Tipps und Tricks für User und Admins: Security-Risiko Virtualisierung Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


20.12.2011 Thomas Bär*, Frank-Michael Schlede*

Tipps und Tricks für User und Admins: Security-Risiko Virtualisierung

Die Virtualisierung ganzer Computer auf dem eigenen PC birgt neben allen Vorteilen auch eine Reihe von Risiken. Wir zeigen die Gefahren und stellen Lösungen vor.

Auch Publikationen, die sich weniger mit IT-Themen befassen, geben ihren Lesern heute gern einmal den Tipp, sich das neue Microsoft Windows 8 in einer virtuellen Maschine anzuschauen. Das sei nämlich sicher und einfach. Nun werden viele Anwender zwischenzeitlich bemerkt haben, dass Einrichtung und Betrieb einer Virtualisierungslösung auf dem Desktop durchaus mit Tücken behaftet sein kann. Zudem bleibt die Frage, wie es um die Sicherheit dieser Software bestellt ist: Wie gefährlich ist der Einsatz von Virtualisierungslösungen wie Oracles Virtual Box, Parallels Desktop 7, Microsoft Virtual PC/Virtual XP oder der VMware Workstation auf dem eigenen Rechner?

Wir haben für diesen Bericht einen näheren Blick auf die Sicherheitsaspekte des Themas "Virtualisierung auf dem eigenen Desktop" geworfen, stellen mögliche Risiken dar und zeigen, wie Sie diese vermeiden können. Im Anschluss daran geben wir noch einen Überblick über die grundsätzlichen Techniken, die bei der Virtualisierung zum Einsatz kommen - denn wer die Grundlagen kennt, kann Gefahren weitaus besser abschätzen und vermeiden.

DER SUPER-GAU: GEFAHR DURCH DIE VIRTUALISIERUNGSSOFTWARE? Wie jede andere Softwarelösung wird auch die Virtualisierungssoftware zunächst auf dem lokalen Betriebssystem installiert. Sie bildet eine oder mehrere virtuelle Maschinen (VMs) ab und erlaubt es dem Anwender, diese unabhängig vom "Host-Betriebssystem" zu betreiben. Dabei sind die VMs grundsätzlich vom lokalen Betriebssystem abgeschottet. Alle Elemente eines Computers vom Ein/Aus-Schalter über die Festplatte bis hin zu den optischen Laufwerken sind virtuell oder werden vom darunter liegenden Betriebssystem "weitergereicht".

Ausgehend von diesem Szenario gelten die ersten Gedanken in Bezug auf potenzielle Sicherheitslücken zunächst einmal der eigentlichen Virtualisierungssoftware. Was passiert beispielsweise, wenn ein Programm es schaffen würde, aus der virtuellen Maschine heraus über die "Speicherschutzgrenzen" hinweg auf das Host-Betriebssystem zuzugreifen? Wäre das möglich, so würde es sich dabei in der Tat um einen Super-GAU in Bezug auf die Sicherheit des Betriebssystems handeln und bösartigen Angriffen wären Tür und Tor geöffnet. Zum Glück ist dieser Fall extrem unwahrscheinlich. Das hat mehrere Gründe:

• Host-Betriebssysteme, ganz gleich ob es sich dabei um Microsoft Windows, Apple OS X oder ein Linux-System handelt, besitzen genügend klassische Schutzmechanismen, die einen "Zugriff" von einem Speicherbereich auf einen anderen wirkungsvoll verhindern.

• Noch wichtiger: Im Gast-Betriebssystem sind keine Indikatoren zu finden, die darauf hinweisen, dass gerade dieses System sich in einer virtuellen Maschine befindet. Das virtualisierte Betriebssystem "weiß" also nicht, dass es aktuell nicht auf echter Hardware aktiv ist!

• Deshalb wird ein Schadprogramm nur schwerlich einen Punkt finden, an dem sein potenzieller Angriff ansetzen könnte.

Sofern die Installationspakete der Virtualisierungssoftware nicht zuvor manipuliert wurden und aus "herkömmlichen, sicheren Kanäle" stammen, besteht an dieser Stelle wohl das geringste Risiko für die Daten auf dem eigenen Host-Computer.

WO BEFINDEN SICH DIE GEFAHREN? Die eigentlichen Gefahren sind vielmehr an den üblichen Schwachstellen zu finden:

• Auch ein virtueller PC ist ein komplett eigenständiges System. Damit unterliegt es den üblichen Gefahren wie Viren-Infektionen und Trojaner-Aktivitäten.

• Das Gleiche gilt für das Risiko eines möglichen Hacking-Angriffs, wenn das virtuelle System nicht ordentlich gepatcht ist.

• Damit geht auch von einem infizierten virtuellen Rechner im Netzwerk stets die Gefahr aus, dass sich maligner Code auf andere Computer im Netz überträgt.

Schon diese kurze Auflistung zeigt deutlich, dass die Gefahren für virtuelle Rechner weder größer noch kleiner sind, als dies bei herkömmlichen Computern der Fall ist. Die eigentliche Gefahr und damit die besondere Herausforderung für alle Anwender, die mit solchen Systemen arbeiten, besteht darin, dass diese Systeme eigentlich "unsichtbar" sind:

• Der Anwender sieht keine Maschine vor sich stehen und so vergisst er allzu leicht, auch das zusätzliche virtuelle Systeme mit Antivirus-Software oder den nötigen Updates zu versorgen: Die Lücke für die Angreifer ist da!

Wir haben bei unseren Untersuchungen vier Schwachpunkte ausgemacht, die beim Einsatz von virtuellen Maschinen auf den Desktop zu besonderen Gefährdungen führen können.

SCHWACHPUNKT NUMMER 1: UNGESCHÜTZTE VIRTUELLE MASCHINEN Eine virtuelle Maschine soll sich schon vom Prinzip so wenig wie möglich von einem physikalischen Rechner unterscheiden. Dadurch gilt dies leider auch für Sicherheitslücken und die damit verbundene Anfälligkeit gegenüber Viren und Schadsoftware. So lautet eine wichtige Regel:

• Jede virtuelle Maschine muss, genau wie ein gewöhnlicher Computer oder Server, in das Patch-Management und in die Antiviren-Lösung eingebunden werden.

Warum geschieht das aber so selten? Weil die Eingliederung der virtuellen Maschine, die "on top" eines normalen Systems läuft, mit den normalen Patch- und Updatezyklen sich zwangsläufig auf die Arbeitsgeschwindigkeit des Rechners auswirkt. So kann es durchaus passieren, dass Host- und Gast-Betriebssystem gleichzeitig die Antiviren-Software starten, um die Festplatten nach Schadsoftware zu durchsuchen. Aus diesem Grund gilt:

• Je besser die Integration in das Host-System gelungen ist, desto aufmerksamer und wachsamer muss der Anwender sein.

Deshalb erfordert gerade die Verwendung des sogenannten XP-Modus unter Windows 7 mit der seiner guten Integration in das Host-Betriebssystem vom Benutzer eine hohe Aufmerksamkeit:

• Der Anwender muss nicht nur auf Sicherheitsmeldungen seines "drunter liegenden" Windows 7 achten, sondern

• gleichermaßen auf die Meldung des Windows XP-Systems achten.

• Noch kritischer verhält es sich, wenn Hostsystem und Gastsystem voneinander abweichen: Beispielsweise wenn auf einem MacOS-Computer ein Windows- oder Linux-System virtualisiert betrieben wird.

Nur durch ein intensives und robustes Patch-Management und der Ausstattung mit einer möglichst Betriebssystem-übergreifenden Antiviren-Lösung ist ein sicherer Betrieb im Unternehmen möglich. Natürlich lassen sich für die verschiedenen Betriebssysteme auch unterschiedliche AV-Lösungen aufsetzen, doch dann müssten die IT-Profis mit unterschiedlichen Management-Konsolen arbeiten und könnten nicht auf alle Daten über eine Oberfläche zugreifen.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: