Dass die Einführung von Virtualisierungslösungen gleichbedeutend mit einer Erhöhung der Sicherheit ist, bezeichnet Cyber-Ark, Anbieter von Security-Software, als Trugschluss. Im Gegenteil: Vielfach sei gerade die Implementierung einer virtualisierten IT-Infrastruktur mit zahlreichen neuen und zusätzlichen Gefahren verbunden – insbesondere im Hinblick auf die unterlassene Beschränkung der Zugriffsrechte von Administratoren.
Cyber-Ark sieht drei zentrale Gefahren bei der Virtualisierung:
- Keine klaren Verantwortlichkeiten und keine adäquate Überwachung administrativer Accounts: Bei Virtualisierungslösungen sind Administratoren in der Regel – und im Unterschied zu physikalischen Systemen – nicht mehr nur für ein System oder eine Applikation verantwortlich, sondern für die gesamte IT-Infrastruktur. Dadurch werden sie zu Super-Admins mit uneingeschränkten privilegierten Rechten – es erfolgt keine strikte ‚Separation of Duties‘ und keine Implementierung rollenbasierter Zugriffs- und Kontrollsysteme.
- Keine Trennung von unternehmenskritischen und weniger wichtigen VMs (Virtual Machines): Häufig befinden sich nach einer Virtualisierung Anwendungen mit unterschiedlichen Sicherheitslevels ohne adäquate Trennung auf demselben physikalischen System. Daher können die Sicherheitslücken eines Systems genutzt werden, um auf unternehmenskritische Applikationen und Daten zuzugreifen.
- Keine Erfahrung der Administratoren: Mit der Implementierung virtualisierter Umgebungen erweitert sich auch der Aufgabenbereich von Administratoren (z.B. im Hinblick auf das Management unterschiedlicher Infrastruktur-Bereiche wie Server, Storage, Netzwerk und Applikationen). Dabei besteht die große Gefahr, dass sie nicht über genügend Praxiserfahrung in der Verwaltung all dieser Lösungen verfügen. Dies führt zu zusätzlichen Sicherheitsrisiken – und sei es nur bedingt durch falsche Konfigurationen.
Zu ähnlichen Ergebnissen wie Cyber-Ark kommt Gartner in der aktuellen Studie Addressing the Most Common Security Risks in Data Center Virtualization Projects, in der die Marktforscher mehrere Bereiche identifiziert haben, die bei der Virtualisierung Sicherheitsrisiken darstellen. Gartner prognostiziert zudem, dass in 2012 rund 60 Prozent der virtuellen Server weniger Sicherheit bieten als die physikalischen Systeme, die sie ersetzen.
Die Brisanz des Themas zeige sich auch daran, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen 1. IT-Grundschutz-Tag des Jahres 2010 Mitte März unter das Motto ‚Virtualisierung von IT-Systemen – Risiken und Abhängigkeiten‘ gestellt hat. Dabei hat das BSI auch eine Vorabversion des neuen Bausteins ‚Virtualisierung‘ vorgestellt, der in der nächsten Version der IT-Grundschutzkataloge enthalten sein soll. Auch hier wird dezidiert darauf hingewiesen, dass es erforderlich ist, eindeutige Regelungen zur Verteilung der Aufgaben zwischen den Administratoren zu treffen.
Jochen Koehler, Deutschland-Chef, Cyber-Ark: „Virtualisierung ist heute ohne Frage einer der zentralen IT-Trends, aber das Thema Sicherheit kommt dabei meistens zu kurz. In unseren Augen sollten aber eine klare Regelung der Verantwortlichkeiten in der Administration der virtuellen Infrastruktur und die automatische Verwaltung und Überwachung der privilegierten Benutzerkonten zu den absoluten Grundvoraussetzungen jeder Virtualisierungsimplementierung gehören. Nur so können die Sicherheit maximiert und die Risiken minimiert werden.“
Speziell für diese Thematik hat Cyber-Ark den „Enterprise Password Vault“ (EPV) entwickelt. Die Software-Lösung soll eine sichere, zentrale Verwahrung und anderseits eine regelmäßige automatische Änderung von Admin-Passwörtern – bis hin zu individuellen Passwörtern auf allen Systemen – ermöglichen. Der Anwender kann dabei die Komplexität und den Änderungszyklus beliebig festlegen. Die Passwörter befinden sich verschlüsselt in einem digitalen Tresor. Der Passwort-Zugriff wird über eine klar definierte Rollen- und Berechtigungsstruktur sowie eine eindeutige Identifikation des Anwenders realisiert. Durch eine vollständige Überwachung kann die Nutzung der entsprechenden Accounts zu jeder Zeit überprüft werden: Alle Aktivitäten werden in einem Audit-Log aufgezeichnet. Damit soll die Lösung den Anforderungen externer Prüfungen, gängigen Compliance-Vorschriften sowie aktuellen gesetzlichen und aufsichtsrechtlichen Bestimmungen entsprechen. (Quelle: Cyber-Ark Software Ltd./GST)
