Diebstahlschutz für virtuelle Maschinen: Forscher entwickeln Hacker-Früherkennung

Wissenschaftler der TU Darmstadt haben herausgefunden, wie Attacken auf virtuelle Maschinen frühzeitig erkannt werden können. Mit Hilfe der neuen Methode sollen Unternehmen und Behörden ihre Daten besser vor Angriffen schützen können.

Ein neues Frühwarnsystem soll Angriffe auf virtuelle Maschinen frühzeitig erkennen (Foto: Katrin Binner / TU Darmstadt).

Der Vorteil der virtuellen Maschinen ist gleichzeitig auch ihr Nachteil: Sie enthalten keinerlei Hardware-Komponenten, sondern werden vollständig von einer Software simuliert. Im Vergleich zu herkömmlichen Computern sind virtuelle Maschinen deutlich flexibler und effizienter einsetzbar, weil sie sich schnell und ohne großen Aufwand von einem zum anderen Ort verschieben lassen. Gleichzeitig bemerkt der Anwender aber auch nicht, wenn eine virtuelle Maschine bei einem Hacker-Angriff illegal aus dem jeweiligen Firmen- oder Behörden-Netz heraus verschoben wird. In wenigen Sekunden kann so ein gesamter Rechner mit allen gespeicherten Daten in falsche Hände geraten.

Der Diebstahl lässt sich jedoch verhindern, wenn die Bewegung der Maschine rechtzeitig bemerkt wird. Ein solches Frühwarnsystem entwickelt ein Forscherteam um Dr. André König vom Fachgebiet Multimedia Kommunikation (KOM) am Fachbereich Elektro- und Informationstechnik der TU Darmstadt. Dabei machen sich die Wissenschaftler die Echoanfrage-Funktion zunutze, das so genannte »Anpingen«.

»Beim Umzug einer virtuellen Maschine sind einzelne Informationspakete länger im Netz unterwegs und gehen teilweise sogar verloren. Eine virtuelle Maschine in Bewegung sendet also ein spezifisches Echomuster aus«, sagt König. Der Forscher und sein Team entwickeln nun eine Software, die dieses spezifische Echomuster erkennt und Schutzmaßnahmen gegen den Angriff auslöst. Nach Ansicht von König spielt dabei vor allem der Faktor Zeit eine wichtige Rolle: »Daten, die einmal entwendet sind, lassen sich nicht mehr zurückholen«. Der Angriff müsse daher vor der vollständigen Migration der Maschine erkannt und gestoppt werden.