Datenbanken gehören zu den Kernkomponenten des E-Business. 

In vielen Unternehmen gewinnt time-to-market an Bedeutung, es geht darum eine Aufgabe so schnell wie möglich zu erledigen, dies birgt Gefahren.

Security-Verantwortliche in Unternehmen müssen mit neuartigen Bedrohungen des Web 2.0 Schritt halten und den blinden Fleck minimieren, denn bereits der chinesische General Snz stellte 500 vor Christus richtigerweise fest: Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von hundert Schlachten nicht zu fürchten.

Daher gilt: Wissen ist die entscheidende Basis jeder erfolgreichen Sicherheitsstrategie und betrifft das ganze Unternehmen, dies gilt insbesondere auch für die Datenbanksicherheit , heute und morgen!

 

Warum sind Datenbanken auch 2008 noch unsicher?

In den meisten Unternehmen gehören Datenbanken zu den Kernkomponenten von webbasierten Applikationen, denn dynamische Inhalte bestimmen das Web 2.0. Klassische Sicherheitsmechanismen von Datenbanken stossen im Umfeld von modernen E-Business-Applikationen schnell an ihre Grenzen.

Die Annahme man muss nur diejenigen Datenbanken schützen, die direkt in kritische Geschäftsprozesse integriert sind, ist falsch, denn verwundbare Datenbanksysteme sind vielfach Ausgangspunkt von Angriffen auf weitere ICT-Systeme.

 

Datenbank-Sicherheit ist scheinbar ein alter Hut, aber dennoch ein Top-Thema, die Gründe liegen auf der Hand:

 

• Unzureichende Überwachungssysteme in virtualisierten Umgebungen
• Das Prinzip harte Schale, weicher Kern schützt nicht vor internen Angreifern
• Schwächen im Datenbankdesign sowie unzureichender Schutz der Core-Komponenten durch leistungsfähige Perimeter Security-Systeme
• Prinzip der minimalen Rechte wird bei der Applikationseinbindung nicht immer beachtet
• Datensicherungen werden nicht ausreichend engmaschig durchgeführt was auch in Kombination mit billiger Hardware zu Problemen führen kann
• Fehlender Einsatz moderner Security Information- & Event Management-Lösungen, denn Überwachungslösungen werden meist nur punktuell eingesetzt, eine Verknüpfung über Datamining-basierte Verfahren findet im Regelfall nicht statt
• Unvorhersehbare Fehlerquellen wie z.B. Stromausfälle werden oftmals nur unzureichend beim Gesamtdesign berücksichtigt
• Vertrauliche Daten liegen meist unverschlüsselt in Datenbanken und können einem Angreifer wertvolle Insiderinformationen (z.B. Netzpläne, Passwortlisten etc.) liefern, um weitere ICT-Systeme zu kompromittieren.
• Nicht ausreichende Netzwerkverschlüsselung bei der Datenbankadministration
• Implementierung der Geschäftslogik in die Webapplikation anstatt in das Datenbankschema
• Kein Einsatz von Intelligent Property Protection Technologien im day-zero Kontext, die auch dann noch ausreichend Schutz bieten, wenn noch keine qualitätsgeprüften Herstellerpatches vorliegen
• Fehlende Einbindung in leistungsfähige Identity Management-Umgebungen
• Einsatz unsicherer Default-Konfigurationen ohne ausreichendes System-Hardening bei der Installation und Überwachung im laufenden Betrieb
• Blacklist-Ansatz ("erlaubt ist alles, es sei denn, es ist explizit verboten") führt gerade bei den häufig praktizierten SQL Injection Angriffen schnell zu ernsthaften Sicherheitsproblemen.

Wie soll man mit Datenbank-Altlasten, die nicht mehr supportet sind, umgehen?

Der schnelle Technologiefortschritt bestimmt das Web2.0 und die Angreifer halten mit und stellen damit eine große Gefahr für Legacy Systeme dar, die nicht mehr vom Hersteller gepflegt werden. Das Fatale an alten Datenbanksystemen ist jedoch oftmals, dass dort brandaktuelle Informationen abgelegt sein können, die für Angreifer von größtem Interesse sein können. Eine kontinuierliche Systempflege ist von größter Bedeutung und sichert die Kernprozesse von Unternehmen. Der Einsatz von Alt-Systemen rechnet sich nicht und erinnert an Russisches Roulette.

 

Professionelle ICT-Dienstleister stellen auf Basis definierter Service Level Agreements sicher, dass state-of-the-art Technologien marktführender Hersteller eingesetzt werden und eine bedarfsgerechte Sicherheit gewährleistet wird. Kunden können sich damit auf Ihr Kerngeschäft konzentrieren. 

Wie viel Zeit investieren Sie in Datenbank-Sicherheit?

Die Investition in die Systempflege von Datenbanken zahlt sich aus. Um kontinuierlich auf dem neusten technologischen Stand zu sein und alle Sicherheitsregeln zu beachten sind fundierte Kenntnisse notwendig, die ständig auf dem neusten Stand gehalten werden müssen.

 

Auch bei Datenbanken gilt der bekannte Grundsatz: Die Gesamtsicherheit ist lediglich so stark wie das schwächste Glied in der Kette, daher müssen Netz, Betriebssystem, Applikation und Datenbank ganzheitlich betrachtet werden.

Damit der Aufwand und Nutzen in einem sinnvollen Verhältnis stehen empfiehlt sich der Einsatz von vertrauenswürdigen ICT-Dienstleistern mit entsprechendem Know-how.

• Verwandte Themen
• Privileged Identity Management für das Oracle Ecosystem
• Quest Software präsentiert SharePlex for Oracle 7.0
• Mehr und effizienterer Datenschutz für Oracle-Umgebungen von EMC
• Erste LogLogic Database-Security-Lösung integriert mit vollständiger Security und Log Management Suite
• Imperva verändert Datenbanksicherheit durch integriertes Data-Risk-Management
• T-Systems: Ein umfassendes Information Lifecyle Management im Unternehmen ist die wichtigste Grundlage für DLP
• T-Systems Enterprise Services: SIEM verbessert die Security Incident Response Möglichkeiten
• T-Systems: Die heutigen Per-11n Geräte sind primär für den Consumer-Markt vorgesehen