Machen virtuelle Desktops (VDI) Antivirus-Software überflüssig?

Datendiebstahl und Virusinfektionen - hilft nur der Einsatz von Antivirus- und Verschlüsselungssoftware oder ist VDI mit Antivirus-Software die Lösung?

Was haben Sie selbst und ein Top-Manager der Bank of America gemeinsam? Vielleicht ist es die Zahl der Nullen beim Gehalt, wahrscheinlich aber doch eher die Tatsache, dass Sie beide für Ihre Arbeit Laptops benutzen. Und wenn Sie dabei nicht mit Desktop-Virtualisierung arbeiten, könnte es sein, dass Sie wie die Bank of America zum Opfer von Datendiebstahl werden.

Sie können sich vielleicht noch daran erinnern: Vor einigen Jahren kam der Bank der Laptop einer Führungskraft abhanden, auf dem unverschlüsselte Kunden- und sensible Unternehmensdaten zu finden waren. Die Inhalte der Festplatte wurden später extrahiert und auf der Website Wikileaks veröffentlicht. Es war die Hauptmeldung in vielen Abendnachrichten.

Vor weniger langer Zeit musste sich das Arbeitsministerium von Massachusetts für einen Computer-Virus entschuldigen, der sensible Daten von bis zu 210.000 Arbeitslosen in dem Bundesstaat kompromittiert haben könnte. Der Virus soll von „kriminellen Hackern“ eingesetzt worden sein. Mit seiner Hilfe sammelten sie vertrauliche Informationen über Bewerber und Arbeitgeber von 1500 staatlichen Computern.

Solche Ereignisse werfen für mich eine Frage auf: Könnten sie und die unzähligen anderen Fälle von Datendiebstahl und Virus-Infektionen durch virtuelle Desktop-Infrastrukturen (VDI) verhindert werden?

Den Dieben die Muschel, wir behalten die Perle

Perlentaucher lieben die Jagd nach den Schätzen, die sich in der Schalen-Behausung von Meeresbewohnern namens Mollusk verstecken können. Und wie bei Dieben von digitalen Informationen liegt auch hier der Reiz nicht etwa im Gehäuse: Richtige interessant ist erst, was im Inneren steckt. Im Fall von Unternehmen geht es dabei um Daten, die den Ruf schädigen und zu finanziellen Schäden führen können, wenn sie in falsche Hände geraten.

Mit VDI lassen sich Computer zu wertlosen Hüllen machen. Den wahren Schatz, also Informationen des Unternehmens, können Sie dann im Rechenzentrum aufbewahren, wo Richtlinien den Zugriff darauf regeln. Viel mehr als leere Schalen können Cyber-Kriminelle dann bei Ihren Beschäftigten tatsächlich nicht mehr finden.

Macht VDI Antivirus-Software überflüssig?

Manche IT-Administratoren meinen, mit virtuellen Desktops werde wegen ihrer prinzipiellen Sicherheit keine Antivirus-Software mehr gebraucht. Auch die Sorge um eine zu hohe Ressourcen-Belastung spielt dem Verzicht auf solche Schutzsoftware in die Hände.

Sicherheitsvorteile von VDI

  • Die Nutzer-Umgebungen sind mit im Rechenzentrum untergebracht, was Zugriffe darauf und Reparaturen erleichtert.
  • VDI-Designs mit geklonten oder einheitlichen Images lassen sich leicht mit einem Neustart oder Refresh auf einen sauberen Zustand wiederherstellen.
  • Eine VM, die auf einem Client-Hypervisor (wie XenClient) läuft, lässt sich leicht zerstören oder wiederherstellen.
  • VDIs erlauben engere Kontrollen von Daten-Transfers wie Beschränkungen für USB-Laufwerke oder Datei-Uploads

In der Realität aber ist Antivirus-Software auch in einer VDI-Umgebung immer noch hilfreich. Image-Wiederherstellung und zentrale Kontrolle sind hervorragende Methoden dafür, die Ausbreitung von Viren zu hemmen oder zu verhindern, doch die erste Infektion können sie nicht verhindern. Selbst wenn Sie strenge Richtlinien für Daten-Transfers durchsetzen, bedeutet die Vielzahl der dafür möglichen Methoden (einschließlich E-Mail-Viren, die den Scanner überwinden), dass auch ein virtueller Desktop noch Risiken ausgesetzt ist.

McAfee und Symantec haben vor kurzem gemeldet, dass ihre Software in VDI-Umgebungen mehr Intelligenz zeigen soll. Von Symantec kam ein Whitepaper, laut dem sein Symantec Endpoint Protection (SEP) in Version 11 über Erweiterungen für virtuelle Desktop-Umgebungen verfügt. Zusätzlich wurde auf der Symantec Vision Conference verkündet, dass SEP Version 12 noch weitere Erweiterungen bekommen soll, darunter Bewusstsein für geklonte Images und eine Reduzierung der IOPS um mehr als 90 Prozent in VDI-Umgebungen.

VDI in Verbindung mit erweiterter Antivirus-Software ist also fast ein Traum: Die Kombination bringt deutliche Sicherheitsvorteile gegenüber traditionellen PCs.

Daten-Verschlüsselung auf lokalen Laufwerken reicht nicht aus

Manche IT-Administratoren sagen, bei traditionellen PCs sei eine Verschlüsselung ausreichend. Dafür gibt es exzellente Produkte auf dem Markt, etwa PGP Whole Disk Encryption (WDE) von Symantec. Sie schaffen eine Art Kraftfeld der Sicherheit um die lokalen Festplatten herum.

Die Probleme aber beginnen dann, wenn sich die Daten auf solchen Geräten nicht mehr unter der physischen Kontrolle des Beschäftigten oder seiner IT-Abteilung befinden. Um die „Giftpille“ zu aktivieren, die in das PGP entsprechende Chipset eingebaut wurde, muss sich das Gerät erst einmal mit dem Internet verbinden: Damit es die Pille schluckt, muss es den Befehl dazu bekommen.

Natürlich könnte der PGP-Administrator eine Richtlinie anlegen, nach der immer nach einem bestimmten Zeitraum eine Kontaktaufnahme zum Sicherheitscontroller erfolgen muss. Wenn das System das unterlässt, würde das seinen Selbstmord auslösen. Das klingt wie aus einem James-Bond-Film, und genau das ist das Problem dabei: Es ist eher ein Traum als harte Realität.

Denn wer wie wir mit IT arbeitet, weiß, wie unpraktisch so eine Funktion in echten Unternehmensumgebungen ist. Ich vergleiche sie gern mit einer lauten Auto-Alarmanlage, die 15 Minuten lang Lärm macht, bevor der Nachbar die Polizei ruft – und die kommt dann noch einmal 10 Minuten später. Ein professioneller Dieb aber braucht weniger als eine Minute dafür,  in Ihr Auto einzubrechen und es kurzzuschließen. Auf ähnliche Weise kann auch ein geschickter Datendieb Daten aus Storage-Medien extrahieren, bevor die nächste Kontaktaufnahme erfolgen muss.

Um wirklich den wertvollsten Aktivposten zu schützen, den Ihr Unternehmen hat – Informationen nämlich –, müssen Sie deshalb anders vorgehen: Bewahren Sie alle Daten im Rechenzentrum auf und machen Sie sie über virtuelle Desktops zugänglich. Führen Sie Richtlinien für Daten-Extraktion ein und überwachen, kontrollieren und schützen Sie Daten, die sich vorübergehend außerhalb des Rechenzentrums befinden.

VDI ist nicht die Antwort auf alle Sicherheitsprobleme mit Desktops. Aber zusammen mit Antivirus-Software können sie eine Strategie bilden, die für die schwierigsten Herausforderung im Sicherheitsbereich von heute durchaus in Frage kommt.

ÜBER DEN AUTOR:

Eugene Alfaro ist Leiter des IT-Engineering bei Cornerstone Technologies, einem IT-Entwicklungsdienstleister aus Kalifornien, und beschäftigt sich seit 1998 mit Architekturen, Management und Betrieb von IT-Umgebungen multinationaler Unternehmen. Als Redner spricht er über Themen wie Virtualisierung, WAN-Optimierung, Enterprise-Storage oder Voice over IP.

Artikel wurde zuletzt im Juni 2011 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close