Varonis-Studie: Hälfte der IT-Mitarbeiter befürchtet unbefugten Zugriff auf virtuelle Server

Offensichtlich nehmen IT-Abteilungen das Thema Virtualisierung auf die leichte Schulter

[datensicherheit.de, 03.02.2013] Laut einer Studie von Varonis wird das Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt:
48 Prozent der Befragten hätten angegeben, dass in ihrem Unternehmen bereits unbefugte Zugriffe auf virtuelle Server stattgefunden hätten bzw. dass sie dies vermuteten. Wie die bei den „VMworld Conferences“ durchgeführte Studie zeige, werde Sicherheitsbelangen in virtuellen Umgebungen eine zu geringe Bedeutung beigemessen. Tatsächlich hätten 70 Prozent der Studienteilnehmer auf virtuellen Servern nur wenige oder keine Auditing-Prozesse implementiert, so Varonis.
Angaben von Gartner zufolge seien bereits mehr als 50 Millionen virtuelle Computer (Virtual Machines, VM) auf Servern installiert. Dementsprechend verwendeten fast alle Befragten (87 Prozent) virtuelle Anwendungsserver – meist aufgrund der rascheren Bereitstellung (76 Prozent) und Notfallwiederherstellung (74 Prozent). Diejenigen, die keine virtuellen Server einsetzen, hätten als Hauptgründe dafür Speicherplatz (37 Prozent), Leistung (30 Prozent) und mangelnde Vorteile (20 Prozent) angegeben.
Das Thema Dateisicherheit scheine in Unternehmen aller Größen unter den Tisch zu fallen. Während 60 Prozent der Studienteilnehmer angegeben hätten, Berechtigungen mit großer Sorgfalt zu vergeben und anschließende Änderungen zu überprüfen, hätten 70 Prozent unabhängig von der Größe des jeweiligen Unternehmens wenige oder keine Mechanismen zum Auditieren von Änderungen implementiert. Dies sei also selbst in großen Organisationen der Fall gewesen. Tatsächlich räumten 20 Prozent der Unternehmen mit mehr als 5.000 Mitarbeitern ein, über keine Möglichkeit zur Dateiprotokollierung zu verfügen. Beunruhigend sei dies vor allem deshalb, weil die Vergabe von Berechtigungen alleine noch keine ausreichende Sicherheit biete. Nur über einen Audit-Mechanismen lasse sich auch feststellen, ob und von wem eine Berechtigung geändert wurde – und vertrauliche Daten somit dennoch eventuell gefährdet sind.
48 Prozent berichteten, dass auf ihren virtuellen Servern bereits unbefugte Dateizugriffe stattgefunden hätten bzw. sie dies vermuteten. Sensible Unternehmensinformationen würden also der Gefahr von Missbrauch, Verlust und Diebstahl ausgesetzt – ein weiteres Indiz für die mangelnde Sicherheit in virtuellen Umgebungen. Überraschenderweise glaubten ganze 68 Prozent derjenigen, die sämtliche Aktivitäten überwachen, dass dennoch Unbefugte auf ihre Daten zugreifen.
Offensichtlich nähmen IT-Abteilungen das Thema Virtualisierung auf die leichte Schulter. Nach der Virtualisierung von Komponenten schienen die IT-Mitarbeiter davon auszugehen, dass für die Details zur Verwaltung von Dateiberechtigungen und zur Zugriffsüberwachung automatisch gesorgt werde. Möglicherweise erachteten die Teams, die für das Management von Virtualisierungsprojekten zuständig sind, die Themen Dateisicherheit und Governance auch nicht als ihre Aufgabe – und das Sicherheitsteam habe vielleicht keinen Überblick über diese Vorgänge, sagt Arne Jacobsen, „Director DACH“ bei Varonis.

Abbildung: Varonis Systems, New York

Studie von Varonis: Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt

Die Ergebnisse deuteten darauf hin, dass die Virtualisierung zwar eine bahnbrechende Methode zur Isolation von Anwendungen und Diensten mit nur wenigen Klicks darstelle, jedoch keine Lösung für das Berechtigungsmanagement und die Zugriffsüberwachung sei, sondern deren Komplexität sogar noch erhöhe.
Der Schutz von Daten auf virtuellen Servern erfordere dieselbe Sorgfalt und Aufmerksamkeit wie in physischen Umgebungen – vielleicht sogar noch mehr, da das Management mehrerer Betriebssysteme auf einem einzigen Rechner deutlich komplexer sei. Damit Organisationen die Kontrolle über ihre digitalen Objekte behalten, sei die Weiterbildung ihrer IT für sie überlebenswichtig – und zwar sowohl die Schulung von Mitarbeitern zum Umgang mit virtuellen Dateisystemen als auch zur effektiven Nutzung automatisierter Prozesse, um Sicherheitslücken aufzudecken, Aktivitäten zu überwachen und Berechtigungen zu steuern, so Jacobsen.

Weitere Informationen zum Thema:

varonis
Nearly Half of IT Staff Fear Unauthorized Access To Virtual Servers