Studie: Server-Virtualisierung führt zu weniger Sicherheit

Das Marktforschungsunternehmen Gartner prophezeit, dass im Jahr 2012 etwa 60 Prozent der virtuellen Server weniger sicher sein werden, als die Systeme, die sie ersetzen. Das führen sie vor allem auf unzureichende Werkzeuge, mangelhafte Prozesse und fehlende Ausbildung zurück. Erst 2015 soll diese Quote auf 30 Prozent fallen.

Nicht jeder Server braucht seine eigene Hardware; durch die Virtualisierung kann man mehrere Server parallel auf einem physikalischen System betreiben. Das spart Geld für Hardware, Platz und Strom; zudem kann es auch die Administration vereinfachen. Doch genau da liegt ein Problem. Wer beim Zusammenfassen von vier Servern auf einem System die Adminstrationskosten vierteln will, wird definitiv Schiffbruch erleiden.

Der Schwerpunkt von Gartners Risikoanalyse liegt auf der Infrastruktur zur Virtualisierung. So argumentieren die Marktforscher an mehreren Stellen mit der Möglichkeit, dass ein Angreifer über Sicherheitslücken in der Virtualisierungssoftware aus einer VM ausbrechen und den Hypervisor oder andere VMs auf dem selben Server erfolgreich attackieren könnte. Aber auch organisatorische Probleme, wie die Tatsache, dass die virtuelle Netzwerkinfrastruktur zur Kommunikation zwischen VMs den Überwachungsprozessen im Netz verborgen bleibt, und VM-Admins, die plötzlich Zugriff auf kritische Systeme erlangen können, sprechen sie an. Problemstellungen, die sich beispielsweise daraus ergeben, wenn Systeme nur bei Bedarf aktviert, aber trotzdem auf dem aktuellen Stand gehalten werden müssen, finden hingegen keine Erwähnung.

"Virtualisierung ist nicht inhärent unsicher" erklärt Gartners Vizepräsident MacDonald. "Die meisten virtualisierten Systeme werden jedoch unsicher eingerichtet." Wie man von Virtualisierung profitiert, ohne dabei die Sicherheit zu vernachlässigen, ist auch einer der Schwerpunkte der 6. heise-Security-Konferenz, die ab Ende April in vier Städten stattfindet. (ju)