Es ist weithin bekannt, dass Virtualisierung viele Vorteile für die Unternehmens-IT mitbringt. Es scheint aber bisher nicht ausreichend durchgedrungen zu sein, dass jedes virtuelle System fortlaufend individuell konfiguriert, gepatcht und gesichert werden muss. Das stellt die weit verbreitete Annahme, dass durch weniger physikalische Systeme der Wartungsaufwand sinkt, in Frage.
Wenn virtuelle Maschinen Zugang zum Firmennetz und zum Internet haben, besteht auch das Risiko, dass diese gehackt, manipuliert oder durch Malware infiziert werden. Hinzu kommt, dass virtuelle Systeme andere Dynamiken aufweisen. Sie werden beispielsweise je nach Bedarf deaktiviert und wieder reaktiviert, wodurch reaktivierte Systeme oftmals nicht den aktuellen Sicherheitsstandards entsprechen, da üblicherweise während der Stand-by-Schaltung keine Updates mehr installiert werden. Ohne adäquates Wartungsmanagement kann die Virtualisierung so schnell zum Sicherheitsalptraum werden.
Einführung klarer Managementrichtlinien
Die Rechteverteilung für die Erschaffung virtueller Systeme stellt ein großes Problem dar. Die Erfahrung zeigt, dass ein dezentrales Managementsystem, das jedem das Recht gibt, neue virtuelle Images ohne notwendige Sicherheitsvorkehrungen am Unternehmensnetzwerk anzuschließen, sehr riskant ist. Das bestätigt auch eine Umfrage der Gartner Group, die besagt, dass ca. 60 Prozent der virtuellen Systeme über einen niedrigeren Sicherheitsstatus verfügen als physikalische Maschinen. Dieses Resultat wird auf mangelnde Managementstrategien bei der Virtualisierung von Unternehmensnetzwerken zurückgeführt. Wenn sich das nicht ändert, besteht die Gefahr, dass die Fortschritte der letzten 15 Jahre im Bereich Sicherheit zunichte gemacht werden.
Automatisierung der Must-Do-Tasks
Unternehmen müssen hinsichtlich Virtualisierung lernen differenzierter zu denken und Prozesse anzupassen, da virtuelle Images einfach, schnell und kostengünstig überall erstellt und an den Sicherheitsverantwortlichen vorbei implementiert werden können. Die Zuständigen für die IT-Sicherheit sind aus diesem Grund noch mehr gezwungen, das Unternehmensnetzwerk fortlaufend und umfassend zu überwachen. Nur so bleiben neue, unautorisierte Images, Server oder Prozesse nicht unentdeckt.
Die fortlaufende Überwachung des gesamten Netzwerks bedarf einer Automatisierung der Prozesse, andernfalls ist diese Aufgabe ohne einen beträchtlichen Ressourcenverschleiß nicht zu bewältigen. Neben der Überwachung spielt Schwachstellenmanagement, das Patch- und Konfigurationsmanagement beinhaltet, eine große Rolle. Auch wenn es erstmal hilft den Überblick zu haben, ist es genau so wichtig, dass Schwachstellen schnell und effektiv behoben werden. Bei dem Versuch diese Sicherheitsprozesse in der Vergangenheit zu automatisieren, ist es nicht selten zu einem wilden Toolmix gekommen, mit dem Ergebnis einer Semiautomatisierung, die immer noch eine zu starke manuelle Intervention benötigt. Damit lassen sich die Administrationsaufgaben für Unternehmensnetzwerke, deren Volumen durch Virtualisierung stetig wächst, nicht mehr bewältigen.
Offline-geschaltete virtuelle Systeme müssen auch gesichert werden
Eine der größten Sicherheitsherausforderung stellen die offline-geschalteten, inaktiven virtuellen Maschinen dar, die von vielen Unternehmen nur dafür unterhalten werden, um sie zum gegebenen Zeitpunkt für besondere Aufgaben einzusetzen. Diese Systeme müssen ebenso auf dem aktuellen Sicherheitsstand gehalten werden, so dass sie den neuesten Updatestaus vorweisen. So entsteht kein Risiko für die Unternehmenssicherheit.
Offline-geschaltete virtuelle Systeme zum Ausführen von Updates erst online schalten zu müssen, bedeutet einen zeit- und ressourcenintensiven Prozess zu durchlaufen. Es bedeutet auch, dass das Zeitfenster, in dem die Systeme ungeschützt online geschaltet sind, kritisch ist. Dieses Zeitfenster lässt sich komplett schließen, wenn die zu patchenden Systeme während des gesamten Update-Prozesses offline bleiben. Darüber hinaus können die bereits online gepatchten virtuellen Maschinen für ein System-Backup genutzt werden. Und sollte der jeweils eingesetzte Patch zur endgültigen Installation das Neustarten des Systems verlangen, dann kann in der Zwischenzeit auf bereits offline gepatchte virtuelle Maschinen zurückgegriffen werden, um keine Ausfallzeiten zu haben. Die sich im Einsatz befindenden Computer müssen so nicht mehr ungepatcht laufen bis sich die Gelegenheit zum Updaten ergibt, sondern können auf dem neusten Sicherheitsstand gehalten werden, was die gesamte Unternehmenssicherheit verbessert.
Es ist nicht von der Hand zu weisen, dass die wilde Implementierung virtueller Systeme ohne Berücksichtigung festgelegter Richtlinien und Prozesse auf Dauer die Unternehmenssicherheit schwächt. Dass die Virtualisierung Gefahren birgt, liegt aber nicht an der Technologie selbst, sondern an der Art und Weise, wie sie bisher eingesetzt und administriert wurde. Richtig ist, dass wenn virtualisierte Umgebungen kontrolliert geschaffen und effizient gesichert werden, die Unter-nehmenssicherheit nicht leiden muss, sondern im Gegenteil verbessert werden kann.
(Quelle: IT SecCity)