:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/ba/7dbaa635d6a6c618f72199882f8b838f/0129755658v2.jpeg "Das Personal der BDH-Klinik in Greifswald habe nach einem Cyberangriff einige digitale Abläufe analog ausführen müssen, die Versorgung der Patienten sei jedoch sichergestellt gewesen. (©peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/89/1889ed31c2dce0a86bd0e07c2f125197/0129714473v2.jpeg "Deepfakes sind zur realen Bedrohung für Unternehmen geworden. Zero Trust muss künftig auch die Echtheit von Inhalten verifizieren, nicht nur die Identität von Nutzern. (Bild: © Flash memory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/da/b0da219a083f51ec8d1a177ed2f734ed/0129623165v2.jpeg "Die RTL Group ist Europas größter kommerzieller Radio- und Fernsehanbieter und hat damit Zugang zu sensiblen Informationen und Quellen, die für ihre Berichterstattung und investigativen Recherchen von entscheidender Bedeutung sind. Somit ist die Gruppe ein besonders interessantes Ziel für Cyberkriminelle. (Bild: Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db155e114b7d535ee7ec9cbed89079/0129714250v2.jpeg "KMU stehen unter Compliance-Druck durch Vendor-Management und NIS-2. Minimum Viable Security ermöglicht strukturierte Informationssicherheit ohne Vollzeit-CISO und teure Zertifizierung. (Bild: © sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/01/6c0154fdb59eb48f6829cd91be1c03b8/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/7c/c2/7cc2c38d63b706138cfa268402e4d615/0129578852v1.jpeg "One Identity prognostiziert den ersten großen Sicherheitsvorfall durch unkontrollierte Rechteausweitung von KI-Agenten schon für 2026. (Bild: © Duminda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/cf/1dcfd91e73b22fe28bb14755027091e2/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/6d/346d2bf387bf6e611f8392810a17bbf6/0129601265v2.jpeg "Mit VirtualBox können Nutzer mehrer VMs auf einem Computer betreiben. Derzeit steht die Open-Source-Lösung unter Beschuss, da die ZDI sieben Zero-Day-Schwachstellen darin entdeckt hat. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/77/1f776e33a8b7268ea99a5ef15848b1db/0129545820v2.jpeg "Confidential Computing schließt die letzte Sicherheitslücke der Cloud: Daten bleiben durch Hardware-Enklaven auch während der Verarbeitung verschlüsselt – selbst vor Cloud-Providern und Administratoren. (Bild: © diowcnx - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/7f/0c7fe474a726f4f5516fa7cfcd6fb699/0124411560v1.jpeg "Messdaten von Cloudflare zeigen, wie stark Kabelschäden, Stromausfälle und Extremereignisse die Internetverfügbarkeit weiterhin beeinträchtigen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/6a/f7/6af7e879055983e8e04b8342915cf5fd/0129654017v1.jpeg "Bahnchefin Evelyn Palla kündigte an, die freiwillige Ausstattung mit Bodycams noch in diesem Jahr auf alle Beschäftigte mit Kundenkontakt ausweiten zu wollen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/19/1d1934d9186ce6069c917f0ec4b52751/0129652501v2.jpeg "Bankverbindungen, Identitäten von Kontoinhabern, Adressen und teilweise auch Steueridentifikationsnummern sind von dem Cyberangriff auf die FICOBA betroffen. Den Kontostand einzusehen oder Überweisungen zu tätigen war dem Angreifer nicht möglich. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/52/bb5271251b8f85b4d52e23d0502765bb/0129495531v2.jpeg "CISO Advantage von Sophos soll Unternehmen praxisnahe Anleitungen auf CISO-Niveau liefern, die ihnen helfen, ihre Sicherheitslage zu verbessern und Compliance-Anforderungen zu erfüllen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Gefahr unterschätzt beim Corporate Virtual Desktop Desktop Virtualisierung erfordert begleitende Sicherheitskonzepte
Experten sind sich uneins, ob der Megatrend Virtualisierung mit Blick auf den Bildschirm des Anwenders das Sicherheitsmanagement im Unternehmen erleichtert oder verschlimmert. Für den Desktop ist Virtualisierung jedenfalls nur dann eine Verbesserung, wenn die Spezialisten die komplexe Absicherung fortlaufend berücksichtigen und sicherstellen kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
Der Markttreiber im Virtualisierungsumfeld ist die Server- und Storage-Virtualisierung. Virtuelle Desktops sind jedoch ein interessantes Nebenprodukt der ausgesprochen dynamischen Entwicklung. Welche Herausforderung die „Corporate Desktop Virtualisierung“ für die Security-Spezialisten im Unternehmen darstellt, ist umstritten.
Offen bleibt vor allem die Frage, ob die damit einher gehenden Konzepte mit Blick auf die IT-Sicherheit generell einen Zugewinn mit sich bringen, vorausgesetzt sie sind richtig implementiert, oder ob diese andererseits die Managementrisiken eher vergrößern als verkleinern. Pauschal lässt sich dies freilich kaum beantworten.
Aus Sicht des Anwenders überwiegen zunächst einmal die Vorteile. „Ein Thin Client bzw. Rechner mit Festplatte und darauf enthaltenen Daten kann nicht mehr aus dem Büro entwendet werden“, sagt Steffen Stempel, Leiter Professional Services beim IT-Dienstleister SHE Informationstechnologie AG (SHE). Das Deployment aus Templates heraus berge weniger Risiken der Fehlkonfiguration.
Speziell im Bereich der Home Offices kann der Anwender wie von zu Hause aus gewohnt arbeiten. Ganz so unisono lassen sich die Vorteile aber dennoch nicht zusammen fassen, insbesondere wenn es darum geht, die komplexen Anwendungen wasserdicht zu machen. Generell gelte es bei zentralen Systemen Single Points of Failure zu vermeiden, sagt Stempel.
Wie bei den übrigen zentralen Systemen, sei dafür eine permanente Netzanbindung notwendig. Jedoch gilt dies mit der Einschränkung, dass die jeweiligen Remote Desktop Protokolle nur sehr geringe Grafikleistungen unterstützen. „Als Ersatz für Grafik-Workstations mit High-End Grafikkarten können diese Geräte also nicht dienen“, bilanziert der Experte von SHE.
Beim Ausfall eines Server-Systems fallen zudem gleich mehrere Desktop-Systeme aus. Und schließlich müssen die Spezialisten beim Aufbau von virtuellen Desktop Infrastrukturen ebenso wie bei allen zentralen Systemen auch auf die Redundanz achten.
Akuter Handlungsbedarf gegeben
Da bei der Virtualisierung grundsätzlich gleich mehrere verschiedene Desktop oder Server-Systeme auf einer physikalischen Hardware laufen, ist eine sicherheitstechnische Trennung der einzelnen Komponenten untereinander von zentraler Bedeutung, und vor allem ein Schutz des „Gastgebers“ und dessen Management-System, sprich die Server-Systeme der Virtuellen Infrastruktur.
Bei der Neukonzeption einer virtuellen Infrastruktur plädieren die Experten von SHE deshalb dafür, die wesentlichen Punkte bereits in der ersten Planungsphase mit zu berücksichtigen, weil das nachträgliche Implementieren von Schutzmaßnahmen typischerweise sehr aufwändig sei. „Außerdem besteht das Risiko, dass bei einem Hersteller-Fehler in der virtuellen Infrastruktur ein Angreifer von einer virtuellen Maschine auf eine andere oder sogar auf den Wirt selbst zugreifen kann“, betont Stempel.
Derartige Fehler sind keineswegs aus der Luft gegriffen, und haben sich erst in der jüngsten Vergangenheit bei Microsoft, aber auch bei der offenen Variante XEN, ereignet. „VMWare ESX wurde hiervon bislang noch verschont“, so der Experte weiter. Welche Strategie die Unternehmen indes generell präferieren, sprich, ob sie den Sicherheitsaspekt an einen externen Partner „auslagern“ können oder dies besser intern managen, darüber lässt sich trefflich diskutieren.
Sicherheitskonzept: Auslagern oder selbst managen?
Prinzipiell sei die Betreuung der IT-Sicherheit im Unternehmen eine Aufgabe, die sich kaum „nebenbei“ erledigen ließe, argumentiert Steffen Stempel von SHE. Ist das Unternehmen groß bzw. sind die Sicherheitsanforderungen hoch genug, so seien ein oder mehrere eigene Mitarbeiter im Unternehmen sinnvoll, die sich dediziert um die Sicherheitsthemen kümmern.
Spätestens aber, wenn trotz entsprechender Sicherheitsanforderungen der zeitliche Aufwand für Security-Themen so gering sei, dass es sich nicht lohne, einen eigenen Mitarbeiter dafür auszubilden und dediziert abzustellen, sieht der Experte die Vergabe an einen externen Dienstleister als die sinnvollere Variante als das kreative Management in eigener Regie an.
Unabhängig davon, ob die Spezialisten den Sicherheitsaspekt intern oder extern adressieren, stellt sich bei der Auswahl des passenden Zielsystems mit Blick auf VMwares Virtual Desktop Infrastrukture (VDI) aber ohnehin die Frage, ob dieses Konzept tatsächlich einen praktikablen und ausreichenden Lösungsansatz darstellt.
„Das kommt immer auf die einzelnen Anforderungen an“, unterscheidet der Experte von SHE. Seien die Leistungsanforderungen insbesondere an die Grafik nicht übermäßig hoch, seien keine speziellen Peripheriegeräte in Benutzung, und sollten die Clients lediglich im normalen Büroalltag bzw. Home Office bzw. nicht mobil in Anwendung sein, dann favorisiert Steffen Stempel VDI grundsätzlich als eine interessante Alternative.
Der virtualisierte Desktop offeriere zudem den Vorteil, ad hoc einen voll konfigurierten Arbeitsplatz etwa für Aushilfskräfte bereit zu stellen. Dennoch lässt sich kaum in Abrede stellen, dass der zunehmende Mix in der betrieblichen Anwendungslandschaft die Rund-Um-Absicherung erheblich erschwert.
Denn im Gegensatz zu VMWare ESX-Servern setzen andere Lösungen auf einem bestehenden Betriebssystem wie Linux oder Windows auf. „Somit muss neben dem Virtualisierungssystem auch das unterliegende Betriebssystem gepflegt und abgesichert werden“, gibt Steffen Stempel zu bedenken. Dies erhöhe den Aufwand beträchtlich. Auch verfügten die jeweiligen Alternativen zu VMWare heute noch nicht über derart ausgereifte Mechanismen zur Implementierung von Hochverfügbarkeit.
Auch die Hersteller sind gefragt
Die Security-Spezialisten von der SHE Informationstechnologie AG stellen infolge der komplexen Rituale, um die virtuelle Vielfalt beherrschbar zu machen, einige konkrete Ansprüche an die Hersteller. „Die Sicherheit des Hypervisors hat absolute Priorität“, sagt Steffen Stempel. Diese könne zum einen auf der Basis von möglichst kleinen und einfachen Hypervisoren integriert sein, aber auch durch die Bereitstellung von Schnittstellen für die Anbindung von Sicherheitsprodukten.
VMWare hat sich bislang allerdings nur auf einen relativ kleinen Hypervisor beschränkt, dessen Quellcode regelmäßig von externen Sicherheitsunternehmen überprüft wird. Der führende Anbieter sollte dazu bis spätestens Ende 2007 über die entsprechende Anerkennung verfügen, sprich die so genannte „US CCEVS Zertifizierung nach EAL4+“.
Außerdem arbeitet VMWare mit einigen namhaften Sicherheitsfirmen wie Check Point weiterhin an den entsprechenden Schnittstellen, um die Sicherheitsprodukte anderer Hersteller in den Hypervisor mit einzuklinken, im Fachjargon als „VMWare vSafe-Offerte“ bezeichnet.
Fazit: Sicherheitsfachleute sollten trotz gradueller Fortschritte dennoch in der Planung, im Betrieb und beim Auditieren von virtuellen Infrastrukturen zwingend die besonderen sicherheitstechnischen Herausforderungen beachten. „Insbesondere gilt es dabei, die Management-Systeme und -Netze sowie das Konsolenbetriebssystem der Virtualisierungs-Server umfassend gegen Schwachstellen abzusichern“, fasst Steffen Stempel zusammen.
Artikelfiles und Artikellinks
(ID:2010555)
:quality(80)/p7i.vogel.de/wcms/b1/36/b136397b968cdf16f587a9aaa72082fe/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird Digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/51/4351ca434efb4985777d4b7937f75df0/0123875353v1.jpeg "Letztlich müssen sich Unternehmen die Frage stellen, ob ihnen „der hohe Aufpreis bei Lösungen mit den großen drei Anbietern wirklich wert ist, nur um keine Agenten nutzen zu müssen\". (Bild: Midjourney / KI-generiert)")