Lieber Fufu,

Virtualisierung ist kein Sicherheitskonzept. Da vertraue ich dem Votum von Fachleuten.

Ich vertraue auf meine Erfahrung, dass, wenn "Fachleute" zitiert werden und sich das in nur einer hingerotzten Zeile manifestiert, das Zitat in aller Regel falsch ist oder am Thema vorbei.

es war mir die Mühe nicht wert, jetzt die Artikel alle herauszusuchen, in denen berichtet wird, wie Software aus einer virtualisierten Umgebung ausgebrochen ist, um sich auf dem Hostsystem zu bewegen. Diese Vorfälle sind aber die Basis der Aussage, dass Virtualisierung kein Sicherheitskonzept sei.

'"Virtualisierung ist nicht inhärent unsicher" erklärt Gartners Vizepräsident MacDonald. "Die meisten virtualisierten Systeme werden jedoch unsicher eingerichtet."'

Oftmals verführt die Virtualisierung dazu zu glauben, dass man einen undurchdringlichen Schutzschild aufgebaut hätte, der das Host-System allein durch den Umstand der Virtualisierung vor Malware oder Angriffen schützt. Wie es eingerichtet wurde, ist dann fast schon irrelevant, da das User-Verhalten (ähnlich wie bei Vorhandensein einer "Sicherheitslösung" alias Antiviren-Software) entsprechend sorgloser wird. Dass es keinen 100%igen Schutz bei sorglosem Verhalten gibt, lässt sich damit nicht ändern.

denn ein virtualisierter Server ist ein gänzlich anderes Anwendungsszenario als ein Browser in einer virtuellen Maschine.

Es sind Programme, die in einer Sandbox laufen. Im Prinzip (lies: virtualisierte Anwendungen) sind das für mich sehr ähnliche Szenarien.

"Votum von Fachleuten"? Sehe ich nicht.

Wer im dortigen Blog länger mitliest, stößt unweigerlich auf Themen, die mit dem Ausbrechen aus Sandboxen zu tun haben. Damit erschließt sich für mich, dass Virtualisierung (aus welchen Gründen auch immer) kein veritables Sicherheitskonzept ist.

Liebe Grüße,

Felix Riesterer.