Das Risiko sind Sie!

Die Sicherheit in virtualisierten Umgebungen

03. Februar 2010
Holger Eriksdotter ist freier Journalist in Hamburg.
Analysten und Experten warnen immer wieder, dass Virtualisierung neue Sicherheitsprobleme mit sich bringt. Allerdings lauert die Gefahr nicht vorrangig in der Technik, sondern in Security-Policies, die nicht an die veränderten Architekturen angepasst sind.
Rene Reutter, Abteilungsleiter ICT Sicherheit, T-Systems: "Virtualisierung erfordert ein koordiniertes Zusammenspiel von Netzwerk- und System-Management sowie Security-Komponenten."
Rene Reutter, Abteilungsleiter ICT Sicherheit, T-Systems: "Virtualisierung erfordert ein koordiniertes Zusammenspiel von Netzwerk- und System-Management sowie Security-Komponenten."

Kein Zweifel: Die VirtualisierungVirtualisierung ist in den Unternehmen angekommen. Nach Berechnungen von IDC werden mehr als die Hälfte der in diesem Jahr verkauften ServerServer in virtualisierten Infrastrukturen ihren Dienst verrichten. Der Markt für Virtualisierungssoftware soll in der Region Europa, Naher Osten und Afrika um 55 Prozent von 330 Millionen Euro im vergangenen auf mehr als 500 Millionen in diesem Jahr zulegen. Nach vorsichtigen Schätzungen sind es bereits mehr als 80 Prozent der deutschen Unternehmen, die virtuelle Maschinen im Einsatz haben (vergleiche Grafik auf Seite 42 "Die Nutzung breitet sich weiter aus"). Alles zu Server auf CIO.de Alles zu Virtualisierung auf CIO.de

Typischerweise werden virtuelle Server in der ersten Phase in Test- und Entwicklungsumgebungen genutzt, danach für wenig-kritische Systeme. Erst dann folgt der Produktivbetrieb – inzwischen auch von unternehmenskritischen Anwendungen, denn die Technologie gilt als ausgereift. Spätestens dort stellt sich die Frage: Wie sicher sind virtualisierte Server?

CIO Online-Umfrage: Was steht der Virtualisierung am stärksten im Wege?
CIO Online-Umfrage: Was steht der Virtualisierung am stärksten im Wege?

Potenzielle Gefährdungen entstehen oft aus organisatorischen Mängeln: "Virtualisierung hat Auswirkungen auf die Sicherheits- und Datenschutzkonzeption, die Notfallpläne, den Einsatz von Administrations- und Überwachungs-Tools, das Asset-Management bis hin zur Schulung des Personals. Das erfordert ein koordiniertes Zusammenspiel von Netzwerk- und System-Management sowie Security-Komponenten", sagt René Reutter, Abteilungsleiter ICT Sicherheit bei T-Systems.

Neil MacDonald, Sicherheitsexperte beim Marktforscher Gartner, ergänzt: "In vielen Fällen wird nicht zur Kenntnis genommen, dass mit der Virtualisierung von Servern eine weitere Ebene zu Hardware, Betriebssystem und Applikationen hinzukommt, für deren Sicherheit man sorgen muss."

Grundsätzlich lassen sich die Sicherheitsrichtlinien für physikalische Server und Netze auf ihre virtuellen Gegenstücke übertragen - nur wird das in vielen Fällen vergessen oder ist noch nicht passiert. Mit wenigen einfachen Grundregeln lässt sich die Sicherheit virtueller Server-Landschaften erheblich verbessern: