CW: In der Vergangenheit wurde die Verfügbarkeit der IT durch teure redundante Komponenten und Ausfallstandorte stark abgesichert. Inwieweit lassen sich diese Kosten reduzieren?

Thomas Masicek: Ohne etabliertes Risikomanagement ist im Unternehmen oftmals nicht bekannt, welche Systeme und Applikationen kritisch für wertschöpfende Prozesse sind und wie lange diese maximal stillstehen dürfen. Somit bleiben für Unternehmen ohne Risikomanagement zwei mögliche Strategien: Entweder die gesamte Infrastruktur vollredundant aufzubauen oder gar keine Maßnahmen zu implementieren.

Beide Varianten stellen keine probate Lösung dar, da entweder die Kosten im Vergleich zum Nutzen viel zu hoch angesetzt sind oder das Risiko für ein Unternehmen aufgrund der hohen Eintrittswahrscheinlichkeit, als auch des Schadenpotenzials Schiffbruch zu erleiden, viel zu hoch ist.

Zur Umsetzung eines Risikomanagements stehen eine große Auswahl an Methoden und Werkzeugen zur Verfügung. Die am weitesten verbreitete Norm für IT-Risikomanagement ist ISO/IEC 27005:2008, welche in engem Zusammenhang mit dem bekannten Standard ISO/IEC 27001:2005 steht.

CW: Wie kann der Sicherheitslevel in virtualisierten Umgebungen verbessert werden?

Masicek: Während für physische Server gut abgesicherte Rechenzentren zur Verfügung stehen, wird diese Absicherung von virtualisierten Systemen durch die eingesetzte Virtualisierungssoftware realisiert. Darin besteht jedoch ein großes Risiko: Wie in jedem Betriebssystem werden auch in den eingesetzten Virtualisierungsprodukten immer wieder Schwachstellen entdeckt, die es einem Angreifer ermöglichen, aus einer virtuellen Umgebung ausbrechen und Zugriff auf die darunterliegende Virtualisierungsplattform zu erlangen. Dadurch sind nicht nur die Daten der virtuellen Systeme, die in virtuellen Disks abgelegt sind, sondern auch die Konfigurationen der virtuellen Maschinen gefährdet, kopiert oder manipuliert zu werden.