Datensicherheit, Teil 1: Was Datenbanken sicher macht

Sorgfältige Updates, eine kluge Zugriffskontrolle und eine IT-Strategie, die alle gebotenen Instrumente nutzt, um Datendiebstahl zu verhindern und das Unternehmen vor der Katastrophe zu bewahren. Gerald Strömer kommt daher in dieser Microsite zu dem Schluss: Datensicherheit ist Chefsache.

Dieser Beitrag ist mehr als 12 Jahre alt.
Bild: Jaroslav Machacek

Datensicherheit ist Chefsache

Von Gerald Strömer im Auftrag von Oracle Deutschland

Datendiebstahl ist weltweit auf dem Vormarsch, und zwar offenbar unabhängig von der Größe des Zieles. Selbst global agierende, große Unternehmen geraten regelmäßig mit Meldungen zu Sicherheitslücken und Datendiebstählen in die Schlagzeilen. Und wenn selbst die Enterprise-Klasse mit ihren großen, kompetenten IT-Abteilungen schon nicht hundertprozentig sicher ist, dann ist das Risiko für Mittelständler und kleine Unternehmen auf keinen Fall geringer.

Professionelle Datendiebe haben ein klar definiertes Ziel: die wichtigen Information eines Unternehmens. Der beabsichtigte Zweck der Attacke ist dabei von eher nachrangiger Bedeutung – ob die Angreifer Kunden– und Bankdaten kopieren wollen, um sie meistbietend zu verkaufen oder selbst zu nutzen, ob sie direkte Industriespionage betreiben und Geschäftsgeheimnisse erkunden wollen oder „nur“ auf das Image des Unternehmens aus sind und Interna ins Rampenlicht der Öffentlichkeit zerren wollen.

Kontrolle contra Verfügbarkeit

Für den Angegriffenen ist allein wichtig, dass er dem Angreifer möglichst viele und effektive Stolpersteine in den Weg legen kann, um ihn dann vor einem echten Datentresor verhungern zu lassen. Dies funktioniert aber nur dann, wenn z,B. die Datenbank als zentraler Speicherort gut vor nicht autorisierten Zugriffen geschützt ist und die Zugriffsmöglichkeiten optimal abgesichert sind.

Serie: Datensicherheit
Teil 1 beginnt mit dem grund­sätz­lichen Pro­blem von Daten­banken: Ver­füg­bar­keit contra Sicherheit. Teil 2 geht die kriti­schen Punkte als Check­liste durch und rät zum Selbsttest.

Das Problem dabei ist ein grundlegendes, denn der Einsatzzweck von Datenbanken besteht nun einmal im (schnellen) Zugriff. Jede Abwehrstrategie ist daher den Geschäftsanforderungen diametral entgegengesetzt. Aber das ist nun einmal unvermeidbar. Hier muss auf individueller Basis ein tragfähiger Kompromiss gefunden werden, der ein Optimum an Sicherheit mit einem Minimum an Beeinträchtigungen der Geschäftsprozesse verbindet.

Aktiv und aktuell absichern

Dies ist aber in Wirklichkeit oft einfacher, als man auf den ersten Blick denkt. Denn entgegen landläufiger Annahmen kann man fast jede Datenbank besser absichern, ohne dabei ihre Funktionalität auch nur um ein Iota einzuschränken. Ein bewährtes Beispiel sind die Zugänge: Müssen alle Programmierer, alle IT-Mitarbeiter und alle Administratoren im Unternehmen vollen Zugriff auf die komplette(n) Datenbank(en) haben? Oder kann man die Zugriffsberechtigungen auf bestimmte Bereiche, bestimmte Datenklassen und bestimmte Zeiträume einschränken?

Es gibt in fast jeder IT-Landschaft ein derartiges Optimierungspotenzial, das im Prinzip keine Zusatzkosten bedingt. IT- und IT-Security-Verantwortliche müssen sich „lediglich“ proaktiv und kontinuierlich über die potenziellen Einfallstore ihres Datenbanksystems Gedanken machen und überlegen, wie sie die Anzahl der Risikopunkte minimieren können, ohne dabei die Zugriffsmöglichkeiten für wichtige Business-Anwendungen oder Geschäftsprozesse zu kappen, die auf die Datenbank angewiesen sind.

Stellschrauben im Verteidungsring

Security-Updates sollten ein elementarer Baustein in der Sicherheitspolitik jedes Unternehmens sein. Eine der gefährlichsten Angriffsformen, die aktuell von Cyberkriminellen genutzt wird, ist z.B. die SQL-Injektion. Update-technisch auf dem neuesten Stand gehaltene Datenbanken und Clients verringern die Wahrscheinlichkeit aber enorm, dass ein potenzieller Angreifer Sicherheitslücken mit dieser Art von Attacke ausnutzen kann. Wer dagegen die Update-Prozesse seiner IT-Infrastruktur vernachlässigt, spielt auf unverantwortliche Weise mit der Sicherheit seiner Daten.

Anbieter professioneller Datenbanklösungen stellen in der Regel auch zusätzliche Sicherheitsoptionen zur Verfügung, die bei der Absicherung von Daten und Informationen helfen. Welche das sind, ist von Anbieter zu Anbieter verschieden. In vielen Fällen ermöglichen sie aber die Beschränkung von Zugriffsmöglichkeiten, helfen bei der Compliance zu Sarbanes-Oxley, PCI, DSS & Co. oder erhöhen anderweitig die Stärke, Festigkeit und Höhe der Mauern rund um Ihre Datenburg.

Oracle Data Defender

Oracle Deutschland.gif

Wer mehr zu den integrierten Sicherheits­funktionen der Oracle Database 11g R2 und den zusätzlichen Oracle Data Security-Optionen erfahren will, sollte sich mit seinem Oracle-Account auf den verlinkten Webseiten einloggen. Alternativ kann man auch via Telefon (0800-1824138) oder E-Mail (ora-dir_ie@oracle.com) Informationen zum Thema einholen.

Wer sich über die speziell für den Mittelstand konzipierten IT-Lösungen von Oracle informieren will, stöbert entweder direkt auf der Mittelstandswebseite von Oracle Deutschland. Oder Sie nehmen auf dem Weg dorthin noch unser aktuelles Geschenk für Oracle-Interessenten mit.

Die drei wichtigsten Security-Optionen zur Absicherung einer Oracle-Datenbank sind übrigens Oracle Database Vault (verbessert die Sicherheit existierender Anwendungen), Oracle Advanced Security (hilft bei der Erfüllung von Compliance-Anforderungen) und Oracle Label Security (Datenklassifizierung und Zugangsbeschränkung auf Klassifizierungsbasis). Einen Überblick über alle möglichen Sicherheitsoptionen der Oracle Database 11g bietet diese Webseite.

Wer sich grundlegend über den aktuellen Status quo der Sicherheit von Datenbanken und den Bedrohungen, denen sie ausgesetzt sind, informieren möchte, sollte sich einmal die 2011 IOUG Data Securitiy Survey vom Oktober 2011 ansehen; bei Oracle gibt es die Studie Databases Are More at Risk Than Ever als PDF zum Download.

ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, D-80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de

Zudem sollte man eines nicht vergessen: Ein Datendiebstahl ist schon schlimm genug – er muss aber noch nicht alles sein. Denn wenn der Einbruch auch noch die Integrität der gespeicherten Daten korrumpiert, dann kommt zum Schaden des Diebstahls selbst noch die Möglichkeit hinzu, dass wichtige Geschäftsanwendungen oder -prozesse nicht mehr funktionieren – und dann kann man dem betroffenen Unternehmen nur wünschen, dass es ein funktionierendes Datenbank-Backup hat. Aber das ist wieder ein anderes Thema.

Fazit: Ganz oben auf die Liste

Die Sicherheit von Kunden- und Geschäftsdaten hat oberste Priorität zu haben. Das gilt in ganz besonderem Maße, wenn das Unternehmen seine Umsätze – z.B. über einen Webshop – primär IT-gestützt macht und Zehntausende, Hunderttausende oder Millionen von Kundendatensätzen speichert, oder wenn es wichtige Forschung und Entwicklung in seinem Sektor betreibt und seine Datenbanken daher ultrasensible Daten beherbergen. Denn ein solches Unternehmen ist nicht nur ein wesentlich interessanteres Ziel als die Schreinerei um die Ecke, sondern mit seinen laufenden Prozessen auch wesentlich stärker in seiner geschäftlichen Existenz bedroht. Die Absicherung von Daten muss daher in jedem Fall Chefsache sein – gerade in mittelständischen Unternehmen.

Nützliche Links