IT-Sicherheit: Database-Security:
Praxis: Datenbanken vor Angriffen sichern

von Bernd Reder (bernd.reder@networkcomputing.de)

Share
23.06.2009

Datenbanksicherheit ist ein Thema, das viele IT-Verantwortliche in Firmen und Organisationen nicht »auf dem Radar« haben. Dabei kann es für ein Unternehmen lebensbedrohlich werden, wenn Kundendaten oder Geschäftsgeheimnisse von Angreifern »abgesaugt« werden. Der Münchner IT-Dienstleister matrix technology AG hat auf Basis der Tools von Warevalley ein Konzept für die Schwachstellenanalyse und den Schutz von Datenbanken entwickelt.

Beispiele für den Diebstahl von vertraulichen Informationen aus schlecht gesicherten Datenbanken gibt es zuhauf. So verschafften sich Anfang Mai dieses Jahres Hacker Zugang zu Databases der renommierten University of California in Berkeley. Sie entwendeten die persönlichen Daten von 160.000 Studenten und Absolventen der Universität.

Michael Aschauer, Servicemanager bei matrix technology in München: »Datenverluste können für Unternehmen massive finanzielle und juristische Folgen haben.«

Michael Aschauer, Servicemanager bei matrix technology in München: »Datenverluste können für Unternehmen und Behörden massive finanzielle und juristische Folgen nach sich ziehen.«

Doch auch in Deutschland häufen sich Vorfälle dieser Art: So musste im vergangenen Jahr ein Vorstand des Mobilfunkunternehmens T-Mobile zurücktreten, nachdem sich herausstellte, dass die Datensätze von 17 Millionen Kunden des Unternehmens gestohlen worden waren.

Und im April 2009 demonstrierte die deutsche Sicherheitsfirma Resisto, wie sich mithilfe einer so genannten Brute-Force-Attacke die E-Mail-Adressen von 14 Millionen T-Online-Kunden aus der Datenbank der Telekom entwenden lassen.

Diese Beispiele belegen, dass Firmen dem Thema Datenbanksicherheit zu wenig Beachtung schenken. »Das ist völlig unverständlich, weil Datenverluste für Unternehmen, Behörden und Organisationen ein massives finanzielles Risiko mit sich bringen können«, sagt Michael Aschauer, Servicemanager beim Münchner IT-Dienstleister matrix technology AG [1]. Matrix bietet unter der Bezeichnung » mDS « (matrix Database Security) ein Konzept für Datenbank-Sicherheitsmanagement an.

Mehr als 200 Dollar Schaden pro Datensatz

Die amerikanische Beratungsfirma Ponemon Institute [2] hat errechnet, dass Datenverluste (»Data Breaches«) jedes Unternehmen im Durchschnitt rund 6,6 Millionen Dollar kosten. Pro Datensatz, der durch Hackerangriffe oder Nachlässigkeit verlorengeht, müssen 202 Dollar Mehrkosten eingeplant werden.

Sie entstehen durch das Neuerfassen verloren gegangener Daten, die Information der betroffenen Kunden, das Ausstellen neuer Log-in-Daten und Passwörter und nicht zuletzt durch den Verlust von Umsatz, etwa weil verärgerte Kunden zu einem Konkurrenten wechseln. Die Resultate von Ponemon beruhen auf der Untersuchung von Vorfällen in 43 Firmen aus 17 Branchen, die sich 2008 zugetragen haben.

Doch ein unzureichender Schutz von Datenbanken kann auch juristische Folgen für IT-Leiter und Geschäftsführer nach sich ziehen. Regelungen wie das Sarbanes-Oxley-Act (SOX), Euro-SOX (Richtlinien der Europäischen Kommission), Basel II (Eigenkapitalvorschriften) oder das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) sehen Sanktionen vor, wenn ein Unternehmen den Schutz von sensiblen Informationen vernachlässigt.

In Extremfällen können Manager dafür persönlich zur Verantwortung gezogen werden und sogar mit Haftstrafen belegt werden.

Typische Sicherheitsschwachstellen bei Datenbanken

»Bei unseren Analysen stoßen wir immer auf dieselben Schwachstellen, was das Absichern von Datenbanken betrifft«, sagt Michael Aschauer. Zu den klassischen Problemen zählen:

  • eine zu großzügige Vergabe von Rechten
  • der Missbrauch von vorhandenen Berechtigungen
  • zu schwache Passwörter
  • Sicherheitslücken in der Datenbanksoftware
  • eine unsichere Konfiguration der Datenbank
  • Angriffe mittels SQL-Injection
  • zu schwache Audit-Funktionen
  • schlecht gesicherte beziehungsweise unverschlüsselte Backups.

Solche Mängel treten in Unternehmen und Organisationen aller Größenordnungen auf. Allerdings sind kleinere und mittelständische Firmen stärker betroffen. Das liegt nicht an der mangelnden Kompetenz der IT-Mitarbeiter, sondern meist daran, dass die IT-Abteilungen in kleineren Firmen in stärkerem Maße be- und überlastet sind als die Kollegen in Großunternehmen.

Suche nach einer Sicherheitslösung

Um die genannten Schwachstellen zu beseitigen, bietet sich eine Reihe von Maßnahmen an:

  • Die Zugriffsrechte auf ein notwendiges Minimum beschränken und regelmäßig überprüfen
  • Anwendungen absichern, etwa mithilfe von Web-Application-Firewalls
  • die Daten in der Datenbank und Backups verschlüsseln
  • das regelmäßige Überprüfen der Datenbank-Konfiguration und der Passwörter
  • das Einspielen von Sicherheits-Patches – ein Faktor, der häufig unterschätzt wird
  • das Durchführen von umfassenden Audits
  • umgehende Alarmierung der IT-Manager bei verdächtigen Aktionen

»Allerdings ist es leichter gesagt als getan, dieses Bündel von Maßnahmen in der Praxis umzusetzen«, sagt matrix-Fachmann Aschauer. »Oft fehlt den Fachleuten das entsprechende Know-how und vor allem die Zeit.«

Ein umfassendes Datenbank-Sicherheitskonzept muss auch Risiken durch Administratoren und Power-User vorbeugen und deren Zugriffe überwachen.

Ein Ausweg besteht darin, das Sicherheitsmanagement von Datenbanken auszulagern. »Wir bieten für diesen Zweck mit mDS ein dreistufiges Konzept nach dem Baukastenprinzip an«, sagt Aschauer. »Der Anwender wählt diejenigen Bausteine, die er benötigt. Auf diese Weise kann er das im eigenen Haus vorhandene Know-how nutzen und Wissens- und Kapazitätslücken mit unserer Hilfe schließen.«

Schwachstellenanalyse mit »Cyclone«

Die matrix technology AG greift bei der Sicherheitsanalyse und Überwachung von Datenbanken auf die Produkte »Cyclone«, »Chakra« und »Orange« der koreanischen Firma Warevalley [3] zurück. Mit Cyclone führt matrix im Rahmen von »mDS Prävention« ein Vulnerability-Assessment (VA) der Datenbanken durch.

Die Lösung führt anhand von rund 270 Kriterien einen Penetration-Test durch, prüft die »Härte« von Passwörtern und ermittelt, ob die relevanten Sicherheits-Patches eingespielt wurden. Im Rahmen des Prüflaufs werden außerdem Passwort-Attacken simuliert. Zudem erzeugt Chakra Scripts, die Schwachstellen beheben.

Der Anwender erhält auf Basis der Ergebnisse einen umfassenden IT-Compliance-Report, der zur Dokumentation von Penetration Tests gemäß ISO27001 und den Richtlinien des BSI verwendet werden kann. Mit Cyclone lassen sich die Datenbanken der führenden Anbieter untersuchen: IBM DB2, Oracle und Microsoft SQL-Server.

Überwachung mit »Chakra«

Die Datenkontrolle und das Auditing gemäß Basel II, SOX oder des KonTraG erfolgt mithilfe der Software »Chakra« von Warevalley. Sie ermöglicht es dem Anwender, etwa dem Security Officer, , nach eigenen Vorgaben Überwachungs-Policies zu erstellen. Solche Policies können beispielsweise auf Faktoren basieren wie Zugriffszeiträumen (außerhalb normaler Betriebszeiten), Verbindungsdaten (externen IP-Adressen, Database-Usern) oder SQL-Befehlen (Einsatz bestimmter Kommandos, Zugriff auf spezielle Tabellen). Auch die Kombination mehrerer Kriterien ist möglich.

»Chakra« von Warevalley analysiert den gesamten Datenverkehr von und zur Database.

Chakra analysiert und protokolliert alle Datenbank-Aktivitäten, das heißt den gesamten Netzwerkverkehr von und zur Database. Die Lösung wird im »Sniffing Mode« implementiert. Das heißt, eine Spiegelung des Netzwerkverkehrs des Datenbankservers wird zum Chakra-System weitergeleitet und dort untersucht. Chakra läuft dabei auf einem eigenen Server. So ist sichergestellt, dass es zu keinen Performance-Einbußen auf der Datenbank kommt.

Bei Verstößen gegen Policies kann eine automatische Alarmierung über E-Mail, Konsolenmeldungen oder Event-Weiterleitung an ein Monitoring-System erfolgen. Zudem kann Chakra auch nicht autorisierte Zugriffe auf Daten und Konfigurationseinstellungen unterbinden.

Die matrix technology AG bietet im Rahmen von »mDS Überwachung« Chakra auch als gemanagten Service an. »Der Anwender bezahlt eine monatliche Pauschale, die sich an der Zahl der überwachten Datenbanken und deren Größe orientiert«, sagt Michael Aschauer. »Dieses Modell hat den Vorteil, dass der Anwender die Kosten für den Service klar kalkulieren kann und keine anfänglichen Investitionen anfallen.«

Chakra kann für alle gängigen Datenbanken eingesetzt werden, wie etwa Oracle, IBM DB2, MS SQL-Server, Sybase, mySQL u.a. Neben der Alamierung bei verdächtigen Aktivitäten eignet sich

Leistungsüberwachung und Tuning mit »Orange«

Dritter Bestandteil des »mDS«-Baukastens von matrix technology sind Support-Leistungen. Sie umfassen unter anderem Hilfe bei der Applikationsentwicklung sowie bei der Überwachung der Verfügbarkeit und Performance von Datenbanken. Auch hier kommt Warevalley ins Spiel, denn die Grundlage bildet das Entwicklungs- und Performance-Management-Tool »Orange« der koreanischen Firma.

Dem Administrator liefert »Chakra« detaillierte Daten über Datenbankzugriffe sowie Änderungen an den Konfigurationseinstellungen und der Rechtevergabe.

Orange ist derzeit nur für Oracle-Datenbanken verfügbar. Die Database-Administration-Version der Lösung enthält unter anderem einen SQL-, Session- und Transkations-Monitor. Hinzu kommen Import- und Exportwerkzeuge sowie ein Tool für die Überwachung von Datenbank-Instanzen.

»Anwender haben mit mDS somit die Möglichkeit, sich eine maßgeschneiderte Datenbank-Sicherheitslösung zusammenzustellen und die einzelnen Bestandteile je nach Bedarf als Lösung, Beratungsleistung oder komplettes Managed-Service-Paket von matrix beziehen«, fasst Michael Aschauer zusammen. »Damit wird Datenbank-Sicherheit für jedermann erschwinglich.«

[1] http://www.matrix.ag/
[2] http://www.ponemon.org/
[3] http://www.warevalley.com/

Verwandte Artikel