Tipps und Tricks für User und Admins

Security-Risiko Virtualisierung

19.10.2012 von Thomas Bär und Frank-Michael Schlede

Die Virtualisierung ganzer Computer auf dem eigenen PC birgt neben allen Vorteilen auch eine Reihe von Risiken. Wir zeigen die Gefahren und stellen Lösungen vor.

Die Virtualisierung ganzer Computer auf dem eigenen PC birgt neben allen Vorteilen auch eine Reihe von Risiken. Wir zeigen die Gefahren und stellen Lösungen vor.

von Thomas Bär und Frank-Michael Schlede

Wer nicht aufpasst, kann auch in vermeintlich sicheren, virtualisierten Umgebungen am Haken landen.
Foto: fotolia.com/LUCKAS Kommunikation

Auch Publikationen, die sich weniger mit IT-Themen befassen, geben ihren Lesern heute gern einmal den Tipp, sich das neue Microsoft Windows 8 in einer virtuellen Maschine anzuschauen. Das sei nämlich sicher und einfach. Nun werden viele Anwender zwischenzeitlich bemerkt haben, dass Einrichtung und Betrieb einer Virtualisierungslösung auf dem Desktop durchaus mit Tücken behaftet sein kann. Zudem bleibt die Frage, wie es um die Sicherheit dieser Software bestellt ist: Wie gefährlich ist der Einsatz von Virtualisierungslösungen wie Oracles Virtual Box, Parallels Desktop 7, Microsoft Virtual PC/Virtual XP oder der VMware Workstation auf dem eigenen Rechner?

Wir haben für diesen Bericht einen näheren Blick auf die Sicherheitsaspekte des Themas "Virtualisierung auf dem eigenen Desktop" geworfen, stellen mögliche Risiken dar und zeigen, wie Sie diese vermeiden können. Im Anschluss daran geben wir noch einen Überblick über die grundsätzlichen Techniken, die bei der Virtualisierung zum Einsatz kommen - denn wer die Grundlagen kennt, kann Gefahren weitaus besser abschätzen und vermeiden.

Auf den folgenden Seiten erfahren Sie, wie Sie trotz Virtualisierung keine Probleme mit ihrer IT-Umgebung zu befürchten haben. Unsere Bilderstrecke gibt Ihnen einen schnellen Überblick,

Der Super-GAU: Gefahr durch die Virtualisierungssoftware?

Hier ist große Aufmerksamkeit vom Anwender gefordert: Durch die nahtlose Integration der Anwendungen, die im sogenannten XP-Modus laufen, wird er nun mit den Warnmeldungen von zwei Betriebssystemen konfrontiert.
Foto: Bär/Schlede

Wie jede andere Softwarelösung wird auch die Virtualisierungssoftware zunächst auf dem lokalen Betriebssystem installiert. Sie bildet eine oder mehrere virtuelle Maschinen (VMs) ab und erlaubt es dem Anwender, diese unabhängig vom "Host-Betriebssystem" zu betreiben. Dabei sind die VMs grundsätzlich vom lokalen Betriebssystem abgeschottet. Alle Elemente eines Computers vom Ein/Aus-Schalter über die Festplatte bis hin zu den optischen Laufwerken sind virtuell oder werden vom darunter liegenden Betriebssystem "weitergereicht".

Ausgehend von diesem Szenario gelten die ersten Gedanken in Bezug auf potenzielle Sicherheitslücken zunächst einmal der eigentlichen Virtualisierungssoftware. Was passiert beispielsweise, wenn ein Programm es schaffen würde, aus der virtuellen Maschine heraus über die "Speicherschutzgrenzen" hinweg auf das Host-Betriebssystem zuzugreifen? Wäre das möglich, so würde es sich dabei in der Tat um einen Super-GAU in Bezug auf die Sicherheit des Betriebssystems handeln und bösartigen Angriffen wären Tür und Tor geöffnet. Zum Glück ist dieser Fall extrem unwahrscheinlich. Das hat mehrere Gründe:

Host-Betriebssysteme, ganz gleich ob es sich dabei um Microsoft Windows, Apple OS X oder ein Linux-System handelt, besitzen genügend klassische Schutzmechanismen, die einen "Zugriff" von einem Speicherbereich auf einen anderen wirkungsvoll verhindern.
Noch wichtiger: Im Gast-Betriebssystem sind keine Indikatoren zu finden, die darauf hinweisen, dass gerade dieses System sich in einer virtuellen Maschine befindet. Das virtualisierte Betriebssystem "weiß" also nicht, dass es aktuell nicht auf echter Hardware aktiv ist!
Deshalb wird ein Schadprogramm nur schwerlich einen Punkt finden, an dem sein potenzieller Angriff ansetzen könnte.

Sofern die Installationspakete der Virtualisierungssoftware nicht zuvor manipuliert wurden und aus "herkömmlichen, sicheren Kanäle" stammen, besteht an dieser Stelle wohl das geringste Risiko für die Daten auf dem eigenen Host-Computer.

Acht Tipps für virtuelle Clients

CIO der Dekade
Die begehrten Pokale gab es für insgesamt sechs Preisträger.

CIO der Dekade
Klaus Straub, CIO der Audi AG, ist CIO der Dekade. Neben dem Pokal nahm er von Moderatorin Katrin Müller-Hohenstein eine Flasche Rotwein aus dem Jahr 2001 entgegen.

CIO der Dekade
Und noch ein Preis für Klaus Straub: Die Gewinner der Kategorie "Wertbeitrag der IT" sind Audi-CIO Klaus Straub (links) und - nicht im Bild - Michael Gorriz, CIO der Daimler AG. Frank Riemensperger, Vorsitzender der Geschäftsleitung von Accenture, hielt die Laudatio für beide Preisträger in dieser Kategorie.

CIO der Dekade
Gewinner der Kategorie "Überzeugungsstärke im Unternehmen": Rainer Janßen, CIO der Munich Re zusammen mit Moderatorin Katrin Müller-Hohenstein auf der Bühne.

CIO der Dekade
Gewinner der Kategorie "Internationale Ausrichtung": Guus Dekkers (links), CIO bei EADS und Patrick Naef, CIO von Emirates.

CIO der Dekade
Gewinner in der Kategorie "Strahlkraft in die Gesellschaft": Lufthansa-CIO Thomas Endres (links) neben Johannes Pruchnow, Managing Director Business bei Telefónica.

CIO der Dekade
Alle anwesenden Preisträger.

Wo befinden sich die Gefahren?

Die eigentlichen Gefahren sind vielmehr an den üblichen Schwachstellen zu finden:

Auch ein virtueller PC ist ein komplett eigenständiges System. Damit unterliegt es den üblichen Gefahren wie Viren-Infektionen und Trojaner-Aktivitäten.
Das Gleiche gilt für das Risiko eines möglichen Hacking-Angriffs, wenn das virtuelle System nicht ordentlich gepatcht ist.
Damit geht auch von einem infizierten virtuellen Rechner im Netzwerk stets die Gefahr aus, dass sich maligner Code auf andere Computer im Netz überträgt.

Schon diese kurze Auflistung zeigt deutlich, dass die Gefahren für virtuelle Rechner weder größer noch kleiner sind, als dies bei herkömmlichen Computern der Fall ist. Die eigentliche Gefahr und damit die besondere Herausforderung für alle Anwender, die mit solchen Systemen arbeiten, besteht darin, dass diese Systeme eigentlich "unsichtbar" sind:

Der Anwender sieht keine Maschine vor sich stehen und so vergisst er allzu leicht, auch das zusätzliche virtuelle Systeme mit Antivirus-Software oder den nötigen Updates zu versorgen: Die Lücke für die Angreifer ist da!

Wir haben bei unseren Untersuchungen vier Schwachpunkte ausgemacht, die beim Einsatz von virtuellen Maschinen auf den Desktop zu besonderen Gefährdungen führen können.

Desktop-Virtualisierung

Desktop-Virtualisierung
Gründe für Desktop-Virtualisierung. <br><br> <a href="http://www.tecchannel.de/server/virtualisierung/2024084/ratgeber_virtuelle_desktops_in_client_infrastruktur_integrieren/" target="_blank">Ratgeber - Virtuelle Desktops in eine IT-Infrastruktur integrieren</a>

Desktop-Virtualisierung
VDI-Systeme im Überblick.

Desktop-Virtualisierung
XenDesktop von Citrix verfügt über die nötigen Tools, um auch größere Pools von zentralen Desktops verwalten zu können.

Desktop-Virtualisierung
Bei Microsofts VDI Suite bedarf es einiger Schritte, bis der Nutzer in seiner zentralen Arbeitsumgebung ankommt.

Desktop-Virtualisierung
Sun VDI unterstützt mehrere Virtualisierungssysteme, Verzeichnisse und Protokolle.

Desktop-Virtualisierung
Red Hat bietet sein komplettes VDI-Portfolio als Open Source an.

Schwachpunkt Nummer 1: Ungeschützte virtuelle Maschinen

Eine virtuelle Maschine soll sich schon vom Prinzip so wenig wie möglich von einem physikalischen Rechner unterscheiden. Dadurch gilt dies leider auch für Sicherheitslücken und die damit verbundene Anfälligkeit gegenüber Viren und Schadsoftware. So lautet eine wichtige Regel:

Jede virtuelle Maschine muss, genau wie ein gewöhnlicher Computer oder Server, in das Patch-Management und in die Antiviren-Lösung eingebunden werden.

Alle virtuellen Betriebssysteme sollten stets auf dem neuesten Stand sein.
Foto: Bär/Schlede

Warum geschieht das aber so selten? Weil die Eingliederung der virtuellen Maschine, die "on top" eines normalen Systems läuft, mit den normalen Patch- und Updatezyklen sich zwangsläufig auf die Arbeitsgeschwindigkeit des Rechners auswirkt. So kann es durchaus passieren, dass Host- und Gast-Betriebssystem gleichzeitig die Antiviren-Software starten, um die Festplatten nach Schadsoftware zu durchsuchen. Aus diesem Grund gilt:

Je besser die Integration in das Host-System gelungen ist, desto aufmerksamer und wachsamer muss der Anwender sein.

Deshalb erfordert gerade die Verwendung des sogenannten XP-Modus unter Windows 7 mit der seiner guten Integration in das Host-Betriebssystem vom Benutzer eine hohe Aufmerksamkeit:

Der Anwender muss nicht nur auf Sicherheitsmeldungen seines "drunter liegenden" Windows 7 achten, sondern
gleichermaßen auf die Meldung des Windows XP-Systems achten.
Noch kritischer verhält es sich, wenn Hostsystem und Gastsystem voneinander abweichen: Beispielsweise wenn auf einem MacOS-Computer ein Windows- oder Linux-System virtualisiert betrieben wird.

Nur durch ein intensives und robustes Patch-Management und der Ausstattung mit einer möglichst Betriebssystem-übergreifenden Antiviren-Lösung ist ein sicherer Betrieb im Unternehmen möglich. Natürlich lassen sich für die verschiedenen Betriebssysteme auch unterschiedliche AV-Lösungen aufsetzen, doch dann müssten die IT-Profis mit unterschiedlichen Management-Konsolen arbeiten und könnten nicht auf alle Daten über eine Oberfläche zugreifen.

Varianten der Client/Desktop-Virtualisierung

VDI (Virtual Desktop Infrastructure / Hosted Desktop Virtualization)
Der komplette personalisierte Desktop (inklusive Betriebssystem, Daten und Benutzereinstellungen) wird zentral im Rechenzentrum auf einem virtualisierten Server bereitgestellt und betrieben. Offline-Betrieb und Zugriff von mobilen Endgeräten sind möglich. Problematisch: die benötigte Storage-Kapazität. (Quelle: Experton)

Session oder Presentation Virtualization
Früher auch als "Server Based Computing" oder "Terminal Services" bezeichnet:stellen den Zugriff auf zentral betriebene Anwendungen bereit. Problem: In der Regel ist weder eine Personalisierung noch der Offline-Betrieb möglich. Einsatzbereich: einfache Arbeitsplätze, die nur eine oder zwei Applikationen nutzen und nicht mobil sind, meist in Verbindung mit Thin Clients genutzt. (Quelle: Experton)

Application Streaming
Applikationen werden paketiert und zentral bereitgestellt, um lokal auf dem Client in einer Sandbox betrieben zu werden. Dies ist auch offline möglich. Problematisch ist, dass die Paketierung nach jedem Software-Update der jeweiligen Applikation wiederholt werden muss. Einsatzbereich ist die Bereitstellung von Anwendungen, die mit anderen Applikationen nicht kompatibel sind. (Quelle: Experton)

Managed Desktop VM
Ein Client-Image wird zentral gemanagt und an die Clients verteilt. Die eigentliche Rechenleistung wird vom Client ausgeführt, so kann er auch offline genutzt werden. Problematisch ist das Management der virtuellen Maschinen und des Basis-Clients. Einsatzbereich: Clients in Niederlassungen und Home-Offices. (Quelle: Experton Group)

Schwachpunkt Nummer 2: Nicht autorisierte VMs

Ein Schwachpunkt, der oft in Unternehmensnetzwerken auftritt, entsteht aus nicht autorisierten virtuellen Maschinen. So können zum Beispiel die größeren Windows-7-Editionen schnell und kostenlos mit Virtual PC und dem dazugehörigen Virtual XP Mode versehen werden. Die Integration der Software geht dann soweit, dass die Anwendungen aus den virtuellen Maschinen direkt im Start-Menü von Windows 7 angezeigt werden. Die Anwender können auf diese Weise sehr schnell 16-Bit-Programme unter x64-Windows installieren und einsetzen. Welche Gefahren bestehen darin?

Oftmals ist ungeklärt, was mit den Daten passiert, die der Benutzer in den Speicherraum der virtuellen Maschine abgespeichert.
Solche Daten werden dann nicht wie üblich, im Home-Verzeichnis über das Profil gesichert. Es handelt sich also um ungesicherte Daten.
Zudem treten auf diese Weise schnell Lizenzverstöße auf: Die Nutzer installieren am Lizenzmanagement vorbei und ohne Wissen der IT-Abteilung dank vorhandener Administrationsrechte beliebige Anwendungen in den virtuellen Maschinen.
Weiß der IT-Administrator nicht um die Existenz der virtuellen Maschine, so kümmert er sich auch nicht um das Patch-Management und den Virenschutz. Die nicht autorisierte VM kann schnell zur stets aktiven "Virenschleuder" im Netzwerk werden.
Da die virtuellen Maschinen häufig Network AddressTranslation (NAT) verwenden, werden sie auch nicht durch Einträge auf dem DHCP-Server auffallen. Sie in diesem Fall auch für die Systemverwalter "unsichtbar".

Virtualisierungsprojekte - Tipps für Reseller

Vor dem Schritt in die Cloud
Bei Unternehmen, die gerade erst eine virtuelle Server-Landschaft aufgebaut haben, Augenmerk zuerst auf Automatisierung und Management legen, vor dem Schritt in die Cloud

Sicherheit
Virtuelle Infrastrukturen, Anwendungen und Desktops müssen mittels Firewalls, Access Policies und Virenscanner ebenso sorgfältig gegen Viren und Malware geschützt werden wie physikalische.

BYOD-Strategie
Strikte Trennung von privater und geschäftlicher Arbeitsumgebung muss gewährleistet sein, zum Beispiel mit Client-seitigem Hypervisor. Klare Betriebsvereinbarungen: Jeder Mitarbeiter muss wissen, was er darf und was nicht.

Software-Lizenzierung
Analyse der bestehenden Kundenumgebung

Backup & Disaster Recovery Strategie
Speicherstrategien, Datensicherung, Datenarchivierung, Multi-Tier-Speichertechnologien und vor allem Wiederherstellung und Migration berücksichtigen

Storage- und Netzwerk-Konzept
Um alle Features moderner Hypervisoren auszunutzen, sollten entsprechende Massenspeicherlösungen verwendet werden. Damit lässt sich die Verwendung von Service-Klassen automatisieren: Das Storage-Device informiert den Hypervisor automatisch über seine Leistungsklassen, sodass dieser entsprechend vorgegebener Regelwerke die Provisionierung von Workloads (VMs) automatisch nach vereinbarten SLAs vornehmen kann.

Organisation auf Kundenseite
Klärung und Definition: IT-Organisation (Aufbau- und Prozessorganisation, neue Rollen und Verantwortlichkeiten, neue Tools etc.) auf Kundenseite

Gesamtkonzept
Ganzheitlich Sicht über das Design und die Möglichkeiten der Implementierung behalten

Wer sich all diesen Risiken erst gar nicht auszusetzen will, sollte auch in den hier geschilderten Fällen die üblichen Sicherheitstipps beachten:

Außer den Mitarbeitern der IT-Administration sollte niemand über Administrationsrechte verfügen.
Benötigen Benutzer für ihre Arbeit virtuelle Maschinen, so müssen diese von den Administratoren wie andere Rechner in das Sicherheitskonzept des Unternehmens eingebunden werden.

Schwachpunkt Nummer 3: Testmaschine wieder im Netzwerk

Snapshots sind praktisch – aber ohne passende Namen oder Notizen wird niemand feststellen können, ob diese „Zwischenkopie der VM“ problemlos im Netzwerk gestartet werden darf.
Foto: Bär/Schlede

Lösungen wie Parallels Desktop 7, VMware Workstation und die Virtualbox von Oracle sind für einen Zweck besonders gut geeignet: Mit ihnen können Anwender und vor allen Dingen auch IT-Profis leicht Konfigurationen ausprobieren oder auch Programme installieren, die gewöhnlich auf einem Produktivsystem nicht zum Einsatz kommen. Sei es aus Sicherheitsgründen oder weil die Gefahr besteht, dass sie das System "zerschießen" - gerade Virtualisierungslösungen auf dem Desktop sind ideal, um schnell und einfach Testmaschinen zu installieren und einzusetzen.

Software-Entwickler und -Tester schätzen insbesondere die Möglichkeiten der Snapshots. Mit ihrer Hilfe kann der aktuelle Status des Systems gesichert werden. Änderungen können dann durch ein "Rollback" auf den Snapshot wieder rückgängig gemacht oder auch beliebig oft wiederholt werden. Aber gerade der Einsatz dieser so praktischen Lösung kann in der Praxis schnell zu einem Katastrophen-Szenario führen:

In der Eile wird der falsche Schnappschuss einer virtuellen Maschine wieder eingespielt, in dem eine schadhafte oder gar gefährliche Konfiguration ausprobiert wurde.
So können die eigentlich "gut isolierten" Anwendungen mit dem Produktiv-Netzwerk in Kontakt kommen und schnell viel Schaden anrichten.
Allein eine virtuelle Maschine, die ihre Daten auf dem falschen Netzwerk-Interface versendet, kann in der Produktivumgebung einige Probleme verursachen.

Was können Anwender und Administratoren dagegen tun?

Die Snapshots lassen sich in allen Virtualisierungslösungen mit kurzen Kommentaren versehen.
Auch bei den VMs ist es zumeist möglich, einige kurze Informationen hinzuzufügen.
Unser Tipp: Nutzen Sie diese Funktion und zwar gewissenhaft - besonders dann, wenn Sie viele unterschiedliche Testsysteme in virtuellen Maschinen einsetzen.
Ein weiterer Praxistipp, der sich bewährt hat: Wählen Sie für Ihre Test-Systeme einen "knalligen" Desktop-Hintergrund. Dieser erinnert Sie schon nach der Anmeldung daran, dass es sich um eine Testmaschine handelt, auf der auch gefährlichere Konstellationen durchgespielt werden können.
Achten Sie zudem darauf, dass der "erste Snapshot" stets der Hauptausgangspunkt ist, von dem aus Sie die Arbeit beginnen. So können Sie dann im Zweifelsfall immer auf diesen, allerersten Speicherpunkt zurückkehren.

Schwachpunkt 4: Die Integrationsdienste

Es gibt aber noch zwei Funktionen. die das Risiko speziell für die Sicherheit des Host-Computers deutlich erhöhen:

die Integration der Zwischenablage (Copy & Paste) von VM zum Host-System und
die Integration des Host-Dateisystems in die virtuelle Maschine.

Sehr enge Integration: In der virtuellen Maschine installierte Anwendungen erscheinen im normalen Startmenü. Doch was geschieht mit den Daten, die mit diesen Programmen bearbeitet werden? Wenn sie in den VMs abgespeichert werden, entziehen sie sich der Kontrolle.
Foto: Bär/Schlede

Wer häufig "zweifelhafte Programme" innerhalb einer virtuellen Maschine testen möchte, der sollte in jedem Fall diese sogenannten Integrationsdienste weitgehend deaktivieren. Wer ganz sicher gehen möchte installiert auf seinen Systemen auch die speziellen Treiber für die Virtualisierungslösung nicht. Das reduziert zwar deutlich die Leistungen des Systems, garantiert auf der anderen Seite jedoch, dass keinerlei Daten auf das Host-System durchdringen können.

Die Theorie zum Abschluss: Was ist eigentlich Virtualisierung?

Der Begriff der "Virtualisierung" wird von der schreibenden Zunft gerne bemüht, wenn es um fortschrittliche Technologien geht. Dabei handelt es sich bei genauer Betrachtung doch um ein bereits in der Frühphase der Computer-Technik entwickeltes Verfahren. Die Idee der Entwickler war es, eine physikalische Maschine mehrfach nutzen zu können - im Sinne von logischen Maschinen. In den siebziger Jahren veröffentlichten die Universitäts-Informatiker Gerald J.Popek und Robert P.Goldberg eine Abhandlung, in der die theoretischen Anforderungen an die Virtualisierung von Hard- und Software explizit beschrieben wurden. Bei diesem Popek-Goldberg-Theorem handelt es sich um ein heute noch gültiges Modell für einen virtualisierbaren Rechner.

Auf die Inhalte dieses Theorems bezogen, ist die heute gebräuchliche x86-Plattform zur Virtualisierung an sich nur bedingt geeignet: So haben sich zunächst die Software-Entwickler mit verschiedenen Ansätzen und Tricks um diesen Missstand herum gearbeitet. Seit einiger Zeit erweitern Intel und AMD die Virtualisierungsfähigkeiten der CPU dahingehend, dass Programme wie Xen von Citrix, VMware ESX und Microsofts Hyper V dazu in der Lage sind, diese Techniken und damit die Virtualisierung effektiv zu nutzen.

Bei diesen "großen Virtualisierungstechniken" kommen dann Konzepte wie das "Single Kernel Image" (SKI) oder die Paravirtualisierung zum Einsatz. Wird hingegen auf einem herkömmlichen PC eine Virtualisierung mit VMware Workstation, Virtual Box oder Microsofts Virtual PC/Virtual XP verwendet, so arbeitet man dort mit der sogenannten "vollständigen Virtualisierung", die auch als Partitionierung bezeichnet wird. Wesentliches Unterscheidungsmerkmal ist hierbei die Tatsache, dass bei einer "vollständigen Virtualisierung" das virtualisierte Betriebssystem "gar nicht weiß", dass es virtuell betrieben wird.

Die für die Virtualisierung zuständige Software, der Virtual Machine Monitor (VMM), läuft auf einem Host-Betriebssystem als Anwendung. Alle Anfragen des Gast-Betriebssystems an seine Umgebung werden durch den VMM abgefangen und entsprechend übersetzt. Dabei werden zudem alle Komponenten vom I/O-System bis hin zum BIOS originalgetreu nachgebildet. Der größte Vorteil der Partitionierung besteht darin, dass auf diese Weise keine Anpassung des Gastbetriebssystems notwendig ist - was sie wiederum ideal für den Einsatz auf Desktop-Systemen macht.

Fazit: Kaum eine Gefahr - wenn die Richtlinien stimmen

Virtualisierung ist kein Hexenwerk und für die Betriebssicherheit im Unternehmensnetzwerk prinzipiell kein Risiko - sofern einige Richtlinien beachtet werden. Dabei sollte vor allen Dingen immer der Grundsatz gelten, dass virtuelle Maschinen wie physikalische Computer zu behandeln sind!

Wir werden virtuelle Maschinen künftig sicher auch an eher ungewöhnlichen Orten vorfinden können. So ermöglicht beispielsweise die kostenfreie Emulationssoftware DOSBox in ersten Vorversionen bereits den Einsatz von Windows 95 auf einem Android-Gerät. (ph)

Díeser Ratgeber basiert auf einer Meldung unserer Schwesterpublikation COMPUTERWOCHE