Klare Absprachen notwendig
Ohne Maßnahmen wird Virtualisierung zum Sicherheitsrisiko
Mit der Virtualisierung bekommen Unternehmen automatisch neue Sicherheitsrisiken, wenn sie nichts dagegen tun. Cyber-Ark weißt auf drei Probleme hin. Eines davon sind die wachsenden Rechte der Administratoren.
Es ist wie bei jedem Hype-Zyklus: Die Sicherheit als eigenständiges Thema kommt erst relativ spät. Das ist bei der Virtualisierung nicht anders. Erst jetzt kommt das Thema langsam mehr ins Bewusstsein. Dabei warnt das Sicherheitsunternehmen Cyber-Ark vor dem Trugschluss, »dass die Einführung von Virtualisierungslösungen gleichbedeutend mit einer Erhöhung der Sicherheit ist«. Als Beleg dafür nennt das Unternehmen drei Problembereiche, die automatisch durch die Virtualisierung entstehen, wenn ein Unternehmen nichts dagegen tut. Dabei geht es einmal um die Verantwortungsbereiche und Rechte der Administratoren. Der zweite Bereich ist die Vermischung von kritischen und unwichtigen Applikationen. Außerdem weißt Cyber-Ark auf die Gefahren durch fehlendes Know-how der Administratoren hin.
Ohne Virtualisierung sind Administratoren für einen bestimmten Bereich wie eine physikalischen Server oder eine Applikation zuständig. Mit der Virtualisierung lässt sich diese Trennung so nicht mehr aufrechthalten. Als Folge entstehen Super-Administratoren, die für alles zuständig sind. Für Cyber-Ark ist hier ein auf Rollen basierendes Zugriffs- und Kontrollsystem wichtig.
Bisher sind kritische und nicht so wichtige Systeme einfach physikalisch getrennt und lassen sich daher auch entsprechend schützen. Mit der Virtualisierung können wichtige und unkritische Systeme auf dem gleichen Server laufen. Selbst wenn es zu Beginn diese Trennung gibt, kann sie durch das Verschieben von virtuellen Maschinen schnell aufgelöst sein. Sicherheitslücken eines Systems bieten dann Zugriff auf alle Applikationen, auch die kritischen.
Auf die Administratoren kommen ganz neue Herausforderungen zu. Bisher sind sie für einen bestimmten Bereich wie Server, Storage, Netzwerk oder Anwendungen verantwortlich. Mit der Virtualisierung weicht diese Zuordnung auf. Cyber-Ark sieht nun die Gefahr, dass Admins über zu wenig Erfahrung für das übergreifende Management verfügen. Die Folge könnten zusätzlich Gefahren sein wie durch Fehler bei der Konfiguration oder in der Architektur des Ganzen.
Lesen Sie mehr zum Thema
