Fachbeiträge

Ausgabe 5 / /2013
Fachbeitrag IT-Sicherheit

Virtualisierung, ja – aber bitte sicher!

von David Gibson

Wenn Ihr Unternehmen wächst, werden Sie irgendwann Ihre Hardware virtualisieren. David Gibson, Vice President of Strategy bei Varonis, gibt einen Überblick über die Vorteile der Virtualisierung und Tipps zur Vermeidung ihrer unsichtbaren Fallstricke im Bereich der Data Governance.

Inhaltsübersicht:



Mit der Einführung von Computern am Arbeitsplatz begann auch der Prozess der Virtualisierung. Als wir Daten in der Software der ersten PCs speicherten, verwendeten wir vertraute Begriffe wie „Dateien und Ordner“, um auf einfache Weise zu beschreiben, wie Computer die Daten in virtuellen Aktenschränken aufbewahrten.

Der Weg zum virtuellen Aktenschrank

Als wir uns dann langsam dem papierlosen Büro näherten, schafften wir Akten und Ordner in Papierform nach und nach ab und entledigten uns eines Großteils der physischen Aktenschränke. Unternehmen, die früher Millionen von Dokumenten in physischen Aktenschränken verwahrten, legen deren virtuelle Versionen heute in Online-Archiven ab. Aus einfachen physischen Aktenschränken sind virtuelle Aktenschränke geworden: Dateiserver, auf denen riesige Mengen an Informationen gespeichert sind.

Die alte Technik bot einige Vorteile. Wenn man in einer Branche arbeitete, in der es auf Sicherheit ankam, war der gute alte Aktenschrank mit einem Schloss versehen. Zugriffsberechtigt war, wer über einen Schlüssel verfügte. Da sich diese Aktenschränke an einem physischen Standort befanden – in der Regel in großen Büros mit unzähligen Mitarbeitern –, waren unberechtigte Zugriffe auf diesen Ort beschränkt, sodass man sie für gewöhnlich rasch aufdecken und Gegenmaßnahmen ergreifen konnte.

Aufgrund des explosionsartigen Anwachsens der Datenflut werden die Informationen heute auf virtuellen Servern gespeichert, die wiederum jeweils mehrere virtuelle Dateiserver beinhalten. Mit zunehmender Abstraktion wissen Unternehmen immer weniger, auf welchem physischen oder virtuellen Server sich ihre Daten befinden, wer auf die Informationen zugreifen kann oder wer sie verwendet. Und da es sich nicht mehr um physische Aktenschränke handelt, sind Zugriffe in verstärktem Maße unbemerkt von vielen Orten aus möglich. Willkommen in der vernetzten virtuellen Welt mit all ihren Gefahren.

Virtualisierung in Zahlen

Aber wie verbreitet ist Virtualisierung heute? Angaben von Gartner zufolge wurden bereits mehr als 50 Millionen virtuelle Maschinen (VM) auf Servern installiert. Dementsprechend verwenden laut einer Studie von Varonis fast alle Befragten (87 Prozent) virtuelle Anwendungsserver – gefolgt von File-Servern (79 Prozent). Laut der Studie sind die Hauptgründe für Virtualisierung raschere Bereitstellung (76 Prozent) und Notfallwiederherstellung (74 Prozent). Diejenigen, die keine virtuellen Server einsetzen, gaben als Gründe dafür Speicherplatz (37 Prozent), Leistung (30 Prozent) und mangelnde Vorteile (20 Prozent) an.

Die Studie zeit, dass das Thema Datensicherheit in virtuellen Umgebungen von IT Organisationen häufig vernachlässigt wird. Tatsächlich haben 70 Prozent der Studienteilnehmer auf virtuellen Servern nur wenige oder keine Auditing-Prozesse implementiert und 20 Prozent der Unternehmen mit mehr als 5.000 Mitarbeitern räumten ein, über keine Möglichkeit zur Dateiprotokollierung zu verfügen.

Daten hinter Schloss und Riegel

Wie früher Schlösser für physische Geräte, sind auch für virtuelle Umgebungen ähnliche Kontrollmechanismen nötig - jedoch scheinen diese zu fehlen. Ein möglicher Grund hierfür ist, dass die wirtschaftlichen Aspekte der Virtualisierung Druck auf die IT-Security Abteilungen ausüben. Gartner glaubt beispielsweise laut seiner Studien, dass von IT-Security Abteilungen erwartet wird, Kostensenkungen, raschen Einsatz und Server-Agilität für so viele virtuelle File-Server wie möglich umzusetzen.

Es ist daher verständlich, dass sich die IT Abteilung, die ein Virtualisierungsprojekt betreut, häufig als nicht zuständig für die Sicherheits und Governance-Aspekte dieses Projekts empfindet – stattdessen konzentriert sie sich einzig darauf, so schnell wie möglich virtuelle Maschinen einsatzbereit zu machen. Dies bringt jedoch Folgen mit sich. Laut unserer Ergebnisse gaben 48 Prozent der Befragten an, dass auf ihren virtuellen Servern bereits unbefugte Dateizugriffe stattgefunden hatten bzw. sie dies vermuteten. Vertrauliche Unternehmensdaten werden also der Gefahr von Missbrauch, Verlust und Diebstahl ausgesetzt.

Virtualisierung und ihre Grenzen

Virtualisierung ist ohne Zweifel eine bahnbrechende Methode zur Isolation von Anwendungen und Diensten mit nur wenigen Klicks. Sie stellt jedoch keine Lösung für das Berechtigungsmanagement, die Zugriffsüberwachung und andere Herausforderungen im Bereich der Sicherheit dar – sondern erhöht deren Komplexität womöglich sogar. Wie Gartner und andere Analysten bemerkt haben hat Virtualisierung das Potenzial, Probleme auf unterer Ebene zu verbergen.

Virtualisierung kann dennoch eine komplette Lösung bieten – eine Senkung der Kosten und Verbesserung der Sicherheit im gesamten Rechenzentrum. Dies ist jedoch nur möglich, wenn man sich der Beschränkungen der Virtualisierung bewusst ist und von Anfang an richtige Sicherheitsmaßnahmen trifft. Wenn einmal in diese Planung investiert ist können die Sicherheitsrichtlinien leicht auf neue virtuelle Server übertragen werden. Um die Kontrolle über ihre digitalen Objekte zu behalten, müssen Unternehmen ihre IT Mitarbeiter weiterbilden, und zwar sowohl im Umgang mit virtuellen Dateisystemen als auch in der effektiven Nutzung automatisierter Prozesse, um Sicherheitslücken aufzudecken, Aktivitäten zu überwachen und Berechtigungen zu steuern.

Mitarbeiter und Führungskräfte entfernen sich immer weiter von der Realität der IT Abläufe – man könnte fast von einem Prozess der Entfremdung sprechen. Das BYOD-Phänomen (Bring Your Own Device) hat der Unternehmenswelt gezeigt, dass Anwender sie nutzen, um die Möglichkeiten zur Zusammenarbeit zu erweitern. Die Virtualisierung könnte sich in der Unternehmenswelt dahingehend auswirken, dass sie bestimmte Gruppen von Mitarbeitern von einigen grundlegenden IT Problemen isoliert, beispielsweise wie oben erwähnt im Bereich der Sicherheit.

Fazit

Data Governance auf virtuellen Servern erfordert dieselbe Sorgfalt und Aufmerksamkeit wie in physischen Umgebungen – vielleicht sogar noch mehr, da das Management mehrerer Systeme auf einem einzigen Server deutlich komplexer ist. Die Schlussfolgerung: Die Weiterbildung von IT Mitarbeitern in diesem Bereich ist notwendig, und zwar sowohl im Umgang mit virtuellen Dateisystemen als auch in der effektiven Nutzung der richtigen Tools, um die Vergabe von Berechtigungen zu analysieren und zu steuern.

Virtualisierung bringt zahlreiche Vorteile mit sich, birgt jedoch dieselben Gefahren wie der virtuelle Aktenschrank: Aus den Augen bedeutet häufig auch aus dem Sinn, daher müssen entsprechende Prozesse dafür sorgen, dass die Risiken nicht in Vergessenheit geraten, die virtuellen Aktenschränke verschlossen und in einer sicheren Umgebung aufbewahrt werden und wir wissen, wo sie sich befinden. Andernfalls laufen wir Gefahr, mit einer ganzen Reihe neuer Datenschutzgesetze in Konflikt zu geraten.

Diese Artikel könnten Sie auch interessieren

Online Fachbeiträge Ausgabe 11 / 2020
Fachbeitrag       IT-Sicherheit

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Artikel lesen


Online Fachbeiträge Ausgabe 9 / 2020
Fachbeitrag       IT-Sicherheit

IT-Sicherheit - auch im Homeoffice

Artikel lesen


62010
Titelthema       Gesetzgebung

Datensicherheit als Grundlage für Wissensmanagement

von Peter Böhret

Artikel lesen


62010
Titelthema       Gesetzgebung

Wissenstransfer als Schlüssel zur Datensicherheit

von Kurt-Jürgen Jacobs, Bernhard Schieß

Artikel lesen


62010
Titelthema       Gesetzgebung

Transparenz und Wissensdatenbank: Der Marktplatz IT-Sicherheit

von Dustin Pawlitzek, Sebastian Spooren

Artikel lesen


Unsere Empfehlungen