Mehr Sicherheit durch Risikomanagement und Virtualisierung Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


19.09.2011 Edmund E. Lindau

Mehr Sicherheit durch Risikomanagement und Virtualisierung

Kostendruck, Virtualisierung und die Einbindung "smarter" mobiler Devices stellen heute für viele IT-Sicherheitsverantwortliche die größten Herausforderungen dar. Die COMPUTERWELT sprach dazu mit T-Systems Sicherheitsexperten und Country Security Officer Thomas Masicek.

Lösungen für Server- und Desktop-Virtualisierung sind geeignete Mittel zur Konsolidierung einer bestehenden IT-Infrastruktur. Besonders wenn virtuelle Maschinen Zugang zum Firmennetz und zum Internet haben, ist das Sicherheitsrisiko enorm hoch. Laut einer Umfrage der Gartner Group, verfügen rund 60 Prozent der virtuellen Systeme über einen niedrigeren Sicherheitsstatus als physikalische Maschinen. Wie kann der Sicherheitslevel in virtualisierten Umgebungen verbessert werden?

Thomas Masicek:Virtualisierung stellt eine adäquate Möglichkeit zur Kostensenkung und optimalen Ressourcenausnutzung dar. Die Nutzung dieser Technologie birgt jedoch auch Risiken in sich und verändert die Risiken, die auf die IT-Landschaft wirken. Während für physische Server gut abgesicherte Rechenzentren zur Verfügung stehen, zu denen nur wenige authorisierte Personen Zutritt haben und mittels Alarmanlagen, Videoüberwachung und Zutrittskontrollsystemen überwacht wird, wird diese Absicherung von virtualisierten Systemen durch die eingesetzte Virtualisierungssoftware realisiert. Darin besteht jedoch ein großes Risiko: Wie in jedem Betriebssystem, werden auch in den eingesetzten Virtualisierungsprodukten immer wieder Schwachstellen entdeckt, die es einem Angreifer ermöglichen, aus einer virtuellen Umgebung ausbrechen und Zugriff auf die darunterliegende Virtualisierungsplattform zu erlangen. Dadurch sind nicht nur die Daten der virtuellen Systeme, die in virtuellen Disks abgelegt sind, sondern auch die Konfigurationen der virtuellen Maschinen gefährdet, kopiert oder manipuliert zu werden.

Die Grundlage zur Sicherstellung eines adäquaten Sicherheitslevels in virtualisierten Umgebungen besteht somit in einem regelmäßigen und zeitnahen Patchmanagement der Gastsysteme, als auch der Virtualisierungsumbebung selbst. Jedes virtuelle System, gerade wenn es Zugriff auf das Internet, als auch Zugang zum internen Firmennetzwerk hat, muss ordnungsgemäß gepatched und mit einer aktuellen Software zum Schutz vor Viren versehen sein. Ebenso stellt die Aktivierung der in den gängigen Betriebssystemen integrierten Firewalls eine wichtige Maßnahme zur Absicherung des Systems dar. Dadurch wird verhindert, dass ein Hacker über das Internet Zugriff auf ein virtuelles System erlangen kann.

Sollte dies einem Angreifer dennoch gelingen, kann der Schaden durch eine regelmäßige Aktualisierung der Virtualisierungsoftware, als auch durch eine saubere Konfiguration der Virtualisierungsplattform in Grenzen gehalten werden, da ein Ausbrechen aus dem Gastsystem nur schwer möglich ist. Ebenso sollten Änderungen an diesen Systemen nur über einen sauber definierten Changemanagement-Prozess im 4-Augenprinzip erfolgen, um Fehlkonfigurationen und dadurch Zugriffe für Unbefugte verhindern zu können.

In der Vergangenheit wurde die Verfügbarkeit der IT häufig durch teure redundante Komponenten und Ausfallstandorte unverhältnismäßig stark abgesichert. Inwieweit lassen sich diese Kosten durch eine Neubewertung des Schutzbedarfs auf Basis eines funktionierenden Risiko-Managements reduzieren?

Aufgrund der zunehmenden Komplexität der Geschäftsprozesse wird der Erfolg eines Unternehmens immer mehr von der eingesetzten Informationstechnologie abhängig. Systemausfälle oder Datenverlust können dabei zu existenzgefährdenden Situationen führen. Ohne etabliertes Risikomanagement ist im Unternehmen oftmals nicht bekannt, welche Systeme und Applikationen kritisch für wertschöpfende Prozesse sind und wie lange diese maximal stillstehen dürfen, bis ein Ausfall das Unternehmen substanziell gefährdet. Somit bleiben für Unternehmen ohne Risikomanagement zwei mögliche Strategien: Entweder die gesamte Infrastruktur vollredundant aufzubauen oder gar keine Maßnahmen zu implementieren und darauf zu hoffen, dass die auf ein Unternehmen wirkenden Risiken nicht eintreten. Beide Varianten stellen keine probate Lösung dar, da entweder die Kosten im Vergleich zum Nutzen viel zu hoch angesetzt sind oder das Risiko für ein Unternehmen aufgrund der hohen Eintrittswahrscheinlichkeit, als auch des Schadenspotentials Schiffbruch zu erleiden, viel zu hoch ist.

Zur Umsetzung eines Risikomanagements stehen derzeit eine große Auswahl an Methoden und Werkzeugen zur Verfügung. Die am weitesten verbreitete Norm für IT-Risikomanagement ist ISO/IEC 27005:2008, welche in engem Zusammenhang mit dem bekannten Standard ISO/IEC 27001:2005 steht.

Da der schnelle technologische Wandel zu einer kontinuierlichen Änderung des Risikopotenzials führt, stellt ein effektives und effizientes IT-Risikomanagement einen grundlegenden Baustein für eine IT-Landschaft dar, um die Unternehmensziele kosteneffizient und adäquat erreichen zu können. Im Zuge von IT-Governance und Compliance-Anforderungen wird dies in besonders kritischen Umgebungen oftmals auch durch Rechtsnormen gefordert.

Durch das Eintreten nicht abgesicherter Risiken (das betrifft sowohl vorsätzliche Handlungen wie z.B. Hacker-Angriffe als auch mögliches technisches Versagen) können Schäden und somit Kosten für das Unternehmen entstehen. Im Gegenzug benötigt Risikovorsorge auch Ressourcen, die jedoch durch ein effektives Risikomanagement gesteuert werden können. Neben IT-Security- müssen auch Compliance-, Verfügbarkeits- und Performance-Anforderungen als Bestandteil eines umfassenden IT-Risikomanagements angesehen werden. IT-Risikomanagement hat somit eine Querschnittswirkung und hat mehr Einfluss denn je auf die Wettbewerbsfähigkeit eines Unternehmens.

Mobile Geräte sind in. Doch mit der Verbreitung der Smartphones und Tablets wächst der Druck auf die IT in puncto Security. Wie können Unternehmen mit dem Wildwuchs mobiler Endgeräte und den damit verbundenen Sicherheitsrisiken umgehen?

Mobile Gadgets wie Smartphones oder Tablets erfreuen sich immer größerer Beliebtheit und sind natürlich auch in Unternehmen mittlerweile nicht mehr wegzudenken. Einerseits ermöglichen diese Geräte jederzeitigen Zugriff auf Kommunikationsdienste, aber auch auf sensible Unternehmensinformationen und Anwendungen. Dies kann die Geschäftsprozesse durch eine rasche und zielgerichtete Informationsverteilung unterstützten und damit zum Unternehmenserfolg beitragen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr

Hosted by:    Security Monitoring by: