ITler, die die (vielen) Strapazen und (wenigen) Annehmlichkeiten eines Fachkongresses weit weg von Zuhause auf sich nehmen, sind in der Regel hochmotiviert und wollen ihr Know-how aufmöbeln. Es war deshalb keine schlechte Idee von Varonis, einem Anbieter von Data-Governance-Software, den Besuchern der letztjährigen VMworld in Las Vegas und Barcelona jeweils bei einer Umfrage vor Ort auf den Zahn zu fühlen.
Zu den Ergebnissen der Befragung gehört, dass das Thema Datensicherheit in virtuellen Umgebungen von IT-Organisationen häufig vernachlässigt wird. So gaben 48 Prozent der Befragten an, in ihrem Unternehmen hätten bereits unbefugte Zugriffe auf virtuelle Server stattgefunden.
Fast alle Befragten gaben zu Protokoll, dass Sicherheitsproblemen in virtuellen Umgebungen eine zu geringe Bedeutung beigemessen werde. 68 Prozent waren sich sogar sicher, trotz permanenter Überwachung würden in ihren Unternehmen immer noch Unbefugte auf sensible Daten zugreifen. Allerdings sei die Qualität dieser Überwachung nicht ausreichend: Die große Mehrheit der Studienteilnehmer (70 Prozent) hätten auf virtuellen Servern nur wenige oder gar keine Auditing-Prozesse implementiert.
Keine Möglichkeit der Dateiprotokollierung
Laut der Studie von Varonis scheint das Thema Dateisicherheit "in Unternehmen aller Größen unter den Tisch zu fallen". De facto räumten 20 Prozent der Unternehmen mit mehr als 5000 Mitarbeitern ein, "über keine Möglichkeit zur Dateiprotokollierung zu verfügen". Für Varonis ist dies vor allem deshalb beunruhigend, weil selbst die kontrollierte Vergabe von Berechtigungen alleine noch keine ausreichende Sicherheit biete.
Varonis: "Nur über einen Audit-Mechanismus lässt sich feststellen, ob und von wem eine Berechtigung geändert wurde." Nur dann wisse man Bescheid, ob vertrauliche Daten trotz Berechtigungsverfahren gefährdet seien.
Die Thematik erhält auch dadurch Brisanz, weil man inzwischen von einer recht großen Verbreitung von Virtualisierung in den Unternehmen ausgehen muss. Die Analysten von Gartner sind der Ansicht, dass bereits mehr als 50 Millionen virtuelle Maschinen (VMs) auf Servern installiert wurden (Gartner, Reconsidering Heterogenous x86 Server Virtualization, 2012).
Varonis konkretisiert diese Zahl: Fast alle Befragten (87 Prozent) würden virtuelle Anwendungsserver verwenden. Als Gründe werden genannt: raschere Bereitstellung (76 Prozent) von neuen Applikationen und Notfallwiederherstellung (74 Prozent) durch vMotion und andere Tools.
Geschäftskritische Server werden weniger virtualisiert
Diejenigen, die keine virtuellen Server einsetzen, geben laut Gartner als Hauptgründe dafür zu geringen Speicherplatz (37 Prozent) und keine ausreichende CPU-Performance (30?Prozent) an. 20 Prozent sehen laut dieser Quelle noch nicht genügend Vorteile von virtuellen Umgebungen.
Varonis hat auch die Anwendungsfälle von Virtualisierung untersucht. Demnach werden VMs hauptsächlich bei File Servern, SharePoint, Exchange und Application Servern eingesetzt. Man sieht darin eine Bestätigung der schon von Analysten geäußerten Ansicht, dass zunächst die "einfacheren" Anwendungsfälle virtualisiert werden, bevor man sich an die geschäftskritischen Bereiche heranwagt.
Exchange Server sind laut Befragung nur zu 57 Prozent virtualisiert, was damit zusammenhängt, dass sie in vielen Unternehmen bereits als geschäftskritisch eingestuft werden. Von Seiten der Virtualisierungsanbieter wird in vielen Fällen sogar zur Vorsicht gemahnt: So sollte man VMware zufolge genau überlegen, ob genügend CPU- und Speicherressourcen für eine Exchange-Virtualisierung zur Verfügung stehen.
Mehr Teamarbeit notwendig
Arne Jacobsen, Director DACH bei Varonis resümiert die Umfrageergebnisse für die Sicherheitsproblematik: "Offensichtlich nehmen IT-Abteilungen das Thema Virtualisierung auf die leichte Schulter. Nach der Virtualisierung von Komponenten scheinen die IT-Mitarbeiter davon auszugehen, dass für die Details zur Verwaltung von Dateiberechtigungen und zur Zugriffsüberwachung automatisch gesorgt wird."
Möglicherweise sei es auch so, dass die Teams, die für das Management von Virtualisierungsprojekten zuständig sind, die Themen Dateisicherheit und Governance auch nicht als ihre Aufgabe erachten würden. Die IT-Leitungen müssten sich deshalb um eine bessere Abstimmung zwischen ihren Mitarbeitern kümmern.