Security-Risiko Virtualisierung

Auch Publikationen, die sich weniger mit IT-Themen befassen, geben ihren Lesern heute gern einmal den Tipp, sich das neue Microsoft Windows 8 in einer virtuellen Maschine anzuschauen. Das sei nämlich sicher und einfach. Nun werden viele Anwender zwischenzeitlich bemerkt haben, dass Einrichtung und Betrieb einer Virtualisierungslösung auf dem Desktop durchaus mit Tücken behaftet sein kann. Zudem bleibt die Frage, wie es um die Sicherheit dieser Software bestellt ist: Wie gefährlich ist der Einsatz von Virtualisierungslösungen wie Oracles Virtual Box, Parallels Desktop 7, Microsoft Virtual PC/Virtual XP oder der VMware Workstation auf dem eigenen Rechner?

Wir haben für diesen Bericht einen näheren Blick auf die Sicherheitsaspekte des Themas "Virtualisierung auf dem eigenen Desktop" geworfen, stellen mögliche Risiken dar und zeigen, wie Sie diese vermeiden können. Im Anschluss daran geben wir noch einen Überblick über die grundsätzlichen Techniken, die bei der Virtualisierung zum Einsatz kommen - denn wer die Grundlagen kennt, kann Gefahren weitaus besser abschätzen und vermeiden.

Auf den folgenden Seiten erfahren Sie, wie Sie trotz Virtualisierung keine Probleme mit ihrer IT-Umgebung zu befürchten haben. Unsere Bilderstrecke gibt Ihnen einen schnellen Überblick,

Hier ist große Aufmerksamkeit vom Anwender gefordert
Durch die nahtlose Integration der Anwendungen, die im sogenannten XP-Modus laufen, wird er nun mit den Warnmeldungen von zwei Betriebssystemen konfrontiert.

Aber das ist doch eigentlich Windows 7?
Ist sich der Nutzer nicht bewusst, dass ein zweites Betriebssystem (in diesem Fall Windows XP) ebenfalls auf seinem physikalischen Rechner aktiv ist, so wird er auch die Warnung des „alten“ Sicherheitscenters ignorieren.

Die Integrationsfeatures
Sie werden von fast allen Virtualisierungslösungen auf dem Desktop angeboten und können Programmen in der VM plötzlich den Zugriff auf Verzeichnisse des Hostsystems gewähren.

Sehr enge Integration
In der virtuellen Maschine installierte Anwendungen erscheinen im normalen Startmenü. Doch was geschieht mit den Daten, die mit diesen Programmen bearbeitet werden? Wenn sie in den VMs abgespeichert werden, entziehen sie sich der Kontrolle.

Die richtig großen Virtualisierungslösungen, wie die hier gezeigte ESX-Installation, sind nicht für den Einsatz auf dem Desktop bestimmt
Aber virtuelle Maschinen werden immer häufiger nicht nur in solchen großen Installationen, sondern auch auf „normalen PCs“ betrieben.

Ganz wichtig für Administratoren, aber auch für Anwender, die Virtualisierung einsetzen
Alle virtuellen Betriebssysteme sollten stets auf dem neuesten Stand sein.

Leider eine Tatsache
IT-Profis können nicht davon ausgehen, dass sie über alle Betriebssystem-Installationen in ihrem Netzwerk informiert sind. Wie in diesem Fall, kann Windows XP selbst auf einem alten G3-Macintosh-System als virtuelle Maschine betrieben werden.

„Shared Folders“ in VMware Workstation
Sie erlauben den Zugriff auf die Festplatten des Hostsystems durch die VM. Das könnte ein Sicherheitsrisiko darstellen, weshalb die hier gewählte Einstellung besser ist.

Erhöhte „Gast Isolation“ (hier auf der VMware Workstation)
Sie sorgt dafür, dass Anwender weder versehentlich noch absichtlich über „Copy & Paste“ unerwünscht Daten zwischen den Systemen austauschen können.

Wichtiger Grundsatz
Virtuelle Maschinen sollten ebenfalls mit einem Virenschutz ausgestattet sein. Im besten Fall ist dieser in die AV-Lösung des Unternehmens integriert. Zumindest sollten VMs aber durch eine freie Sicherheitssoftware geschützt sein.

Wer auf Sicherheit achtet, schaut hier genau hin
Das stellt beispielsweise sicher, dass keine Laufwerke in eine Terminal-Sitzung auf einen virtuellen Server gemappt werden.

Kann zur Schwachstelle werden
Snapshots sind praktisch – aber ohne passende Namen oder Notizen wird niemand feststellen können, ob diese „Zwischenkopie der VM“ problemlos im Netzwerk gestartet werden darf.

Die Virtualisierungslösung Parallels
Sie erlaubt es, auf Apple-OS-X-Systemen die Integration der virtuellen Maschine gezielt zu unterbinden.

Wichtiger Sicherheitstipp bei der Virtualisierung auf dem Apple-System
Im Zweifelsfall sollten die Laufwerke des Macs nicht der VM zugeordnet werden.

Der Super-GAU: Gefahr durch die Virtualisierungssoftware?

Wie jede andere Softwarelösung wird auch die Virtualisierungssoftware zunächst auf dem lokalen Betriebssystem installiert. Sie bildet eine oder mehrere virtuelle Maschinen (VMs) ab und erlaubt es dem Anwender, diese unabhängig vom "Host-Betriebssystem" zu betreiben. Dabei sind die VMs grundsätzlich vom lokalen Betriebssystem abgeschottet. Alle Elemente eines Computers vom Ein/Aus-Schalter über die Festplatte bis hin zu den optischen Laufwerken sind virtuell oder werden vom darunter liegenden Betriebssystem "weitergereicht".

Ausgehend von diesem Szenario gelten die ersten Gedanken in Bezug auf potenzielle Sicherheitslücken zunächst einmal der eigentlichen Virtualisierungssoftware. Was passiert beispielsweise, wenn ein Programm es schaffen würde, aus der virtuellen Maschine heraus über die "Speicherschutzgrenzen" hinweg auf das Host-Betriebssystem zuzugreifen? Wäre das möglich, so würde es sich dabei in der Tat um einen Super-GAU in Bezug auf die Sicherheit des Betriebssystems handeln und bösartigen Angriffen wären Tür und Tor geöffnet. Zum Glück ist dieser Fall extrem unwahrscheinlich. Das hat mehrere Gründe:

• Host-Betriebssysteme, ganz gleich ob es sich dabei um Microsoft Windows, Apple OS X oder ein Linux-System handelt, besitzen genügend klassische Schutzmechanismen, die einen "Zugriff" von einem Speicherbereich auf einen anderen wirkungsvoll verhindern.

• Noch wichtiger: Im Gast-Betriebssystem sind keine Indikatoren zu finden, die darauf hinweisen, dass gerade dieses System sich in einer virtuellen Maschine befindet. Das virtualisierte Betriebssystem "weiß" also nicht, dass es aktuell nicht auf echter Hardware aktiv ist!

• Deshalb wird ein Schadprogramm nur schwerlich einen Punkt finden, an dem sein potenzieller Angriff ansetzen könnte.

Sofern die Installationspakete der Virtualisierungssoftware nicht zuvor manipuliert wurden und aus "herkömmlichen, sicheren Kanäle" stammen, besteht an dieser Stelle wohl das geringste Risiko für die Daten auf dem eigenen Host-Computer.

CIO der Dekade
Die begehrten Pokale gab es für insgesamt sechs Preisträger.

CIO der Dekade
Klaus Straub, CIO der Audi AG, ist CIO der Dekade. Neben dem Pokal nahm er von Moderatorin Katrin Müller-Hohenstein eine Flasche Rotwein aus dem Jahr 2001 entgegen.

CIO der Dekade
Und noch ein Preis für Klaus Straub: Die Gewinner der Kategorie "Wertbeitrag der IT" sind Audi-CIO Klaus Straub (links) und - nicht im Bild - Michael Gorriz, CIO der Daimler AG. Frank Riemensperger, Vorsitzender der Geschäftsleitung von Accenture, hielt die Laudatio für beide Preisträger in dieser Kategorie.

CIO der Dekade
Gewinner der Kategorie "Überzeugungsstärke im Unternehmen": Rainer Janßen, CIO der Munich Re zusammen mit Moderatorin Katrin Müller-Hohenstein auf der Bühne.

CIO der Dekade
Gewinner der Kategorie "Internationale Ausrichtung": Guus Dekkers (links), CIO bei EADS und Patrick Naef, CIO von Emirates.

CIO der Dekade
Gewinner in der Kategorie "Strahlkraft in die Gesellschaft": Lufthansa-CIO Thomas Endres (links) neben Johannes Pruchnow, Managing Director Business bei Telefónica.

CIO der Dekade
Alle anwesenden Preisträger.

Wo befinden sich die Gefahren?

Die eigentlichen Gefahren sind vielmehr an den üblichen Schwachstellen zu finden:

• Auch ein virtueller PC ist ein komplett eigenständiges System. Damit unterliegt es den üblichen Gefahren wie Viren-Infektionen und Trojaner-Aktivitäten.

• Das Gleiche gilt für das Risiko eines möglichen Hacking-Angriffs, wenn das virtuelle System nicht ordentlich gepatcht ist.

• Damit geht auch von einem infizierten virtuellen Rechner im Netzwerk stets die Gefahr aus, dass sich maligner Code auf andere Computer im Netz überträgt.

Schon diese kurze Auflistung zeigt deutlich, dass die Gefahren für virtuelle Rechner weder größer noch kleiner sind, als dies bei herkömmlichen Computern der Fall ist. Die eigentliche Gefahr und damit die besondere Herausforderung für alle Anwender, die mit solchen Systemen arbeiten, besteht darin, dass diese Systeme eigentlich "unsichtbar" sind:

• Der Anwender sieht keine Maschine vor sich stehen und so vergisst er allzu leicht, auch das zusätzliche virtuelle Systeme mit Antivirus-Software oder den nötigen Updates zu versorgen: Die Lücke für die Angreifer ist da!

Wir haben bei unseren Untersuchungen vier Schwachpunkte ausgemacht, die beim Einsatz von virtuellen Maschinen auf den Desktop zu besonderen Gefährdungen führen können.

Schwachpunkt Nummer 1: Ungeschützte virtuelle Maschinen

Eine virtuelle Maschine soll sich schon vom Prinzip so wenig wie möglich von einem physikalischen Rechner unterscheiden. Dadurch gilt dies leider auch für Sicherheitslücken und die damit verbundene Anfälligkeit gegenüber Viren und Schadsoftware. So lautet eine wichtige Regel:

• Jede virtuelle Maschine muss, genau wie ein gewöhnlicher Computer oder Server, in das Patch-Management und in die Antiviren-Lösung eingebunden werden.

Warum geschieht das aber so selten? Weil die Eingliederung der virtuellen Maschine, die "on top" eines normalen Systems läuft, mit den normalen Patch- und Updatezyklen sich zwangsläufig auf die Arbeitsgeschwindigkeit des Rechners auswirkt. So kann es durchaus passieren, dass Host- und Gast-Betriebssystem gleichzeitig die Antiviren-Software starten, um die Festplatten nach Schadsoftware zu durchsuchen. Aus diesem Grund gilt:

• Je besser die Integration in das Host-System gelungen ist, desto aufmerksamer und wachsamer muss der Anwender sein.

Deshalb erfordert gerade die Verwendung des sogenannten XP-Modus unter Windows 7 mit der seiner guten Integration in das Host-Betriebssystem vom Benutzer eine hohe Aufmerksamkeit:

• Der Anwender muss nicht nur auf Sicherheitsmeldungen seines "drunter liegenden" Windows 7 achten, sondern

• gleichermaßen auf die Meldung des Windows XP-Systems achten.

• Noch kritischer verhält es sich, wenn Hostsystem und Gastsystem voneinander abweichen: Beispielsweise wenn auf einem MacOS-Computer ein Windows- oder Linux-System virtualisiert betrieben wird.

Nur durch ein intensives und robustes Patch-Management und der Ausstattung mit einer möglichst Betriebssystem-übergreifenden Antiviren-Lösung ist ein sicherer Betrieb im Unternehmen möglich. Natürlich lassen sich für die verschiedenen Betriebssysteme auch unterschiedliche AV-Lösungen aufsetzen, doch dann müssten die IT-Profis mit unterschiedlichen Management-Konsolen arbeiten und könnten nicht auf alle Daten über eine Oberfläche zugreifen.

Schwachpunkt Nummer 2: Nicht autorisierte VMs

Ein Schwachpunkt, der oft in Unternehmensnetzwerken auftritt, entsteht aus nicht autorisierten virtuellen Maschinen. So können zum Beispiel die größeren Windows-7-Editionen schnell und kostenlos mit Virtual PC und dem dazugehörigen Virtual XP Mode versehen werden. Die Integration der Software geht dann soweit, dass die Anwendungen aus den virtuellen Maschinen direkt im Start-Menü von Windows 7 angezeigt werden. Die Anwender können auf diese Weise sehr schnell 16-Bit-Programme unter x64-Windows installieren und einsetzen. Welche Gefahren bestehen darin?

• Oftmals ist ungeklärt, was mit den Daten passiert, die der Benutzer in den Speicherraum der virtuellen Maschine abgespeichert.

• Solche Daten werden dann nicht wie üblich, im Home-Verzeichnis über das Profil gesichert. Es handelt sich also um ungesicherte Daten.

• Zudem treten auf diese Weise schnell Lizenzverstöße auf: Die Nutzer installieren am Lizenzmanagement vorbei und ohne Wissen der IT-Abteilung dank vorhandener Administrationsrechte beliebige Anwendungen in den virtuellen Maschinen.

• Weiß der IT-Administrator nicht um die Existenz der virtuellen Maschine, so kümmert er sich auch nicht um das Patch-Management und den Virenschutz. Die nicht autorisierte VM kann schnell zur stets aktiven "Virenschleuder" im Netzwerk werden.

• Da die virtuellen Maschinen häufig Network AddressTranslation (NAT) verwenden, werden sie auch nicht durch Einträge auf dem DHCP-Server auffallen. Sie in diesem Fall auch für die Systemverwalter "unsichtbar".

Wer sich all diesen Risiken erst gar nicht auszusetzen will, sollte auch in den hier geschilderten Fällen die üblichen Sicherheitstipps beachten:

• Außer den Mitarbeitern der IT-Administration sollte niemand über Administrationsrechte verfügen.

• Benötigen Benutzer für ihre Arbeit virtuelle Maschinen, so müssen diese von den Administratoren wie andere Rechner in das Sicherheitskonzept des Unternehmens eingebunden werden.

Schwachpunkt Nummer 3: Testmaschine wieder im Netzwerk

Lösungen wie Parallels Desktop 7, VMware Workstation und die Virtualbox von Oracle sind für einen Zweck besonders gut geeignet: Mit ihnen können Anwender und vor allen Dingen auch IT-Profis leicht Konfigurationen ausprobieren oder auch Programme installieren, die gewöhnlich auf einem Produktivsystem nicht zum Einsatz kommen. Sei es aus Sicherheitsgründen oder weil die Gefahr besteht, dass sie das System "zerschießen" - gerade Virtualisierungslösungen auf dem Desktop sind ideal, um schnell und einfach Testmaschinen zu installieren und einzusetzen.

Software-Entwickler und -Tester schätzen insbesondere die Möglichkeiten der Snapshots. Mit ihrer Hilfe kann der aktuelle Status des Systems gesichert werden. Änderungen können dann durch ein "Rollback" auf den Snapshot wieder rückgängig gemacht oder auch beliebig oft wiederholt werden. Aber gerade der Einsatz dieser so praktischen Lösung kann in der Praxis schnell zu einem Katastrophen-Szenario führen:

• In der Eile wird der falsche Schnappschuss einer virtuellen Maschine wieder eingespielt, in dem eine schadhafte oder gar gefährliche Konfiguration ausprobiert wurde.

• So können die eigentlich "gut isolierten" Anwendungen mit dem Produktiv-Netzwerk in Kontakt kommen und schnell viel Schaden anrichten.

• Allein eine virtuelle Maschine, die ihre Daten auf dem falschen Netzwerk-Interface versendet, kann in der Produktivumgebung einige Probleme verursachen.

Was können Anwender und Administratoren dagegen tun?

• Die Snapshots lassen sich in allen Virtualisierungslösungen mit kurzen Kommentaren versehen.

• Auch bei den VMs ist es zumeist möglich, einige kurze Informationen hinzuzufügen.

• Unser Tipp: Nutzen Sie diese Funktion und zwar gewissenhaft - besonders dann, wenn Sie viele unterschiedliche Testsysteme in virtuellen Maschinen einsetzen.

• Ein weiterer Praxistipp, der sich bewährt hat: Wählen Sie für Ihre Test-Systeme einen "knalligen" Desktop-Hintergrund. Dieser erinnert Sie schon nach der Anmeldung daran, dass es sich um eine Testmaschine handelt, auf der auch gefährlichere Konstellationen durchgespielt werden können.

• Achten Sie zudem darauf, dass der "erste Snapshot" stets der Hauptausgangspunkt ist, von dem aus Sie die Arbeit beginnen. So können Sie dann im Zweifelsfall immer auf diesen, allerersten Speicherpunkt zurückkehren.

Schwachpunkt 4: Die Integrationsdienste

Es gibt aber noch zwei Funktionen. die das Risiko speziell für die Sicherheit des Host-Computers deutlich erhöhen:

• die Integration der Zwischenablage (Copy & Paste) von VM zum Host-System und

• die Integration des Host-Dateisystems in die virtuelle Maschine.

Wer häufig "zweifelhafte Programme" innerhalb einer virtuellen Maschine testen möchte, der sollte in jedem Fall diese sogenannten Integrationsdienste weitgehend deaktivieren. Wer ganz sicher gehen möchte installiert auf seinen Systemen auch die speziellen Treiber für die Virtualisierungslösung nicht. Das reduziert zwar deutlich die Leistungen des Systems, garantiert auf der anderen Seite jedoch, dass keinerlei Daten auf das Host-System durchdringen können.

Die Theorie zum Abschluss: Was ist eigentlich Virtualisierung?

Der Begriff der "Virtualisierung" wird von der schreibenden Zunft gerne bemüht, wenn es um fortschrittliche Technologien geht. Dabei handelt es sich bei genauer Betrachtung doch um ein bereits in der Frühphase der Computer-Technik entwickeltes Verfahren. Die Idee der Entwickler war es, eine physikalische Maschine mehrfach nutzen zu können - im Sinne von logischen Maschinen. In den siebziger Jahren veröffentlichten die Universitäts-Informatiker Gerald J.Popek und Robert P.Goldberg eine Abhandlung, in der die theoretischen Anforderungen an die Virtualisierung von Hard- und Software explizit beschrieben wurden. Bei diesem Popek-Goldberg-Theorem handelt es sich um ein heute noch gültiges Modell für einen virtualisierbaren Rechner.

Auf die Inhalte dieses Theorems bezogen, ist die heute gebräuchliche x86-Plattform zur Virtualisierung an sich nur bedingt geeignet: So haben sich zunächst die Software-Entwickler mit verschiedenen Ansätzen und Tricks um diesen Missstand herum gearbeitet. Seit einiger Zeit erweitern Intel und AMD die Virtualisierungsfähigkeiten der CPU dahingehend, dass Programme wie Xen von Citrix, VMware ESX und Microsofts Hyper V dazu in der Lage sind, diese Techniken und damit die Virtualisierung effektiv zu nutzen.

Bei diesen "großen Virtualisierungstechniken" kommen dann Konzepte wie das "Single Kernel Image" (SKI) oder die Paravirtualisierung zum Einsatz. Wird hingegen auf einem herkömmlichen PC eine Virtualisierung mit VMware Workstation, Virtual Box oder Microsofts Virtual PC/Virtual XP verwendet, so arbeitet man dort mit der sogenannten "vollständigen Virtualisierung", die auch als Partitionierung bezeichnet wird. Wesentliches Unterscheidungsmerkmal ist hierbei die Tatsache, dass bei einer "vollständigen Virtualisierung" das virtualisierte Betriebssystem "gar nicht weiß", dass es virtuell betrieben wird.

Die für die Virtualisierung zuständige Software, der Virtual Machine Monitor (VMM), läuft auf einem Host-Betriebssystem als Anwendung. Alle Anfragen des Gast-Betriebssystems an seine Umgebung werden durch den VMM abgefangen und entsprechend übersetzt. Dabei werden zudem alle Komponenten vom I/O-System bis hin zum BIOS originalgetreu nachgebildet. Der größte Vorteil der Partitionierung besteht darin, dass auf diese Weise keine Anpassung des Gastbetriebssystems notwendig ist - was sie wiederum ideal für den Einsatz auf Desktop-Systemen macht.

Fazit: Kaum eine Gefahr - wenn die Richtlinien stimmen

Virtualisierung ist kein Hexenwerk und für die Betriebssicherheit im Unternehmensnetzwerk prinzipiell kein Risiko - sofern einige Richtlinien beachtet werden. Dabei sollte vor allen Dingen immer der Grundsatz gelten, dass virtuelle Maschinen wie physikalische Computer zu behandeln sind!

Wir werden virtuelle Maschinen künftig sicher auch an eher ungewöhnlichen Orten vorfinden können. So ermöglicht beispielsweise die kostenfreie Emulationssoftware DOSBox in ersten Vorversionen bereits den Einsatz von Windows 95 auf einem Android-Gerät. (ph)