Sicherheitsstrategien für Datenbanken

Schatzkammer Datenbank

Holger Seubert

Gesetzliche Vorgaben, Industriestandards und Wirtschaftsspionage veranlassen Unternehmen, neue Strategien zur Absicherung ihrer Kunden- und Unternehmensdaten zu entwickeln – Daten, die mehrheitlich in Datenbanksystemen verwaltet werden.

Im Folgenden soll eine Strategie zur durchgängigen Absicherung von Datenbanken und deren mögliche Umsetzung skizziert werden. Eine Strategie, die sich zwischen Funktionalität, Nutzbarkeit und Sicherheit einer Geschäftsanwendung bewegt.

Datenbanken: Ein lohnendes Ziel für Angreifer

Wie geschäftskritisch Datenbanken sind, verdeutlichen umfangreiche Backup- und Hochverfügbarkeitslösungen, die sich als fester Bestandteil der Unternehmens-IT etabliert haben. Geschäftskritisch sind Datenbanken aber nicht nur aus in Bezug auf ihre Verfügbarkeit. Weltweit werden vertrauliche Daten zumeist in Datenbanksystemen verwaltet – und folglich sind Datenbanken ein lohnendes Ziel für Kriminelle. Aus diesem Grund existieren gesetzliche Anforderungen sowie Industriestandards, um einen Schutz sensibler Daten sicherzustellen. In der Vergangenheit wurde neben der operationalen Sicherung der Datenbanken oftmals ein Schwerpunkt auf den Zugriffsschutz der Netzwerkebene durch Firewalls, Intrusion-Detection- und Intrusion-Prevention-Systeme gelegt. Endgeräte werden mit Antivirenprogrammen geschützt und Anwendungen häufig auf bekannte Schwachstellen wie z. B. SQL Injection analysiert. Sicherheit ist eine vielschichtige Aufgabe, wobei der äußere Sicherheitswall eines Unternehmensnetzwerks i. d. R. gut ausgebaut ist. Da aber Datenbanken in der heutigen Systemlandschaft funktional immer näher an diesen äußeren Sicherheitswall heranrücken, stellt sich die Frage, inwieweit die traditionellen Backend-Systeme verwundbar sind. Mit Ad-hoc-Werkzeugen wie Tabellenkalkulationsprogrammen greift die Fachabteilung direkt auf die Datenbank zu. Webanwendungen bieten diverse Services, die auf den Unternehmensdaten arbeiten, oder es werden Zugänge für Mitarbeiter und Partner geschaffen. So kann auch ein gut ausgebauter Burggraben durch diese funktional benötigten Brücken überwunden werden, und erst einmal im Burghof angekommen, stehen ohne inneren Sicherheitsring viele Wege zur Daten-Schatzkammer offen. Diese offenen Wege existieren insbesondere für Insider des Hofstaats, wozu z. B. Mitarbeiter, Dienstleister und Kunden gezählt werden können.

Dass der Schutz insbesondere vor internen Angriffen immer wichtiger wird, zeigt der „2010 Data Breach Investigations Report“ des Verizon Business RISK Team [1] in Zusammenarbeit mit dem United States Secret Service: 2009 wurden 26 % mehr Angriffe durch Insider durchgeführt als im Jahr zuvor und diese daher als Top-Bedrohung eingestuft. Diese Beobachtung deckt sich auch mit einer Studie der KPMG [2]: Laut deren Umfrage geht jedes zweite Datenverbrechen in der deutschen Wirtschaft auf einen Mitarbeiter zurück.

Auch nach Einschätzung des Bundesinnenministeriums stellt die Wirtschaftsspionage für deutsche Unternehmen eine zunehmende Bedrohung dar [3], die zum Großteil auf Informationen aus Datenbanksystemen abzielt. Dabei gingen 70 % aller Fälle von Mitarbeitern des Unternehmens aus, die aufgrund von Problemen wie Vertrauensschwund oder Arbeitsplatzverlust für solche Aktionen empfänglich waren.

Es überrascht nicht, dass laut dem Verizon-Bericht 98 % der insgesamt kompromittierten Daten von Datenbankservern stammen. Umso überraschender ist aber: 96 % der Angriffe wären ohne großen Aufwand vermeidbar gewesen, z. B. durch Datenbank-Auditing, das Monitoring und Absichern privilegierter interner Nutzerkonten oder auch durch ein zeitnahes Einspielen von Patches.

Im Folgenden wird eine ganzheitliche Methodik zur Absicherung von Datenbanken vorgestellt, die nicht nur bei der Einhaltung nationaler und internationaler gesetzlicher Vorgaben unterstützt, sondern auch hilft, einen sinnvoll dimensionierten inneren Sicherheitsring um die „Schatzkammer Datenbanksystem“ zu entwerfen. Dabei wird Wert darauf gelegt, dass die Nutzbarkeit und Funktionalität unter dem Aspekt Sicherheit nicht leiden und eine praktische und einfache Umsetzung der Strategie im Vordergrund steht.

Geschrieben von
Holger Seubert
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.