Studie: Virtualisierung vs. IT-Sicherheit

Laut einer Studie von Varonis, einem Anbieter von Data-Governance-Software, wird das Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt. 48 Prozent der Befragten gaben an, dass in ihrem Unternehmen bereits unbefugte Zugriffe auf virtuelle Server stattgefunden hatten bzw. dass sie dies vermuteten. Wie die bei den VMworld Conferences durchgeführte Untersuchung zeigt, wird Sicherheitsbelangen in virtuellen Umgebungen eine zu geringe Bedeutung beigemessen. Tatsächlich haben 70 Prozent der Studienteilnehmer auf virtuellen Servern nur wenige oder keine Auditing-Prozesse implementiert. [...]

Angaben von Gartner zufolge wurden bereits mehr als 50 Millionen virtuelle Computer (Virtual Machines, VM) auf Servern installiert. Dementsprechend verwenden fast alle Befragten (87 Prozent) virtuelle Anwendungsserver – meist aufgrund der rascheren Bereitstellung (76 Prozent) und Notfallwiederherstellung (74 Prozent). Diejenigen, die keine virtuellen Server einsetzen, gaben als Hauptgründe dafür Speicherplatz (37 Prozent), Leistung (30 Prozent) und mangelnde Vorteile (20 Prozent) an.

Das Thema Dateisicherheit scheint in Unternehmen aller Größen unter den Tisch zu fallen. Während 60 Prozent der Studienteilnehmer angaben, Berechtigungen mit großer Sorgfalt zu vergeben und anschließende Änderungen zu überprüfen, hatten 70 Prozent unabhängig von der Größe des jeweiligen Unternehmens wenige oder keine Mechanismen zum Auditieren von Änderungen implementiert. Dies war also selbst in großen Organisationen der Fall. Tatsächlich räumten 20 Prozent der Unternehmen mit mehr als 5.000 Mitarbeitern ein, über keine Möglichkeit zur Dateiprotokollierung zu verfügen. Benruhigend ist dies vor allem deshalb, weil die Vergabe von Berechtigungen alleine noch keine ausreichende Sicherheit bietet. Nur über einen Audit-Mechanismen lässt sich auch feststellen, ob und von wem eine Berechtigung geändert wurde – und ob vertrauliche Daten somit dennoch eventuell gefährdet sind.

48 Prozent berichteten, dass auf ihren virtuellen Servern bereits unbefugte Dateizugriffe stattgefunden hatten bzw. sie dies vermuteten. Überraschenderweise glauben ganze 68 Prozent derjenigen, die sämtliche Aktivitäten überwachen, dass dennoch Unbefugte auf ihre Daten zugreifen.

„Offensichtlich nehmen IT-Abteilungen das Thema Virtualisierung auf die leichte Schulter. Nach der Virtualisierung von Komponenten scheinen die IT-Mitarbeiter davon auszugehen, dass für die Details zur Verwaltung von Dateiberechtigungen und zur Zugriffsüberwachung automatisch gesorgt wird. Möglicherweise erachten die Teams, die für das Management von Virtualisierungsprojekten zuständig sind, die Themen Dateisicherheit und Governance auch nicht als ihre Aufgabe. Und das Sicherheitsteam hat vielleicht keinen Überblick über diese Vorgänge“, sagt Arne Jacobsen, Director DACH bei Varonis.

Die Ergebnisse deuten darauf hin, dass die Virtualisierung zwar eine bahnbrechende Methode zur Isolation von Anwendungen und Diensten mit nur wenigen Klicks darstellt, jedoch keine Lösung für das Berechtigungsmanagement und die Zugriffsüberwachung ist, sondern deren Komplexität sogar noch erhöht.

„Der Schutz von Daten auf virtuellen Servern erfordert dieselbe Sorgfalt und Aufmerksamkeit wie in physischen Umgebungen – vielleicht sogar noch mehr, da das Management mehrerer Betriebssysteme auf einem einzigen Rechner deutlich komplexer ist. Damit Organisationen die Kontrolle über ihre digitalen Objekte behalten, ist die Weiterbildung ihrer IT für sie überlebenswichtig. Und zwar sowohl die Schulung von Mitarbeitern zum Umgang mit virtuellen Dateisystemen als auch zur effektiven Nutzung automatisierter Prozesse, um Sicherheitslücken aufzudecken, Aktivitäten zu überwachen und Berechtigungen zu steuern“, so Jacobsen.

Der gesamte Bericht der Studie zur Sicherheit in virtuellen Umgebungen steht nach einer namentlichen Registrierung unter http://hub.varonis.com/virtualization-report zum Download bereit. (pi)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*