Startseite > Office & Kommunikation > Studie: Nichtausreichendes Sicherheits-Management gefährdet virtuelle Umgebungen

Studie: Nichtausreichendes Sicherheits-Management gefährdet virtuelle Umgebungen

1. Dezember 2010, 16:48 Uhr | Ralf Ladner

CA Technologies gibt die Ergebnisse der Studie zur Sicherheit in virtuellen Umgebungen mit dem Titel „Security – An Essential Prerequisite for Success in Virtualisation” bekannt. Die Studie wurde vom unabhängigen europäischen Marktforschungsunternehmen Kuppinger-Cole im Auftrag von CA Technologies erstellt. Dafür befragten die Marktforscher 335 Unternehmens- und IT-Entscheider in Führungspositionen in 15 Ländern.

Ein zentrales Resultat der Studie ist: Unternehmen gefährden ihre virtuellen Infrastrukturen, wenn sie keine ausreichende Vorkehrungen für das Sicherheitsmanagement schaffen. Die Hauptgefahren, die Hypervisor-Privilegien und das Risiko der unkontrollierten Datenverbreitung in virtualisierten IT-Umgebungen (Data Sprawl), werden von den bisher üblichen Technologien und Sicherheitsrichtlinien für die Virtualisierung nicht ausreichend adressiert. Das Phänomen des „Data Sprawl" wird von den Befragten als die größte Bedrohung genannt: 81 Prozent der Befragten schätzen das Risiko des Data-Sprawl als „sehr wichtig" oder „wichtig" ein. Data-Loss-Prevention (DLP) mildert die Gefahr der unkontrollierten Datenverbreitung, jedoch nur 38 Prozent der Unternehmen haben DLP implementiert.

Ebenso befürchten 73 Prozent der Unternehmen, dass die weitreichenden Privilegien der Hypervisoren zu Fehlern oder Missbrauch durch privilegierte User führt. Der Account des Hypervisors verfügt über umfangreiche Zugriffsrechte und nur geringe Beschränkungen oder Sicherheitskontrollen. Der Hypervisor führt eine weitere Schicht in die Virtualisierungsumgebung ein, die eine Angriffsfläche bietet und dem Missbrauch durch privilegierte User Tür und Tor öffnet. Laut der Studie haben jedoch 49 Prozent der Unternehmen weder ein Privilegiertes-User-Management (PUM) noch eine Lösung für das Sicherheits-Log-Management implementiert.

Darüber hinaus geht aus der Umfrage hervor, dass zu viele Sicherheitsmaßnahmen von manuellen Prozessen abhängig sind und von keiner Technologie unterstützt werden, was die Unternehmenssicherheit ebenfalls beeinträchtigt.

Nur 65 Prozent der Studienteilnehmer gaben an, dass sie über eine klare Aufgabentrennung (Separation of Duties) bei administrativen Aufgaben über alle virtuellen Plattformen hinweg, verfügen - das ist aber eine wichtige Voraussetzung für Compliance und Best-Practices. Separation of Duties ist ein Sicherheitsprinzip, das vor Betrug und Fehlern schützt. Es verteilt die Aufgaben und die damit verbundenen Privilegien für bestimmte Geschäftsprozesse auf zahlreiche User. Interessanterweise belegt die Studie zugleich, dass 40 Prozent der Befragten keine Software-Werkzeuge nutzen, die eine klare Aufgabentrennung automatisieren. Solche Tools sind zum Beispiel: Access-Certification, Privileged-User-Management oder Log-Management. Nur 42 Prozent der Umfrageteilnehmer führen regelmäßige Zugangszertifizierungen für privilegierte User durch bzw. sind in der Lage, privilegierte Zugänge angemessen zu überwachen und in Sicherheitsprotokollen festzuhalten.

„Dies zeigt, dass die verfügbaren Automatisierungstechnologien noch nicht weit verbreitet sind, um die Risiken, die der privilegierte Zugriff in virtualisierten Umgebungen heraufbeschwört, abzufangen", sagt Shirief Nosseir, EMEA Product Marketing Director, Security Management bei CA Technologies. „Wenn es so wäre, könnten IT-Abteilungen, die Risiken der Virtualisierung kontrollieren und die Vorteile der Virtualisierung letztendlich besser realisieren."