Anzeige

Datensicherheit, Teil 2

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Datenbanken im Belagerungszustand

blende40

Von Gerald Strömer im Auftrag von Oracle Deutschland

Warum die Datensicherheit Chefsache sein sollte, hat bereits der erste Teil dieser Microsite dargelegt: Datendiebstähle und -lecks sind existenzielle Bedrohungen für das Unternehmen, weshalb man sie einfach nicht auf die leichte Schulter nehmen darf. Das Folgende zeigt, warum dem so ist. Das Risiko für Datenbanken ist so groß wie nie zuvor.

Bereits jetzt ist klar, dass 2011 das Jahr mit den zahlreichsten und gefährlichsten Datenbankattacken in die Geschichte der IT-Sicherheit war. Die Zahl der Berichte über SQL-Injection-Angriffe und über kompromittierte Webseiten und Datenbanken steigt ständig an, News über entwendete Datensätze in zehntausend-, hunderttausend- und teilweise millionenfacher Größenordnung werden fast schon mit einem ergebenen Schulterzucken hingenommen. Die Frage ist nun: Soll 2012 in Sachen IT-Sicherheit ein neues Rekordjahr werden – im negativen Sinne?

Erfahrungen aus der Praxis

Zuletzt im Oktober 2011 veröffentlichte die IOUG (Independent Oracle Users Group) die aktuelle Version ihrer seit 2008 jährlich unter ihren Mitgliedern durchgeführten Erhebung zur Datensicherheit. Die Ergebnisse sind teilweise schockierend: Obwohl die meisten Befragten direkt für die Sicherheit der Datenbanken in ihrer Organisation verantwortlich sind, haben ebenfalls die meisten bisher nicht die Lösungen und Verfahren ein- und umgesetzt, die verhindern würden, dass die Organisation demnächst als Negativ-Highlight in den Schlagzeilen auftauchen könnte.

IOUG-Report zum Download
Das komplette, 32 Seiten umfas­sende 2011 IOUG Data Security Survey kann man als PDF kosten­los bei Oracle herunter­laden. Der Bericht gibt einen guten Einblick in die Verfahrens­weise der Organi­sationen, denen die be­fragten Daten­bank­administratoren und IT-Security-Profis angehören.

Die wichtigsten Problemfelder und Gegenmaßnahmen im Überblick

Eine Verletzung der Daten­sicher­heit im kom­menden Jahr ist „wahr­schein­lich oder unver­meid­bar“ (glaubt mehr als ein Viertel) Es muss ein Umdenken einsetzen: Entscheider müssen den Sicherheits­bedenken ihrer IT das Gewicht einräumen, das ihnen zusteht. In vielen Fällen hängt das wirtschaft­liche Überleben des ganzen Unter­nehmens von der Daten­sicherheit ab – und genau so sollte sich auch priorisiert werden.
Ein interner Hacker oder un­autorisier­ter An­wender ver­letzt die Daten­sicherheit (glauben 54 %) Dagegen hilft: interne Schnittstellen gegen den Miss­brauch durch nicht autorisierte User schützen sowie Rechte­vergaben über­prüfen und auf ein funktio­nelles Mini­mum einschränken.
Der Missbrauch von Privile­gien durch die IT ist das höchste Sicher­heits­risiko für die Daten­sicherheit (glauben 52 %) Auch speziell autorisierte Anwender („Super-User“ oder Admins) müssen sich den für alle gültigen Rechte­vergaben und Passwort­richtlinien unter­werfen und müs­sen bei einem Weg­gang um­gehend ihrer „Hintertürchen“ beraubt werden.
Die Prävention ist mangel­haft (nur 35 % könnten Miss­brauch durch Super-User nach­weisen; nur 24 % könn­ten ihn im An­satz stop­pen. Spezielle Lösungen können bei beiden Proble­men helfen; außer­dem kann auch ein Appell an die Ge­wissen­haftigkeit der ent­sprechen­den Super-User (siehe den vorigen Punkt) nicht schaden.
Die Anwendungen sind nicht gut genug gegen SQL Injection geschützt (nur 36 % halten ihre Apps für gut geschützt). SQL Injection als eine der ak­tuell belieb­testen Angriffs­formen kann in vielen Fällen erfolg­reich ausge­schlos­sen werden, wenn dies durch die IT prio­risiert wird. Hier gilt es, Sensibi­litäten zu schärfen.
Wichtige Sicherheits­updates werden zu lang­sam instal­liert (nur 29 % instal­lieren inner­halb von drei Monaten nach deren Ver­öffent­lichung). Eine schnellere Reak­tion auf kriti­sche Security-Updates ver­ringert das Zeit­fenster für die Aus­nutzung einer poten­ziellen Sicherheits­lücke ganz enorm. Die IT-Architektur sollte so umge­wandelt werden, dass solche Up­dates schnellst­möglich umgesetzt werden können.
Die Problemerkennung ist mangel­haft (25 % kön­nen nicht fest­stellen, ob es un­autori­sierte DB-Zugriffe gegeben hat). Entsprechende (externe) Schulungen und Sensi­bilisierung der IT-Mitarbeiter so­wie die An­schaffung spe­zieller Soft-/Hardware sollten hier mit einer Imple­men­tierung von Alarm­mechanismen Hand in Hand gehen.
Datenlecks bleiben unbemerkt (nur 40 % führen regel­mäßige Audits der Pro­duktions-DB durch). Regelmäßige und raschere Audits aller rele­vanten Daten­banken und sen­siblere Auto­matis­men helfen, Daten- und Sicher­heits­lecks aufzu­spüren. Dies wie­derum ver­kleinert das Zeit­fenster eines Angreifers.
Eine Verschlüsselung fehlt (nur 30 % ver­schlüsseln sensi­tive oder per­sonen­bezogene Infor­ma­tionen in all ihren Daten­banken, wei­tere 36 % nur in eini­gen DBs). Hier muss man unbedingt mit ent­sprechen­den Vor­gaben ein­greifen und in die nö­tigen Soft- und Hardware-Lösungen in­vestieren – es gibt genü­gend welt­weite Datenschutz­bestimmungen zur Ver­schlüs­se­lung ruhender Daten in Datenbanken, deren Miss­achtung auch recht­liche Fol­gen nach sich ziehen kann.
Der Überblick fehlt (nur 63 % sind sich aller DBs mit sensiblen Informa­tionen bewusst). Das ist schlicht Schlamperei. Dagegen helfen Schulungen und Allge­mein­verpflichtung – jeder muss über alles Wichtige infor­miert sein. Hier braucht es meist keine auf­wändigen Lösun­gen, sondern eine andere Einstellung.

Oracle Data Defender

Oracle Deutschland.gif

Wer mehr zu den integrierten Sicherheitsfunktionen der Oracle Database 11g R2 und den zusätzlichen Oracle Data Security-Optionen erfahren will, sollte sich mit seinem Oracle-Account auf den verlinkten Webseiten einloggen. Alternativ kann man auch via Telefon unter (0800) 1824138 oder per E-Mail an ora-dir_ie@oracle.com Informationen zum Thema einholen und erfahren, wie man seine Daten gegen eine Vielzahl von Bedrohungen schützen kann.

Wer sich über die speziell für den Mittelstand konzipierten IT-Lösungen von Oracle informieren will, stöbert entweder direkt auf der Mittelstandswebseite von Oracle Deutschland. Oder Sie nehmen auf dem Weg dorthin noch unser aktuelles Geschenk für Oracle-Interessenten mit.

Die drei wichtigsten Security-Optionen zur Absicherung einer Oracle-Datenbank sind übrigens Oracle Database Vault (verbessert die Sicherheit existierender Anwendungen), Oracle Advanced Security (hilft bei der Erfüllung von Compliance-Anforderungen) und Oracle Label Security (Datenklassifizierung und Zugangsbeschränkung auf Klassifizierungsbasis). Einen Überblick über alle möglichen Sicherheitsoptionen der Oracle Database 11g bietet die Portalseite zu den Oracle Database Security Products.


ORACLE Deutschland B.V. & Co. KG, Riesstraße 25, D-80992 München, 0800-1824138, dir_ie@oracle.com, www.oracle.de

Fazit: Checkliste für Unternehmenslenker

Entscheider in mittelständischen Unternehmen sollten sich vielleicht einfach einmal die Studie vornehmen und zusammen mit ihren IT-Bevollmächtigten einen Selbsttest machen. Würde man genauso schlecht abschneiden wie die offensichtlich in Hülle und Fülle vorhandenen Negativbeispiele? Oder könnte man die insgesamt 34 Fragenkomplexe für das eigene Unternehmen zufrieden stellend beantworten?

Serie: Datensicherheit
Teil 1 beginnt mit dem grund­sätz­lichen Pro­blem von Daten­banken: Ver­füg­bar­keit contra Sicherheit. Teil 2 geht die kriti­schen Punkte als Check­liste durch und rät zum Selbsttest.

Denn diese Schlaglichter zeigen zweierlei: Erschreckend ist, dass die Kontrolle über die Datenbank(en) sowie mögliche Angriffsvektoren und Risikofaktoren bei vielen Organisationen nur mangelhaft ausgeprägt ist. Ebenso deutlich ist aber auch, dass gegen praktisch alle kritischen Punkte ein Kraut gewachsen ist.

Nützliche Links