Schatzkammer Datenbank

Tabelleninhalte sind auch nur Dateien: Verschlüsseln des Dateisystems

Letztendlich werden auch die Informationen, die unter Verwaltung des Datenbanksystems stehen, im Dateisystem abgelegt. Zugriffe aus dem Datenbankmanagementsystem lassen sich durch eine Database-Activity-Monitoring-Lösung mit Umsetzung eines entsprechenden Regelwerks absichern und protokollieren. Kennt man sich ein bisschen mit den Dateistrukturen aus oder hat man genügend Zeit zum Forschen, lassen sich Informationen direkt aus den Dateien des Datenbanksystems auslesen – vorbei an jedem Protokollmechanismus der Datenbankaktivitäten. Typischerweise haben Systemadministrator-Accounts oder Systemwartungs-Accounts benötigte Privilegien, um direkt in die Datei-Inhalte schauen zu können. Oftmals liegen diese Betriebsaufgaben auch in der Verantwortung von Dienstleistern.

Aus diesem Grund ist für mögliche Zugriffe und Angriffsversuche auf Dateisystemebene eine hinreichende Verschlüsselung notwendig, die idealerweise transparent für das Datenbankmanagementsystem sowie die Anwendungen arbeitet und keine weiteren Änderungen erfordert [5]. Eine Verschlüsselung auf Spaltenebene direkt in der Datenbank beispielsweise unter Nutzung von entsprechenden Tabellenfunktionen kann insofern problematisch werden, als die Anwendung mit Aufrufen der Funktionen zum Ver- und Entschlüsseln erweitert werden muss und somit eine nicht transparente Lösung darstellt. Aus diesem Grund bieten sich z. B. die Nutzung von Lösungen zur Verschlüsselung des Dateisystems an, was wiederum transparent für die Datenbank und deren Anwendungen realisiert werden kann.

Auch Datenbank-Backups sind zu verschlüsseln, da diese ebenfalls mithilfe entsprechender Mittel direkt ausgelesen werden können. Durch die Nutzung eines verschlüsselten Dateisystems kann dies erreicht werden. Datenbanksysteme bieten zudem die Einbindung von externen Verschlüsselungsalgorithmen in ihren Backup-Befehl, die ein verschlüsseltes Backup erzeugen.

Neben der Transparenz für Datenbank und Anwendung sollten bei der Verschlüsselung auch die zusätzliche Prozessorlast durch die mathematischen Berechnungen sowie eine automatisierte Schlüsselverwaltung berücksichtigt werden. Insbesondere die Schlüsselverwaltung ist dabei Teil vieler Verschlüsselungslösungen.

Lückenlose Beweisführung: Berichterstellung und Compliance-Verfahren

Für alle Datenbankaktivitäten, welche die Sicherheit bzw. die Datenintegrität betreffen oder bei denen schützenswerte Daten angezeigt werden, müssen sichere, nicht anfechtbare Prüfprotokolle angelegt werden. Neben ihrer Schlüsselbedeutung für die Erfüllung gesetzlicher Vorgaben und Industriestandards sind solche Prüfprotokolle auch für forensische Untersuchungen im Falle eines Datenverbrechens wichtig. Viele Unternehmen setzen derzeit auf eine Art manuellen Audit unter Nutzung nativer Datenbankprotokollfunktionen. Diese Verfahren erweisen sich oftmals aufgrund ihrer Komplexität und ihrer hohen, durch manuellen Aufwand verursachten Kosten als unzulänglich. Zu den weiteren Nachteilen zählen hohe Performanceeinbußen auf den Datenservern, die mangelnde Rollentrennung durch entsprechende Berechtigungskonzepte und die Notwendigkeit großer Datenspeicherkapazitäten, um die enormen Mengen ungefilterter Transaktionsdaten bewältigen zu können.

Die bereits vorgestellten Database-Activity-Monitoring-Lösungen haben oftmals durch die Nutzung der speziellen Treiber weniger Performanceauswirkungen auf die überwachten Datenserver und gewährleisten durch das dedizierte Audit Repository eine saubere Rollentrennung. Des Weiteren lassen sich die Protokollinformationen nach relevanten Inhalten filtern, um diese dann selbst optimiert und normalisiert in einem sicheren Audit Repository abzulegen. Die weitere Verarbeitung der gesammelten Audit-Daten sollte aus Kostengründen auch weitestgehend automatisiert werden. Dazu zählt die Aufbereitung der Daten in Form von definierten Berichten sowie die Verteilung dieser Berichte im Sicherheitsteam z. B. per E-Mail. Ein solcher Workflow zur Verteilung der Lageberichte sollte notwendige Aktionen der Compliance-Mitarbeiter abbilden, wie z. B. eine Signierung oder Eskalation der Berichte. Es gilt auch diese Aktionen auf den Berichtsobjekten in einem Audit Repository entsprechend nachweisbar abzulegen [5].

Daten für den Anwendungstest verfälschen

Zum Test der Anwendungslogik werden Daten benötigt – idealerweise so realistisch wie möglich. Um diese Anforderung zu erfüllen, wird oftmals direkt auf Produktionsdaten zurückgegriffen, was z. B. der „2010 Data Security Survey“ der Oracle User Group bestätigt [4]: 85 % der befragten Unternehmen geben Produktionsdaten unverändert an Entwickler und Dienstleister weiter. Die für Testzwecke kopierten Produktionsdaten befinden sich ungesichert auf Testsystemen, für die es typischerweise geringere Sicherheitsauflagen gibt – schon allein aus Prozessgründen. Benötigt wird ein einfaches wiederholbares Verfahren, mit dem ein verfälschter Extrakt aus dem Produktionsdatenbestand erstellt und für Testwecke zur Verfügung gestellt werden kann. Der Extrakt erfolgt dabei auf Geschäftsobjektebene und berücksichtigt neben der referenziellen Integrität der Datenstruktur auch zusätzliche Abhängigkeiten, die ein vollständiges Geschäftsobjekt qualifizieren.

Idealerweise sollte es auch möglich sein, verfälschte Produktionsdaten in ein strukturell anderes Datenbankschema zu laden, um z. B. den Fall einer neuen oder geänderten Datenbankstruktur zu adressieren. Lösungen am Markt bieten unfangreiche Maskierungsalgorithmen, die neben Hashing, Random-Look-ups oder dem „Aging“ von Datumswerten auch die Semantik der Daten beibehalten [6]. So kann beispielsweise bei der Verfälschung von Adressinformationen sichergestellt werden, dass die Straße zwar in der entsprechenden Stadt existiert, aber die assoziierte Person dort nicht wohnt.

Fazit

IT-Sicherheit ist ein komplexes Geflecht aus unterschiedlichen Strängen, angefangen bei Identitäten und Accounts über Anwendungen und Prozesse bis hin zum Netzwerk, Servern und Endgeräten. Der Aspekt der Datenbanksicherheit hat dabei eine besondere Bedeutung, da hier in dem komplexen Geflecht der IT-Sicherheit viele Fäden zusammenlaufen. Neben der Anonymisierung von Daten zum Anwendungstest sowie der Verschlüsselung des Dateisystems wurde ein Schwerpunkt auf Database-Acticity-Monitoring-Lösungen zur Absicherung der Daten in Datenbanksystemen gelegt. Neben einer Klassifizierung schützenswerter Daten und einer Bewertung der Konfiguration bieten diese Lösungen auf Basis einer kontinuierlichen Echtzeitanalyse der Zugriffsmuster einen umfassenden Schutz der Datenbanken. Die Monitoring-Ergebnisse können dabei zwecks Auditing in ein sicheres Audit Repository gespeichert werden, auf dem flexible Auswertungen möglich sind. Hervorzuheben ist die nicht invasive Architektur dieser Lösungen, die keine Änderung an der Datenbank oder den Anwendungen erfordert und eine geringe Last auf die überwachten Systeme bringt.

Holger Seubert arbeitet als Senior Technical Sales Professional bei IBM und unterstützt bei der technischen Beratung und Konzeption von Lösungen im Bereich Information Governance.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.