Laut einer Studie von Varonis, dem führenden Anbieter umfassender Data-Governance-Software, wird das Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt. 48 Prozent der Befragten gaben an, dass in ihrem Unternehmen bereits unbefugte Zugriffe auf virtuelle Server stattgefunden hatten bzw. dass sie dies vermuteten. Wie die bei den VMworld Conferences durchgeführte Studie zeigt, wird Sicherheitsbelangen in virtuellen Umgebungen eine zu geringe Bedeutung beigemessen. Tatsächlich haben 70 Prozent der Studienteilnehmer auf virtuellen Servern nur wenige oder keine Auditing-Prozesse implementiert. Angaben von Gartner zufolge wurden bereits mehr als 50 Millionen virtuelle Computer (Virtual Machines, VM) auf Servern installiert. Dem entsprechend verwenden fast alle Befragten (87 Prozent) virtuelle Anwendungsserver – meist aufgrund der rascheren Bereitstellung (76 Prozent) und Notfallwiederherstellung (74 Prozent). Diejenigen, die keine virtuellen Server einsetzen, gaben als Hauptgründe dafür Speicherplatz (37 Prozent), Leistung (30 Prozent) und mangelnde Vorteile (20 Prozent) an.
Das Thema Dateisicherheit scheint in Unternehmen aller Größen unter den Tisch zu fallen. Während 60 Prozent der Studienteilnehmer angaben, Berechtigungen mit großer Sorgfalt zu vergeben und anschließende Änderungen zu überprüfen, hatten 70 Prozent unabhängig von der Größe des jeweiligen Unternehmens wenige oder keine Mechanismen zum Auditieren von Änderungen implementiert. Dies war also selbst in großen Organisationen der Fall. Tatsächlich räumten 20 Prozent der Unternehmen mit mehr als 5.000 Mitarbeitern ein, über keine Möglichkeit zur Dateiprotokollierung zu verfügen. Benruhigend ist dies vor allem deshalb, weil die Vergabe von Berechtigungen alleine noch keine ausreichende Sicherheit bietet. Nur über einen Audit-Mechanismen lässt sich auch feststellen, ob und von wem eine Berechtigung geändert wurde – und vertrauliche Daten somit dennoch eventuell gefährdet sind. 48 Prozent berichteten, dass auf ihren virtuellen Servern bereits unbefugte Dateizugriffe stattgefunden hatten bzw. sie dies vermuteten. Sensible Unternehmensinformationen werden also der Gefahr von Missbrauch, Verlust und Diebstahl ausgesetzt – ein weiteres Indiz für die mangelnde Sicherheit in virtuellen Umgebungen. Überraschenderweise glauben ganze 68 Prozent derjenigen, die sämtliche Aktivitäten überwachen, dass dennoch Unbefugte auf ihre Daten zugreifen. „Offensichtlich nehmen IT-Abteilungen das Thema Virtualisierung auf die leichte Schulter. Nach der Virtualisierung von Komponenten scheinen die IT-Mitarbeiter davon auszugehen, dass für die Details zur Verwaltung von Dateiberechtigungen und zur Zugriffsüberwachung automatisch gesorgt wird. Möglicherweise erachten die Teams, die für das Management von Virtualisierungsprojekten zuständig sind, die Themen Dateisicherheit und Governance auch nicht als ihre Aufgabe. Und das Sicherheitsteam hat vielleicht keinen Überblick über diese Vorgänge“, sagt Arne Jacobsen, Director DACH bei Varonis.
Die Ergebnisse deuten darauf hin, dass die Virtualisierung zwar eine bahnbrechende Methode zur Isolation von Anwendungen und Diensten mit nur wenigen Klicks darstellt, jedoch keine Lösung für das Berechtigungsmanagement und die Zugriffsüberwachung ist, sondern deren Komplexität sogar noch erhöht. „Der Schutz von Daten auf virtuellen Servern erfordert dieselbe Sorgfalt und Aufmerksamkeit wie in physischen Umgebungen – vielleicht sogar noch mehr, da das Management mehrerer Betriebssysteme auf einem einzigen Rechner deutlich komplexer ist. Damit Organisationen die Kontrolle über ihre digitalen Objekte behalten, ist die Weiterbildung ihrer IT für sie überlebenswichtig. Und zwar sowohl die Schulung von Mitarbeitern zum Umgang mit virtuellen Dateisystemen als auch zur effektiven Nutzung automatisierter Prozesse, um Sicherheitslücken aufzudecken, Aktivitäten zu überwachen und Berechtigungen zu steuern“, so Jacobsen.