Datenbanken im Belagerungszustand
Von Gerald Strömer im Auftrag von Oracle Deutschland
Warum die Datensicherheit Chefsache sein sollte, hat bereits der erste Teil dieser Microsite dargelegt: Datendiebstähle und -lecks sind existenzielle Bedrohungen für das Unternehmen, weshalb man sie einfach nicht auf die leichte Schulter nehmen darf. Das Folgende zeigt, warum dem so ist. Das Risiko für Datenbanken ist so groß wie nie zuvor.
Bereits jetzt ist klar, dass 2011 das Jahr mit den zahlreichsten und gefährlichsten Datenbankattacken in die Geschichte der IT-Sicherheit war. Die Zahl der Berichte über SQL-Injection-Angriffe und über kompromittierte Webseiten und Datenbanken steigt ständig an, News über entwendete Datensätze in zehntausend-, hunderttausend- und teilweise millionenfacher Größenordnung werden fast schon mit einem ergebenen Schulterzucken hingenommen. Die Frage ist nun: Soll 2012 in Sachen IT-Sicherheit ein neues Rekordjahr werden – im negativen Sinne?
Erfahrungen aus der Praxis
Zuletzt im Oktober 2011 veröffentlichte die IOUG (Independent Oracle Users Group) die aktuelle Version ihrer seit 2008 jährlich unter ihren Mitgliedern durchgeführten Erhebung zur Datensicherheit. Die Ergebnisse sind teilweise schockierend: Obwohl die meisten Befragten direkt für die Sicherheit der Datenbanken in ihrer Organisation verantwortlich sind, haben ebenfalls die meisten bisher nicht die Lösungen und Verfahren ein- und umgesetzt, die verhindern würden, dass die Organisation demnächst als Negativ-Highlight in den Schlagzeilen auftauchen könnte.
IOUG-Report zum Download
Das komplette, 32 Seiten umfassende 2011 IOUG Data Security Survey kann man als PDF kostenlos bei Oracle herunterladen. Der Bericht gibt einen guten Einblick in die Verfahrensweise der Organisationen, denen die befragten Datenbankadministratoren und IT-Security-Profis angehören.
Die wichtigsten Problemfelder und Gegenmaßnahmen im Überblick
| Eine Verletzung der Datensicherheit im kommenden Jahr ist „wahrscheinlich oder unvermeidbar“ (glaubt mehr als ein Viertel) | Es muss ein Umdenken einsetzen: Entscheider müssen den Sicherheitsbedenken ihrer IT das Gewicht einräumen, das ihnen zusteht. In vielen Fällen hängt das wirtschaftliche Überleben des ganzen Unternehmens von der Datensicherheit ab – und genau so sollte sich auch priorisiert werden. |
| Ein interner Hacker oder unautorisierter Anwender verletzt die Datensicherheit (glauben 54 %) | Dagegen hilft: interne Schnittstellen gegen den Missbrauch durch nicht autorisierte User schützen sowie Rechtevergaben überprüfen und auf ein funktionelles Minimum einschränken. |
| Der Missbrauch von Privilegien durch die IT ist das höchste Sicherheitsrisiko für die Datensicherheit (glauben 52 %) | Auch speziell autorisierte Anwender („Super-User“ oder Admins) müssen sich den für alle gültigen Rechtevergaben und Passwortrichtlinien unterwerfen und müssen bei einem Weggang umgehend ihrer „Hintertürchen“ beraubt werden. |
| Die Prävention ist mangelhaft (nur 35 % könnten Missbrauch durch Super-User nachweisen; nur 24 % könnten ihn im Ansatz stoppen. | Spezielle Lösungen können bei beiden Problemen helfen; außerdem kann auch ein Appell an die Gewissenhaftigkeit der entsprechenden Super-User (siehe den vorigen Punkt) nicht schaden. |
| Die Anwendungen sind nicht gut genug gegen SQL Injection geschützt (nur 36 % halten ihre Apps für gut geschützt). | SQL Injection als eine der aktuell beliebtesten Angriffsformen kann in vielen Fällen erfolgreich ausgeschlossen werden, wenn dies durch die IT priorisiert wird. Hier gilt es, Sensibilitäten zu schärfen. |
| Wichtige Sicherheitsupdates werden zu langsam installiert (nur 29 % installieren innerhalb von drei Monaten nach deren Veröffentlichung). | Eine schnellere Reaktion auf kritische Security-Updates verringert das Zeitfenster für die Ausnutzung einer potenziellen Sicherheitslücke ganz enorm. Die IT-Architektur sollte so umgewandelt werden, dass solche Updates schnellstmöglich umgesetzt werden können. |
| Die Problemerkennung ist mangelhaft (25 % können nicht feststellen, ob es unautorisierte DB-Zugriffe gegeben hat). | Entsprechende (externe) Schulungen und Sensibilisierung der IT-Mitarbeiter sowie die Anschaffung spezieller Soft-/Hardware sollten hier mit einer Implementierung von Alarmmechanismen Hand in Hand gehen. |
| Datenlecks bleiben unbemerkt (nur 40 % führen regelmäßige Audits der Produktions-DB durch). | Regelmäßige und raschere Audits aller relevanten Datenbanken und sensiblere Automatismen helfen, Daten- und Sicherheitslecks aufzuspüren. Dies wiederum verkleinert das Zeitfenster eines Angreifers. |
| Eine Verschlüsselung fehlt (nur 30 % verschlüsseln sensitive oder personenbezogene Informationen in all ihren Datenbanken, weitere 36 % nur in einigen DBs). | Hier muss man unbedingt mit entsprechenden Vorgaben eingreifen und in die nötigen Soft- und Hardware-Lösungen investieren – es gibt genügend weltweite Datenschutzbestimmungen zur Verschlüsselung ruhender Daten in Datenbanken, deren Missachtung auch rechtliche Folgen nach sich ziehen kann. |
| Der Überblick fehlt (nur 63 % sind sich aller DBs mit sensiblen Informationen bewusst). | Das ist schlicht Schlamperei. Dagegen helfen Schulungen und Allgemeinverpflichtung – jeder muss über alles Wichtige informiert sein. Hier braucht es meist keine aufwändigen Lösungen, sondern eine andere Einstellung. |
Oracle Data Defender
Wer mehr zu den integrierten Sicherheitsfunktionen der Oracle Database 11g R2 und den zusätzlichen Oracle Data Security-Optionen erfahren will, sollte sich mit seinem Oracle-Account auf den verlinkten Webseiten einloggen. Alternativ kann man auch via Telefon unter (0800) 1824138 oder per E-Mail an ora-dir_ie@oracle.com Informationen zum Thema einholen und erfahren, wie man seine Daten gegen eine Vielzahl von Bedrohungen schützen kann.
Wer sich über die speziell für den Mittelstand konzipierten IT-Lösungen von Oracle informieren will, stöbert entweder direkt auf der Mittelstandswebseite von Oracle Deutschland. Oder Sie nehmen auf dem Weg dorthin noch unser aktuelles Geschenk für Oracle-Interessenten mit.
Die drei wichtigsten Security-Optionen zur Absicherung einer Oracle-Datenbank sind übrigens Oracle Database Vault (verbessert die Sicherheit existierender Anwendungen), Oracle Advanced Security (hilft bei der Erfüllung von Compliance-Anforderungen) und Oracle Label Security (Datenklassifizierung und Zugangsbeschränkung auf Klassifizierungsbasis). Einen Überblick über alle möglichen Sicherheitsoptionen der Oracle Database 11g bietet die Portalseite zu den Oracle Database Security Products.
ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, D-80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de
Fazit: Checkliste für Unternehmenslenker
Entscheider in mittelständischen Unternehmen sollten sich vielleicht einfach einmal die Studie vornehmen und zusammen mit ihren IT-Bevollmächtigten einen Selbsttest machen. Würde man genauso schlecht abschneiden wie die offensichtlich in Hülle und Fülle vorhandenen Negativbeispiele? Oder könnte man die insgesamt 34 Fragenkomplexe für das eigene Unternehmen zufrieden stellend beantworten?
Teil 1 beginnt mit dem grundsätzlichen Problem von Datenbanken: Verfügbarkeit contra Sicherheit. Teil 2 geht die kritischen Punkte als Checkliste durch und rät zum Selbsttest.
Denn diese Schlaglichter zeigen zweierlei: Erschreckend ist, dass die Kontrolle über die Datenbank(en) sowie mögliche Angriffsvektoren und Risikofaktoren bei vielen Organisationen nur mangelhaft ausgeprägt ist. Ebenso deutlich ist aber auch, dass gegen praktisch alle kritischen Punkte ein Kraut gewachsen ist.
