Mythos 5: "Client-seitige Virtualisierung kann die Sicherheitsprobleme der IT-Consumerization lösen."
Gartner-Analyst John Pescatore: "Ich höre ständig, dass eine virtuelle Maschine für den Job und eine fürs Private das BYOD-Problem lösen soll. Auf diese Weise werde das Sicherheitsrisiko auf der private Seite konserviert und der Fluss von Daten aus dem Unternehmen hinaus verhindert. Ich bin da aber skeptisch. Der Geheimdienst hat das bereits vor Jahren versucht - die NSA bezahlte eine damals kleine Firma namens VMware dafür, NetTop zu entwickeln. Diese Software sollte verschiedene virtuelle Maschinen erzeugen, in denen Daten nach den Klassifizierungsstufen ‚geheim’, ‚derzeit streng geheim’ und ‚später streng geheim’ abgelegt werden und analysiert werden konnten. Es gab jedoch sofort ein Problem, weil Analysten nicht in diesen Abstufungen arbeiten, sondern in allen Umgebungen gleichzeitig tätig sind. Ein Datenaustausch zwischen den Domains war somit unausweichlich.
Das gleiche geschieht heute mit den dienstlichen und privaten IT-Umgebungen. Private E-Mails, die in meiner dienstlichen Maschine aufschlagen - und umgekehrt - muss ich in der jeweils anderen Maschine lesen können. Entweder ich sende sie also per E-Mail weiter oder transferiere sie mithilfe eines USB-Sticks. Somit ist jegliche Trennung obsolet. Virtualisierung ist eine einzige Geldverschwendung. NetTop ist übrigens immer noch am Markt - und wird sogar noch vereinzelt eingesetzt - von Geheimdienstlern.
- Hier ist große Aufmerksamkeit vom Anwender gefordert
Durch die nahtlose Integration der Anwendungen, die im sogenannten XP-Modus laufen, wird er nun mit den Warnmeldungen von zwei Betriebssystemen konfrontiert. - Aber das ist doch eigentlich Windows 7?
Ist sich der Nutzer nicht bewusst, dass ein zweites Betriebssystem (in diesem Fall Windows XP) ebenfalls auf seinem physikalischen Rechner aktiv ist, so wird er auch die Warnung des „alten“ Sicherheitscenters ignorieren. - Die Integrationsfeatures
Sie werden von fast allen Virtualisierungslösungen auf dem Desktop angeboten und können Programmen in der VM plötzlich den Zugriff auf Verzeichnisse des Hostsystems gewähren. - Sehr enge Integration
In der virtuellen Maschine installierte Anwendungen erscheinen im normalen Startmenü. Doch was geschieht mit den Daten, die mit diesen Programmen bearbeitet werden? Wenn sie in den VMs abgespeichert werden, entziehen sie sich der Kontrolle. - Die richtig großen Virtualisierungslösungen, wie die hier gezeigte ESX-Installation, sind nicht für den Einsatz auf dem Desktop bestimmt
Aber virtuelle Maschinen werden immer häufiger nicht nur in solchen großen Installationen, sondern auch auf „normalen PCs“ betrieben. - Ganz wichtig für Administratoren, aber auch für Anwender, die Virtualisierung einsetzen
Alle virtuellen Betriebssysteme sollten stets auf dem neuesten Stand sein. - Leider eine Tatsache
IT-Profis können nicht davon ausgehen, dass sie über alle Betriebssystem-Installationen in ihrem Netzwerk informiert sind. Wie in diesem Fall, kann Windows XP selbst auf einem alten G3-Macintosh-System als virtuelle Maschine betrieben werden. - „Shared Folders“ in VMware Workstation
Sie erlauben den Zugriff auf die Festplatten des Hostsystems durch die VM. Das könnte ein Sicherheitsrisiko darstellen, weshalb die hier gewählte Einstellung besser ist. - Erhöhte „Gast Isolation“ (hier auf der VMware Workstation)
Sie sorgt dafür, dass Anwender weder versehentlich noch absichtlich über „Copy & Paste“ unerwünscht Daten zwischen den Systemen austauschen können. - Wichtiger Grundsatz
Virtuelle Maschinen sollten ebenfalls mit einem Virenschutz ausgestattet sein. Im besten Fall ist dieser in die AV-Lösung des Unternehmens integriert. Zumindest sollten VMs aber durch eine freie Sicherheitssoftware geschützt sein. - Wer auf Sicherheit achtet, schaut hier genau hin
Das stellt beispielsweise sicher, dass keine Laufwerke in eine Terminal-Sitzung auf einen virtuellen Server gemappt werden. - Kann zur Schwachstelle werden
Snapshots sind praktisch – aber ohne passende Namen oder Notizen wird niemand feststellen können, ob diese „Zwischenkopie der VM“ problemlos im Netzwerk gestartet werden darf. - Die Virtualisierungslösung Parallels
Sie erlaubt es, auf Apple-OS-X-Systemen die Integration der virtuellen Maschine gezielt zu unterbinden. - Wichtiger Sicherheitstipp bei der Virtualisierung auf dem Apple-System
Im Zweifelsfall sollten die Laufwerke des Macs nicht der VM zugeordnet werden.