Company News

22. Apr 2010

Cyber-Ark: Virtualisierung kann Sicherheit gefährden

Cyber-Ark sieht drei zentrale Gefahren bei der Virtualisierung:

1. Keine klaren Verantwortlichkeiten und keine adäquate Überwachung der administrativen Accounts

Bei Virtualisierungslösungen sind Administratoren in der Regel - und im Unterschied zu physikalischen Systemen - nicht mehr nur für ein System oder eine Applikation verantwortlich, sondern für die gesamte IT-Infrastruktur. Dadurch werden sie zu Super-Admins mit uneingeschränkten privilegierten Rechten. Das heißt, es erfolgt keine strikte Separation of Duties und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen.

2. Keine Trennung von unternehmenskritischen und weniger wichtigen VMs (Virtual Machines)

Häufig befinden sich nach einer Virtualisierung Anwendungen mit unterschiedlichen Sicherheitslevels auf demselben physikalischen System - ohne adäquate Trennung. Das bedeutet, dass die Sicherheitslücken eines Systems genutzt werden können, um auf unternehmenskritische Applikationen und Daten zuzugreifen.

3. Keine Erfahrung der Administratoren

Mit der Implementierung von virtualisierten Umgebungen erweitert sich auch der Aufgabenbereich von Administratoren: zum Beispiel im Hinblick auf das Management unterschiedlicher Infrastruktur-Bereiche wie Server, Storage, Netzwerk und Applikationen. Dabei besteht die große Gefahr, dass sie nicht über genügend Praxiserfahrung in der Verwaltung all dieser Lösungen verfügen. Und dies führt zu zusätzlichen Sicherheitsrisiken und sei es nur bedingt durch falsche Konfigurationen.

Zu ähnlichen Ergebnissen wie Cyber-Ark kommt Gartner in der aktuellen Studie ”Addressing the Most Common Security Risks in Data Center Virtualization Projects”, in der die Marktforscher mehrere Bereiche identifiziert haben, die bei der Virtualisierung Sicherheitsrisiken darstellen. Gartner prognostiziert hier zudem, dass im Jahr 2012 rund 60 Prozent der virtuellen Server weniger Sicherheit bieten als die physikalischen Systeme, die sie ersetzen.

Die Brisanz des Themas zeigt sich auch daran, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen 1. IT-Grundschutz-Tag des Jahres 2010 Mitte März unter das Motto: ”Virtualisierung von IT-Systemen - Risiken und Abhängigkeiten” gestellt hat. Dabei hat das BSI auch eine Vorabversion des neuen Bausteins ”Virtualisierung” vorgestellt, der in der nächsten Version der IT-Grundschutzkataloge enthalten sein soll. Auch hier wird dezidiert darauf hingewiesen, dass es erforderlich ist, eindeutige Regelungen zur Verteilung der Aufgaben zwischen den Administratoren zu treffen.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: ”Virtualisierung ist heute ohne Frage einer der zentralen IT-Trends, aber das Thema Sicherheit kommt dabei meistens zu kurz. In unseren Augen sollten aber eine klare Regelung der Verantwortlichkeiten in der Administration der virtuellen Infrastruktur und die automatische Verwaltung und Überwachung der privilegierten Benutzerkonten zu den absoluten Grundvoraussetzungen jeder Virtualisierungsimplementierung gehören. Nur so können die Sicherheit maximiert und die Risiken minimiert werden.”

Speziell für diese Thematik hat Cyber-Ark den ”Enterprise Password Vault” (EPV) entwickelt. Die Software-Lösung stellt einerseits eine sichere, zentrale Verwahrung und anderseits eine regelmäßige automatische Änderung der Passwörter - bis hin zu individuellen Passwörtern auf allen Systemen - sicher. Der Anwender kann dabei die Komplexität und den Änderungszyklus beliebig festlegen. Die Passwörter befinden sich verschlüsselt in einem „digitalen Tresor”, dem Vault. Der Passwort-Zugriff wird über eine klar definierte Rollen- und Berechtigungsstruktur sowie eine eindeutige Identifikation des Anwenders sichergestellt. Durch eine vollständige Überwachung kann die Nutzung der entsprechenden Accounts zu jeder Zeit überprüft werden: Alle Aktivitäten werden in einem Audit-Log aufgezeichnet. Damit entspricht die Lösung den Anforderungen externer Prüfungen, gängigen Compliance-Vorschriften sowie aktuellen gesetzlichen und aufsichtsrechtlichen Bestimmungen.

Über Cyber-Ark

Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich „Privileged Identity Management“. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.

Weitere Informationen:

Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler@cyber-ark.com
www.cyber-ark.com

PR-COM GmbH
Susanne Koerber
Account Manager
Tel. +49-89-59997-758
Fax +49-89-59997-999
susanne.koerber@pr-com.de
www.pr-com.de