Die Szene hat sich professionalisiert, Cybercrime ist heute ein Multi-Millionen-Dollar-Business. Nicht nur Webseiten zwielichtigen Inhaltes - wie Pornografie oder Gambling - sondern auch seriöse Angebote stehen mittlerweile im Visier der technisch hochgerüsteten Angreifer. Und moderne, kostenreduzierende Technologien wie Virtualisierung und Cloud Computing eröffnen den Kriminellen zusätzliche Einfallstore ins Allerheiligste Schweizer Unternehmen: dem Datentresor hochsensible Informationen, die auf keinen Fall in unbefugte Hände fallen dürfen.
Was bedeuten Virtualisierung und Cloud Computing für die Sicherheit von Unternehmen? Bestehende Angriffstechniken wie Cross Site Scripting (XSS), SQL-Injection oder Buffer Overflow seien bei "Infrastructure as a Service"-Angeboten, die zusätzliche Speicherkapazitäten und Computing Power für Peak-Lasten bereit stellen, auch weiterhin möglich, sagte Dr. Matthias Schunter auf dem IBM Technoliogy ForumLexikon in Zürich. Schunter leitet die Task Force "Secure Cloud Computing" im IBM-Forschungslabor in Rüschlikon. Bis 2012 werden laut Gartner 80 Prozent der 1000-Fortune-Unternehmen Cloud-Computing-Dienste nutzen. Höchste Zeit also, die Sicherheitslücken zu stopfen.
Existierende Sicherheitsmechanismen seien in einer virtualisierten Umgebung weder effizient noch effektiv, betonte Schunter. Die Schuld daran trägt ein zusätzliches Verwaltungs-Layer, ohne das Virtualisierungslösungen (Hypervisor) ihr volles Kosten- und Ressourcen-Sparpotenzial nicht entfalten können. Ohne Hypervisor geht es nicht. Angreifer könnten das ausnutzen und zum Beispiel Malware als eigenen Hypervisor installieren, also als eigene Virtuelle Maschine (VM) laufen lassen. Den Blicken klassischer Sicherheitslösungen bliebe eine solche Malware-VM verborgen, denn sie schützen nur nach aussen. Der Hypervisor gilt unter Experten als "single point of failure". Hat sich ein Angreifer erst einmal Zugang zum virtuellen Verwaltungslayer verschafft, liegt ihm die Firmen-IT praktisch zu Füssen.
Beliebt: Diebstahl virtueller Maschinen
Eine beliebte Technik ist etwa der Diebstahl virtueller Maschinen (VM stealing). Virtualisierungslösungen weisen VMs Speicherplatz und Rechenzeit dort zu, wo er gerade vorhanden ist (Reloziierung). Durch die flexible Zuordnung von Kapazitäten nutzen sie vorhandene Ressourcen effizienter aus und realisieren Kostenvorteile. Das hat allerdings zur Folge, das virtuelle Maschinen öfter mal "umziehen" müssen. Cyberkriminelle missbrauchen diese Technik, um kritische Applikationen, die in einer VM laufen, auf das eigene Notebook zu reloziieren, also auf die eigene Festplatte umzuleiten.
Ein weiterer, eigentlich sehr nützlicher Mechanismus verkehrt sich in den Händen von Angreifern ins Gegenteil. Inaktive VMs werden üblicherweise in eine Art Schlaf versetzt, also aus dem aktiven Serverbetrieb herausgenommen. Um die VM bei Bedarf schnell wieder in Betrieb nehmen zu können, landet ein Image auf den Speichermedien des Unternehmens. Angreifer nutzen das aus, versetzen virtuelle Maschinen künstlich in Schlaf und ziehen sich dann das Image auf die eigene Festplatte.
Angesichts solcher Bedrohungsszenarien sind die klassischen Schutzmechanismen zwar nicht völlig wirkungslos. Sie arbeiten aber umständlich und sind auf einem Auge blind. So müsste beispielsweise pro virtueller Maschinen ein eigener Virenscanner installiert werden, um vollständigen Schutz zu garantieren. Ein weiteres Defizit: Herkömmliche Intrusion Detection Systeme beobachten lediglich den Datenverkehr, der von den Servern nach außen geht, der interne Traffic zwischen den virtuellen Maschinen bleibt ihnen verborgen.
IBM-Lösung: Security VM
Das IBM-Projektteam "Phantom" hat daher eine Sicherheitslösung entwickelt, die als eigene virtuelle Maschine (Security VM) im Hypervisor läuft und den Datenverkehr auch zwischen den VMs im Auge behält. Viren können sich nicht mehr verstecken. Im Ernstfall kann IBMs Sicherheits-Sheriff gefährdete VMs auch in Quarantäne schicken kann, um den Befall des Gesamtsystems zu vermeiden. IBMs Sicherheitslösung für virtualisierte Umgebungen ist ab sofort erhältlich.
Durch Kostenspar- und Effizienztechnologien wie Virtualisierung und Cloud Computing werde die klassischen Perimeter-Defence, also unter anderem die FirewallLexikon, geschwächt, betonte Schunter. Wer dadurch seine IT-Betriebskosten reduzieren will, muss anschließend einen Teil des eingesparten Geldes in zusätzliche Sicherheitsmassnahmen investieren, lautet wohl die ironische Schlussfolgerung. Obwohl das Anbieter von Virtualisierungslösungen nur ungern zugeben: Zwei getrennte Server seien immer noch sicherer als zwei virtuelle Maschinen, gab Schunter auf dem IBM Technology Forum zu bedenken.
Die sogenannte Public Cloud berge Risiken und sei für kritische Applikationen nicht empfehlenswert, meinte Schunter. Eine Umgebung wie etwa Amazons E2C sei letztlich kaum auditierbar. Daten, die auditiert werden müssen, sollten deshalb nicht in Cloud-Computing-Umgebungen ausgelagert werden, es sei denn, man vertraue dem Anbieter 100-prozentig, schälte sich in der dem Vortrag anschliessenden Diskussion heraus. Skalierbarkeit, Effizienz und Sicherheit auch für kritische Business-Anwendungen, dieses Fazit zog IBM-Sicherheitsforscher Schunter, gewährleiste letztlich nur die unternehmensinterne "private cloud". (hal)