Security-Risiko: Virtualisierung auf dem PC

Die Theorie zum Abschluss: Was ist eigentlich Virtualisierung?

Der Begriff Virtualisierung wird von der schreibenden Zunft gerne bemüht, wenn es um fortschrittliche Technologien geht. Dabei handelt es sich bei genauer Betrachtung um ein bereits in der Frühphase der Computertechnik entwickeltes Verfahren. Die Idee der Entwickler war es, eine physikalische Maschine mehrfach nutzen zu können - im Sinne von logischen Maschinen. In den siebziger Jahren veröffentlichten die Universitäts-Informatiker Gerald J. Popek und Robert P. Goldberg eine Abhandlung, in der die theoretischen Anforderungen an die Virtualisierung von Hard- und Software explizit beschrieben wurden. Bei diesem Popek-Goldberg-Theorem handelt es sich um ein heute noch gültiges Modell für einen virtualisierbaren Rechner.

Auf die Inhalte dieses Theorems bezogen, ist die heute gebräuchliche x86-Plattform zur Virtualisierung an sich nur bedingt geeignet. So haben sich zunächst die Softwareentwickler mit verschiedenen Ansätzen und Tricks um diesen Missstand herumgearbeitet. Seit einiger Zeit erweitern Intel und AMD die Virtualisierungsfähigkeiten der CPU dahingehend, dass Programme wie Xen von Citrix, VMware ESX und Microsofts Hyper V in der Lage sind, diese Techniken und damit die Virtualisierung effektiv zu nutzen.

Bei diesen "großen Virtualisierungstechniken" kommen dann Konzepte wie das "Single Kernel Image" (SKI) oder die Paravirtualisierung zum Einsatz. Wird hingegen auf einem herkömmlichen PC eine Virtualisierung mit VMware Workstation, Virtual Box oder Microsofts Virtual PC/Virtual XP verwendet, so arbeitet man dort mit der sogenannten "vollständigen Virtualisierung", die auch als Partitionierung bezeichnet wird. Wesentliches Unterscheidungsmerkmal ist hierbei die Tatsache, dass bei einer "vollständigen Virtualisierung" das virtualisierte Betriebssystem "gar nicht weiß", dass es virtuell betrieben wird.

Die für die Virtualisierung zuständige Software, der Virtual Machine Monitor (VMM), läuft auf einem Host-Betriebssystem als Anwendung. Alle Anfragen des Gast-Betriebssystems an seine Umgebung werden durch den VMM abgefangen und entsprechend übersetzt. Dabei werden zudem alle Komponenten vom I/O-System bis hin zum BIOS originalgetreu nachgebildet. Der größte Vorteil der Partitionierung besteht darin, dass auf diese Weise keine Anpassung des Gast-Betriebssystems notwendig ist - was sie wiederum ideal für den Einsatz auf Desktop-Systemen macht.

Fazit: Kaum eine Gefahr - wenn die Richtlinien stimmen

Virtualisierung ist kein Hexenwerk und für die Betriebssicherheit im Unternehmensnetzwerk prinzipiell kein Risiko - sofern einige Richtlinien beachtet werden. Dabei sollte vor allen Dingen immer der Grundsatz gelten, dass Virtuelle Maschinen wie physikalische Computer zu behandeln sind.

Wir werden Virtuelle Maschinen künftig sicher auch an eher ungewöhnlichen Orten vorfinden können. So ermöglicht beispielsweise die kostenfreie Emulationssoftware DOSBox in ersten Vorversionen bereits den Einsatz von Windows 95 auf einem Android-Gerät.

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche. (hal)