COMPAREX AG
Cyberkriminalität und GDPR– da gibt’s jetzt auch was von VMware?!

Cyberkriminalität und GDPR – da gibt’s jetzt auch was von VMware?!

GDPR? Ist das ein weiteres sinnbefreites Kürzel aus der IT? Nein, die Abkürzung kommt aus Brüssel und wird spätestens ab 2018 viele Unternehmen & Organisationen in und außerhalb der EU vor datenschutzrechtliche Probleme stellen. Dann nämlich tritt die neue Datenschutzgrundverordnung in Kraft und wird das bisherige Recht komplett umwälzen. Was VMware hier für eine Rolle spielt und wie Sie Ihre IT GDPR-konform gestalten können, erfahren Sie in unserem Blogbeitrag.

Ein Blogbeitrag von Marco Vogel, Senior Manager Global Alliances für VMware

Im Mai 2016 wurde die General Data Protection Regulation, kurz GDPR, innerhalb der EU verabschiedet. Sie ist eine konsequente Weiterentwicklung der EU-Datenschutzrichtlinie. Mit ihr wird geregelt, was mit den Daten von EU-Bürgern gemacht werden darf, wie diese geschützt, klassifiziert und gespeichert werden und für wen das ganze gilt. Interessanterweise nicht nur für Unternehmen und öffentliche Einrichtungen in der EU, sondern für alle Unternehmen, die mit Daten von EU-Bürgern arbeitet. Aktuell gibt es 28 Interpretationen der „alten“ EU Datenschutzrichtline, mit der „neuen“ gibt es EINE Verordnung und kommt damit unserem deutschen Ordnungssinn entgegen. Die neue Richtlinie ist also primär ein Security-Thema.

Aber VMware und Security? Viele VMware-Kunden reagieren erst einmal zurückhaltend, wenn diese Kombination auf sie zukommt. Aber in der Tat ist die gemeinsame Historie recht lang. Eins meiner Favorites und meistunterschätzten VMware-Produkte war ACE (Assured Computing Environment). Kunden konnten komplett abgekapselte Virtuelle Desktop-Maschinen an ihre Nutzer (auch Externe, Freelancer, Temps) ausrollen. Diese liefen auf einem beliebigen Windows-Endgerät per VMware-Player oder Workstation. Der Clou daran: Die Admins konnten diverse Sicherheitsregeln mitgeben, um unternehmenskritische Daten zu sichern. Kein Drucken aus der Enterprise-VM? Geht! Nutzer hat nur bis 31.12. Vertrag? Die VM schaltet sich um Mitternacht hab. Keine USB-Sticks zugelassen. Kann man einstellen. Funktionierte prima, fand aber wohl nicht genügend Abnehmer, um die Entwicklung gegen zu finanzieren. Jetzt feiern einzelne Funktionalitäten ihr Comeback in der WorkspaceONE Suite von VMware.

Dann gab es noch die Sache mit der Endpoint-Security und vSphere. VMware lieferte dabei „nur“ die Schnittstelle an vSphere, daran dockten sich die üblichen Verdächtigen wie Intel, Symantec oder Trend Micro an und konnten ohne Agenten in den VM´s alles scannen, was durch den ESX-Layer ging.

Und dann kam  Nicira, ein Vorreiter in Sachen Netzwerkvirtualisierung. Das Unternehmen wurde 2012 von VMware gekauft und das nicht gerade billig, um der Wahrheit die Ehre zu geben – aber wohl preisWERT. In der Zwischenzeit ist VMware NSX die am schnellsten wachsende VMware-Lösung und hat das Zeug, das nächste Momentum wie seinerzeit vSphere auszulösen. Im Bereich Netzwerk gibt es natürlich schon Platzhirsche, um genau zu sein ausgewachsene Alpha-Tiere wie z.B. Cisco. Ein Marktführer mit Ambitionen in der Netzwerkvirtualisierung hat. Also, wer schafft es als erstes den Netzwerkhypervisor beim Kunden flächenmäßig zur verankern?

Sieht Cisco seine Felle davonschwimmen, wenn jetzt auf einmal eine Software-Lösung Security- und Netzwerkfunktionen übernehmen will? Offizielle Consultant-Antwort: Kommt darauf an. Im kürzlich veröffentlichten Gartner Quadranten 2016, bezüglich Datacenter Networking, hat Cisco die beste „Ability to Execute“, während VMware bei der „Completeness of Vision“ ganz vorn ist.

Spannend ist hier vor allem, dass VMware NSX als Marktführer der produktiven SDN-Plattformen wahrgenommen wird, zumindest was die Verbreitung angeht. Speziell Mikro-Segmentierung wird als absolutes Plus gesehen, um Intra-Datacenter-Security zu schaffen oder zu verbessern. Im tatsächlichen Leben ist die Wettbewerbssituation der beiden 12-Ender Cisco und VMware übrigens überschaubar. VMware fokussiert sich eher auf die Zusammenarbeit mit Firewall-Herstellern bzw. traditionelle Security-Anbieter und kann eine ganze Reihe an Security-Features abdecken. Firewalls sind genauso im Angebot wie Routing, Load Balancing, Monitoring und Logging-Funktionen, als auch fortgeschrittenes Switching.

Tatsächlich kann NSX als Security-Verbindungsglied zwischen den einzelnen Endpunkten des Kunden fungieren, dazu zählen Public Clouds (AWS, Azure, vCloud Air) genauso wie lokale Service Provider, aber auch das On-Premise Datacenter. Im Moment zwar nur vSphere, bald kommen aber auch HyperV oder KVM (Kernel-based Virtual Machines; drittgrößte Kraft
nach VMware und MS Hyper-V), Außenstellen-Datacenter, virtuelle Desktops und mobile Devices dazu. Natürlich auch das berühmte Internet of Things oder die neuen New App Frameworks wie z. B. das immer populärer werdende Docker.

Und jetzt wieder zurück zum Anfang: VMware NSX kann durchaus bei der Umsetzung der GDPR-Richtlinien helfen. Zwei Jahre haben Firmen und Institutionen Zeit, ihre IT (zukunfts)sicher zu gestalten. Dann gibt es neben einer Meldepflicht bei Vorfällen, auch teilweise empfindliche Geldstrafen, die bei zehn Millionen anfangen und bis zu 4 % des weltweiten Jahresumsatzes reichen. Der 25. Mai 2018 ist hier das magische Datum.

Was war der Grund für die Verschärfung der GDPR-Richtlinie?

Die stark ausgeprägte Cyberkriminalität in EMEA und der restlichen Welt: International kostet es Unternehmen jährlich über 100 Milliarden Dollar. Die bekannt gewordenen Beispiele sind recht interessant:

  • In der Ukraine spuckt ein Automat Geld ohne Ende aus, die Attacke ging gegen 100 Banken.
  • Eine bekannte IT-Security Firma war Ziel eines Hacker-Angriffs, um neue Technologie zu stehlen.
  • Ein englisches Medien-Unternehmen verlor durch einen Angriff nicht nur 95.000 Kunden, sondern auch 60 Millionen Pfund, um wieder auf den Status Quo zu kommen.
  • Das Auto eines bekannten Herstellers wurde gehackt und musste zurückgerufen werden.
  • Das Luftüberwachungssystem eines EU-Landes wurde gehackt.
  • Eine der größten Banken in Skandinavien wurde gehackt, selbiges in Benelux.
  • Die Einwohner-Datenbank eines Landes, dass noch immer irgendwie in EU-Beitrittsverhandlungen steckt, wurde gehackt.

Kleine Nebenanmerkung 1: Barack Obama hat Cyberkriminalität letztes Jahr als nationalen Notfall eingestuft und schärfere Gesetze bzw. Sanktionen genehmigt  - wenn also der Chef der größten Nation das auf dem Schirm hat sollten wir auch in Regenschutz investieren..

Kleine Nebenanmerkung 2: Die meisten Opfer entdecken erst drei Monate nach dem Angriff die Vorfälle, einige suchen wahrscheinlich gar nicht danach.

Was müssen Firmen in Zukunft ändern?

Ganz simpel als oberste Grundregel: Erst einmal niemanden trauen, auch innerhalb einer Firma. Das Beispiel von VMware finde ich recht plakativ. Bisher ist die IT so organisiert, dass die Außengrenzen des Datacenters recht gut abgesichert sind, vergleichbar mit einem mittelalterlichen Schloss, bei dem neben den Außenmauern auch der Wassergraben und die Zugbrücke für Sicherheit sorgen.

Das Problem: Einmal drin, werden die Sicherheitsrichtlinien lascher. Ganz anders in einem Hotel, was sinnbildlich für die neue IT steht. Die Sicherheitsrichtlinien enden nicht an der Rezeption, sondern auch die Zugänge im Hotel sind eingeschränkt. Ein normaler Gast kann nur in sein Zimmer und den Spa- & Wellness-Bereich, ein Angestellter auch in den Heizungswartungsraum und der Direktor hat den Generalschlüssel für alle Räumlichkeiten. Übersetzt in die Sprache der IT, wäre dieses einfache Hotelmodel natürlich zu simpel, bei kritischen Daten braucht man dann eher eine Zwei-Faktor-Authentifizierung. Passend dazu gibt es in der Dell/EMC-Familie ja auch was von RSA , die EMC „Federation“ oder zukünftig die „Dellaration“ wird ja gern gepuscht. Klingt jetzt eher nach Fort Knox oder James Bond mit Retina Scan oder Fingerprint , aber ist gar nicht so weit weg von der Realität.

Die neue IT ist nun einmal mobil, hat eine Vielzahl von Endgeräten, neben einem virtualisierten Datacenter verwendet der Kunde auch eine Unternehmens-Cloud, die sich wiederum aus mehreren Cloud-Anbietern zusammensetzt. Wie kann ich also sicherstellen, dass die Sicherheitsrichtlinien auch nach einer Live-Migration im Rechenzentrum oder einer Migration ins nächste AWS-Rechenzentrum nicht verloren gehen (ein Announcement der VMworld 2015)? Bisher verwendete physische Netzwerkkonfigurationen stoßen hier schnell an ihre Grenzen. Von daher treffen sich in der neuen Software-Defined-Network-Arena sowohl die arrivierten Netzwerkanbieter als auch die jungen Wilden.

VMware hat hier mit seinem Zero-Trust-Angebot und den Produkten aus der Zusammenarbeit mit den großen Security- und Firewall-Anbietern ein heißes Eisen im Feuer, um die IT von morgen GDPR-konform zu machen.

Zum Abschluss noch eine Empfehlung an Sie:

Nichts machen ist keine Option, das Risiko der Strafen bzw. der öffentlichen Bloßstellung  wollen wohl die wenigsten eingehen. Sie müssen also agieren. Unterziehen Sie Ihre Umgebung erst einmal einem Compliance-Test. Sollten Sie gleichzeitig schon VMware-Kunde sein und ein Software-Defined-Datacenter ist Teil ihres strategischen Planes, lohnt auch ein Blick auf die Netzwerkvirtualisierung und die damit verbundene Micro-Segmentation sowie seinen zahlreichen (sicheren) Schnittstellen.

In diesem Sinne, bis spätestens am 25. Mai 2018. Machen sie was (draus) – gern mit uns gemeinsam!

Mit VMware NSX komplexe Netzwerke kinderleicht bewältigen!

Lernen Sie in unserem kostenfreien Webinar VMware NSX kennen und sich die Vorteile sowie Funktionen von unserem Experten Thomas Rupp vorstellen. Melden Sie sich heute noch an!

Termin: 30. November 2016 | 10:00 – 11:00 Uhr

Kostenlos anmelden »

Diesen Artikel teilen

Artikel vom:
30.08.2016

geschrieben von:

TAGS:
Cyberkriminalität, Datenschutz, VMware

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben