Fehlendes Sicherheits-Management gefährdet virtuelle Umgebungen
CA Technologies hat die Ergebnisse der Studie zur Sicherheit in virtuellen Umgebungen mit dem Titel "Security – An Essential Prerequisite for Success in Virtualisation" bekannt gegeben.
Die Studie belegt, dass Sicherheit ein essentieller Erfolgsfaktor für die Virtualisierung ist. Unternehmen, die auf ein virtualisiertes oder Cloud-IT-Modell umsteigen, müssen in ihre Sicherheitsstrategie, in ihre Organisation, in ihre Skills und in Technologie investieren. Zudem sollten sie sich Anbietern zuwenden, die eine nahtlose Integration zwischen Sicherheits- und Service-Management bieten sowie Werkzeuge, die sowohl heterogene virtualisierte als auch physische Umgebungen unterstützen.
Grösste Bedrohung "Data Sprawl"
Ein zentrales Resultat der Studie ist: Unternehmen gefährden ihre virtuellen Infrastrukturen, wenn sie keine ausreichende Vorkehrungen für das Sicherheitsmanagement schaffen. Die Hauptgefahren, die Hypervisor-Privilegien und das Risiko der unkontrollierten Datenverbreitung in virtualisierten IT-Umgebungen (Data Sprawl), werden von den bisher üblichen Technologien und Sicherheitsrichtlinien für die Virtualisierung nicht ausreichend adressiert. Das Phänomen des "Data Sprawl" wird von den Befragten als die grösste Bedrohung genannt: 81 Prozent der Befragten schätzen das Risiko des Data Sprawl als "sehr wichtig" oder "wichtig" ein. Data Loss Prevention (DLP) mildert die Gefahr der unkontrollierten Datenverbreitung, jedoch nur 38 Prozent der Unternehmen haben DLP implementiert.
Ebenso befürchten 73 Prozent der Unternehmen, dass die weitreichenden Privilegien der Hypervisoren zu Fehlern oder Missbrauch durch privilegierte User führt. Der Account des Hypervisors verfügt über umfangreiche Zugriffsrechte und nur geringe Beschränkungen oder Sicherheitskontrollen. Der Hypervisor führt eine weitere Schicht in die Virtualisierungsumgebung ein, die eine Angriffsfläche bietet und dem Missbrauch durch privilegierte User Tür und Tor öffnet. Laut der Studie haben jedoch 49 Prozent der Unternehmen weder ein Privilegiertes-User-Management (PUM) noch eine Lösung für das Sicherheits-Log-Management implementiert.
Separation of Duties als Sicherheitsprinzip
Darüber hinaus geht aus der Umfrage hervor, dass zu viele Sicherheitsmassnahmen von manuellen Prozessen abhängig sind und von keiner Technologie unterstützt werden, was die Unternehmenssicherheit ebenfalls beeinträchtigt. Nur 65 Prozent der Studienteilnehmer gaben an, dass sie über eine klare Aufgabentrennung (Separation of Duties) bei administrativen Aufgaben über alle virtuellen Plattformen hinweg, verfügen – das ist aber eine wichtige Voraussetzung für Compliance und Best Practices. Separation of Duties ist ein Sicherheitsprinzip, das vor Betrug und Fehlern schützt. Es verteilt die Aufgaben und die damit verbundenen Privilegien für bestimmte Geschäftsprozesse auf zahlreiche User.
Interessanterweise belegt die Studie zugleich, dass 40 Prozent der Befragten keine Software-Werkzeuge nutzen, die eine klare Aufgabentrennung automatisieren. Solche Tools sind zum Beispiel: Access Certification, Privileged User Management oder Log Management. Nur 42 Prozent der Umfrageteilnehmer führen regelmässige Zugangszertifizierungen für privilegierte User durch beziehungsweise sind in der Lage, privilegierte Zugänge angemessen zu überwachen und in Sicherheitsprotokollen festzuhalten.
Virtualisierungstrends: Sicherheitsmanagement bleibt ein Bremsklotz
Bei den meisten Unternehmen ist die Virtualisierung noch nicht das Standardfundament der IT-Produktionsumgebungen. Lediglich 34 Prozent der an der Studie teilnehmenden Unternehmen haben eine Server-Virtualisierung bei mehr als 50 Prozent ihrer Systeme umgesetzt. Andere Virtualisierungstypen sind in noch geringerem Umfang eingeführt: Bei mehr als der Hälfte der Systeme ist die Virtualisierung von Storage zu 16 Prozent, von Applikationen zu 10 Prozent und des Desktops zu 8 Prozent von den Unternehmen umgesetzt. Diese Zahlen belegen die grosse Kluft zwischen dem Hype der Virtualisierung sowie ihrer realen Einführung.
Während der Haupttreiber für Virtualisierung eine höhere IT-Betriebseffizienz ist, wie 91 Prozent der Studienteilnehmer angaben, ist die Sicherheit ein Problem beim Übergang zur Virtualisierung. 39 Prozent der Unternehmen glauben, dass virtuelle Umgebungen schwieriger abzusichern sind als physische Umgebungen.
Was behindert die Implementierung von Sicherheitslösungen in virtuelle Umgebungen?
Ein Hauptgrund, dass nicht mehr IT-Organisationen Sicherheitslösungen einführen, ist die mangelnde Fachkenntnis – dies gaben 19 Prozent der Befragten als Hinderungsrund an. Im Gesamten führen laut Studie 55 Prozent der Befragten als weiteren Bremsklotz die "Kosten und Vorabkosten der Implementierung" an sowie 53 Prozent die "Komplexität des Sicherheits-Managements über alle virtuellen Umgebungen und Plattformen hinweg". Diese Ergebnisse überraschen nicht: Sicherheit hat ihren Preis, das wird aber oft nicht berücksichtigt, wenn ein Projekt initiiert wird.
"Es gibt zwei zentrale Aspekte, die mit der Komplexität und der Sicherheit in virtualisierten Umgebungen verbunden sind", sagt Martin Kuppinger, Gründer und Principal Analyst von Kuppinger Cole. "Erstens gestaltet sich das Sicherheits-Management in virtualisierten Umgebungen schwieriger, da die Virtualisierung vermehrt dazu führt, dass Applikationen und Daten zwischen verschiedenen Host-Systemen hin- und her geschoben werden." Kuppinger ergänzt: "Zweitens, müssen unterschiedliche Plattformen und Umgebungen, die von verschiedenen Anbietern zur Verfügung gestellt werden, verwaltet und gesichert werden."
VMware am häufigsten im Einsatz
Wie die Studienergebnisse belegen, setzen die meisten Unternehmen auf mindestens zwei Anbieter von Virtualisierungstechnologien: So nutzen 83 Prozent der Befragten VMware, 52 Prozent Citrix und 41 Prozent Microsoft (hauptsächlich Hyper-V). Zudem gaben 84 Prozent der Unternehmen an, dass sie integrierte Lösungen bevorzugen, um sowohl virtuelle als auch physische Umgebungen reibungslos zu sichern. Lediglich 5 Prozent der Umfrageteilnehmer haben ein und dieselbe Sicherheitslösung für die virtuelle und die physische Umgebungen eingeführt oder sind gerade dabei.
Die Studie weist ebenfalls darauf hin, dass die Vielzahl der Unternehmen sich nicht der Bedeutung eines integrierten Sicherheits-Managements, das ein Infrastruktur- und Service-Management umfasst, bewusst ist. Nur so lässt sich jedoch der Automatisierungslevel erreichen, der für virtuelle Umgebungen notwendig ist. Obwohl 39 Prozent der Befragten der Meinung sind, dass zu Sicherung von virtuellen Umgebungen im Vergleich zu physischen Umgebungen mehr Automation notwendig ist, wird der Integration zwischen Sicherheits-, Infrastruktur- und Service-Management die geringste Priorität in Bezug auf die Virtualisierungssicherheit gegeben: Nur 66 Prozent der Teilnehmer meinen, dies sei „sehr wichtig“ oder „wichtig“.
Sicherheitsbedenken bremsen den Übergang zur privaten Cloud aus
Die Studie untersuchte auch die Pläne, mit denen Unternehmen ihre virtuellen Umgebungen zur privaten Cloud weiterentwickeln wollen. Als die Teilnehmer nach den grössten Hürden gefragt wurden, die eine private Cloud-Strategie behindern, galten die stärksten Bedenken der "Vertraulichkeit der Cloud und Compliance-Problemen" sowie der "Cloud-Sicherheit" – sie wurden von fast 85 Prozent der Befragten angeführt.
Während 38 Prozent davon ausgehen, dass sie die Sicherheitsprobleme bis Ende des Jahres 2011 beseitigt haben, sind nur 30 Prozent davon überzeugt, dass dies auch für die Sicherheits- und Compliance-Probleme gilt. Das heisst, dass viele Anwender annehmen, das Thema der Sicherheits- und Richtlinien-Compliance könnte die Weiterentwicklung der IT zur Cloud verzögern. Auf der anderen Seite belegt die Umfrage auch, dass es Unternehmen bewusst ist, dass Sicherheit – insbesondere Identity und Access Management (IAM), Governance, Risk sowie Compliance – Voraussetzung für eine erfolgreiche Cloud-Strategie ist.
Die Studie wurde vom unabhängigen europäischen Marktforschungsunternehmen KuppingerCole im Auftrag von CA Technologies erstellt. Für die Studie befragten die Marktforscher 335 Unternehmens- und IT-Entscheider in Führungspositionen in 15 Ländern. Zu den befragten Ländern zählen Deutschland, Grossbritannien, Frankreich, Italien, Dänemark, Finnland, Norwegen, Schweden, Belgien, die Niederlande, Luxemburg, Portugal, Spanien, die Schweiz sowie die USA.
So stellt sich HP die Zukunft der Arbeitswelt vor
Ferienzeit ist Hochsaison für Cyberbetrüger
Bundesrat plant 2027 einen internationalen KI-Gipfel in Genf
Eine Kolibri-Romanze
Microsoft Schweiz ernennt neuen Leiter fürs Enterprise-Geschäft
Ransomware: Schweizer Firmen zahlen oft, doch verhandeln geschickt
Swiss Medtech Award 2025 geht an Qumea
Foulspiel: Betrüger ködern Fussballfans mit Fake-Tickets
Bundeskanzlei erarbeitet neue Strategie für Rechenzentren des Bundes
