Mehr Sicherheit durch Risikomanagement und Virtualisierung Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


22.09.2011 Edmund E. Lindau

Mehr Sicherheit durch Risikomanagement und Virtualisierung

Kostendruck, Virtualisierung und die Einbindung "smarter" mobiler Devices stellen heute für viele IT-Sicherheitsverantwortliche die größten Herausforderungen dar. Die COMPUTERWELT sprach dazu mit dem T-Systems-Sicherheitsexperten und Country Security Officer Thomas Masicek.

In der Vergangenheit wurde die Verfügbarkeit der IT durch teure redundante Komponenten und Ausfallstandorte stark abgesichert. Inwieweit lassen sich diese Kosten reduzieren? Thomas Masicek Ohne etabliertes Risikomanagement ist im Unternehmen oftmals nicht bekannt, welche Systeme und Applikationen kritisch für wertschöpfende Prozesse sind und wie lange diese maximal stillstehen dürfen. Somit bleiben für Unternehmen ohne Risikomanagement zwei mögliche Strategien: Entweder die gesamte Infrastruktur vollredundant aufzubauen oder gar keine Maßnahmen zu implementieren. Beide Varianten stellen keine probate Lösung dar, da entweder die Kosten im Vergleich zum Nutzen viel zu hoch angesetzt sind oder das Risiko für ein Unternehmen aufgrund der hohen Eintrittswahrscheinlichkeit, als auch des Schaden­potenzials Schiffbruch zu erleiden, viel zu hoch ist. Zur Umsetzung eines Risikomanagements stehen eine große Auswahl an Methoden und Werkzeugen zur Verfügung. Die am weitesten verbreitete Norm für IT-Risikomanagement ist ISO/IEC 27005:2008, welche in engem Zusammenhang mit dem bekannten Standard ISO/IEC 27001:2005 steht.

Wie kann der Sicherheitslevel in virtualisierten Umgebungen verbessert werden? Während für physische Server gut abgesicherte Rechenzentren zur Verfügung stehen, wird diese Absicherung von virtualisierten Systemen durch die eingesetzte Virtualisierungssoftware realisiert. Darin besteht jedoch ein großes Risiko: Wie in jedem Betriebssystem werden auch in den eingesetzten Virtualisierungsprodukten immer wieder Schwachstellen entdeckt, die es einem Angreifer ermöglichen, aus einer virtuellen Umgebung ausbrechen und Zugriff auf die darunterliegende Virtualisierungsplattform zu erlangen. Dadurch sind nicht nur die Daten der virtuellen Systeme, die in virtuellen Disks abgelegt sind, sondern auch die Konfigurationen der virtuellen Maschinen gefährdet, kopiert oder manipuliert zu werden. Die Grundlage zur Sicherstellung eines adäquaten Sicherheitslevels in virtualisierten Umgebungen besteht somit in einem regelmäßigen und zeitnahen Patchmanagement der Gastsysteme, als auch der Virtualisierungsumgebung selbst. Jedes virtuelle System, gerade wenn es Zugriff auf das Internet, als auch Zugang zum internen Firmennetzwerk hat, muss ordnungsgemäß gepatched und mit einer aktuellen Software zum Schutz vor Viren versehen sein. Ebenso stellt die Aktivierung der in den gängigen Betriebssystemen integrierten Firewalls eine wichtige Maßnahme zur Absicherung des Systems dar. Dadurch wird verhindert, dass ein Hacker über das Internet Zugriff auf ein virtuelles System erlangen kann. Sollte dies einem Angreifer dennoch gelingen, kann der Schaden durch eine regelmäßige Aktualisierung der Virtualisierungsoftware, als auch durch eine saubere Konfiguration der Virtualisierungsplattform in Grenzen gehalten werden.

Wie können Unternehmen mit dem Wildwuchs mobiler Endgeräte und den damit verbundenen Sicherheitsrisiken umgehen? Mobile Devices stellen nicht nur aufgrund der darauf gespeicherten Daten ein Risiko dar, da diese Geräte wenn überhaupt oftmals nur durch einfache Sicherheitsmechanismen abgesichert sind. Grundsätzlich weisen Mobile Devices denselben Schutzbedarf wie Laptops auf. Für Smartphones und Tablets muss deshalb eine durch den Benutzer nicht änderbare Policy implementiert werden: Schutz vor unberechtigter Inbetriebnahme mittels PIN/Passwort, die automatische Gerätesperre bei Inaktivität, eine regelmäßige Softwareaktualisierung sowie die Verschlüsselung sensibler Daten. Die Möglichkeit, ein Smartphone aus der Ferne löschen zu können, ist ebenfalls hilfreich, wenn Geräte verloren gehen oder gestohlen werden. Wichtig ist ebenfalls, dass die unternehmensweite Nutzung von Mobile Devices in einer Richtlinie geregelt ist.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: