Vier Schritte zu mehr Sicherheit

Die größten Security-Irrtümer

Dr. Klaus Manhart hat an der LMU München Logik/Wissenschaftstheorie studiert. Seit 1999 ist er freier Fachautor für IT und Wissenschaft und seit 2005 Lehrbeauftragter an der Uni München für Computersimulation. Schwerpunkte im Bereich IT-Journalismus sind Internet, Business-Computing, Linux und Mobilanwendungen.
IT-Sicherheitslücken durch Unwissenheit - Laut einer Studie des schwedischen Sicherheitsspezialisten Clavister öffnet fehlendes Know-how bei Virtualisierungslösungen Angreifern Tür und Tor. Eine dedizierte Security-Strategie hilft, die Sicherung von virtuellen Umgebungen zu gewährleisten.

Während sich die negativen weltwirtschaftlichen Bedingungen auch auf verschiedene Sektoren des IT-Marktes auswirken, setzt sich der Boom im Bereich Virtualisierung weiter fort. Unternehmen nutzen vermehrt die zahlreichen Vorteile der Technologie und vernachlässigen dabei ihre eigene IT-Sicherheit.

Eine aktuelle Umfrage der YouGov im Auftrag von des schwedischen Herstellers von Security-Spezialisten Clavister belegt, dass mehr als 40 Prozent der IT-Direktoren und Manager, die Server-Virtualisierung implementiert haben, ihre IT-Netze offen für Angriffe lassen. Der Grund: Sie gehen fälschlicherweise davon aus, dass die Security-Systeme entsprechende Sicherheits-Features beinhalten. Hierbei handelt es sich um einen der kritischsten Irrtümer rund um die Virtualisierungstechnologie. Gartner, weltweit angesehener Anbieter von Marktforschung und Analyse in der globalen Technologie-Industrie, stufte derartige Verständnislücken als eine der Hauptbedrohungen im Security-Bereich ein.

Mehr Anwendungen = Mehr Unsicherheit

Andreas Asander, VP Product Management bei Clavister, erklärt: "Die Sicherung von virtuellen Umgebungen darf nicht mit der von physikalischen Infrastrukturen verglichen werden. Virtualisierung bietet völlig neue Angriffspunkte und erlaubt den Zugang zu einer weit größeren Zahl von Anwendungen als herkömmliche Server. Daher ist es besonders wichtig, dass IT-Mitarbeiter alle notwendigen Schritte einleiten, um einen gleichwertigen Grad an Sicherheit zu erreichen, den eine physikalische Umgebung bietet. Das Problem besteht jedoch darin, dass die virtuelle Infrastruktur ständigen Veränderungen unterliegt. Dies macht es unmöglich, mit den gleichen Sicherheitslösungen zu agieren."

Viele Unternehmen denken irrtümlich, eine Firewall sei als Schutzmechanismus vollkommen ausreichend. Die Realität zeigt, dass dies nicht der Fall ist. In einer virtuellen Umgebung muss der Traffic die virtuelle Infrastruktur gar nicht verlassen und wird somit auch nicht überprüft. Daher bietet eine Firewall allein hier keinen umfassenden Schutz.

Asander fährt fort: "Probleme entstehen beispielsweise durch Mitarbeiter mit direktem Zugriff, der nicht durch Firewalls geschützt wird. Auf diese Weise können Würmer oder Trojaner schlecht gesicherte Netzwerke, beispielsweise Community-Portale oder Foren, infizieren. Die Segmentierung in einer physikalischen Umgebung kann dies verhindern. In einer virtualisierten Umgebung jedoch ist eine derartige Unterteilung der Datenströme nicht möglich. Somit kann ein Hacker im Web-System einfach und schnell auch auf Finanzsysteme oder Datenbanken zugreifen."

Die 4 Schritte zu mehr Sicherheit in virtuellen Umgebungen

Clavister hat aktuell eine Strategie in vier Schritten entwickelt, mit der Unternehmen in der Lage sind, die Sicherung von virtuellen Umgebungen zu gewährleisten. Diese sieht wie folgt aus:

1. Verstehen, wie sich die Virtualisierung auf die Datensicherheit im neuen Umfeld auswirkt
2. Das Integrieren der Virtualisierung in die Sicherheitspolitik
3. Sicherstellen, dass die notwendigen Informationen vermittelt werden, um die Security in einer virtualisierten Umgebung aufrechtzuerhalten
4. Überprüfen, ob die richtigen Technologielösungen vorhanden sind, um die Bedürfnisse der Organisation zu decken, und ob die besten Instrumente und Verfahren für eine reibungslose Umsetzung und effiziente Verwaltung zur Verfügung stehen.

Weitere Informationen rund um Virtualisierungssicherheit bietet der neue Podcast mit Andreas Asander. Unter www.clavister.com steht ferner ein Whitepaper zur Technologie zum Download bereit.