorabversion des neuen Bausteins "Virtualisierung" vorgestellt, der in der nächsten Version der IT-Grundschutzkataloge enthalten sein soll. Auch hier wird dezidiert darauf hinge-wiesen, dass es erforderlich ist, eindeutige Regelungen zur Verteilung der Aufgaben zwischen den Administratoren zu treffen. (Cyber-Ark: ra)