Tackey - stock.adobe.com
Das Monitoring von Datenbanken dient auch der Cybersicherheit
Wenn es um Datenbank-Monitoring geht, lag der Fokus bislang auf Performance und Zuverlässigkeit. Es ist darüber hinaus aber wesentlicher Bestandteil einer Cybersecurity-Strategie.
Die Anzahl an Cyberattacken steigt rasant an. Immer häufiger nehmen Akteure wie Hacker und andere Cyberkriminelle dabei auch Datenbanksysteme ins Visier.
Paradoxerweise zählen diese zentralen Elemente moderner Anwendungslandschaften zu den am besten überwachten Bereichen von IT-Umgebungen: Denn wenn die Datenbank nicht stabil und performant läuft – egal ob dafür ein Hacker-Angriff oder ein Fehler der zuständigen Datenbankadministratoren (DBA) verantwortlich ist, beeinträchtigt das sämtliche damit verbundenen Anwendungen und Services. Es ist daher Pflicht für Admins, ein umfangreiches Monitoring zu betreiben. Dieses dient dazu, möglichst effizient Ausfällen vorzubeugen und frühzeitig zu erkennen, ob alles reibungslos läuft – oder im Falle einer Downtime so schnell und gezielt wie möglich reagieren zu können.
Das große Potenzial des Datenbank-Monitorings bleibt in vielen Unternehmen jedoch ungenutzt, da die gewonnenen Erkenntnisse ausschließlich oder überwiegend zur Sicherstellung von Performance und Stabilität verwendet werden. Angesichts der immer prekäreren Cybersecurity-Situation ein Fehler, der Firmen teuer zu stehen kommen kann. Die tiefgehenden Einblicke in die Ereignisse und Prozesse, die Monitoring-Tools liefern, entfalten ihr volles Potenzial erst, wenn sie auch auf die Datenbanksicherheit angewandt werden. Was Unternehmen daher brauchen, ist ein integrierter Ansatz für die Performance, Stabilität und Sicherheit ihrer Datenbanken.
Best Practices des traditionellen Datenbank-Monitorings
Klassisches Datenbank-Monitoring umfasst zunächst die Überwachung der Prozesse innerhalb von Datenbanken – idealerweise in Echtzeit. Da dies manuell heute nicht mehr umsetzbar ist, kommen entsprechende Tools zum Einsatz, die Administratoren bei Problemen proaktiv alarmieren. Fortschrittlichere Anwendungen erstellen bei Downtimes automatisiert Reports mit allen relevanten Informationen und stellen auf Dashboards übersichtliche Daten zu langfristigen Trends bereit. Die Kombination all dieser Funktionen ermöglicht eine vorausschauende Analyse zur Stabilität und Performance von Datenbanken.
Im Idealfall erfassen Monitoring-Tools die notwendigen Metriken nicht nur auf Instanzebene, sondern auch auf Query- und Betriebssystemebene sowie in Test- und Staging-Systemen, um möglichst frühzeitig Feedback geben zu können. Damit das Monitoring Abweichungen und Anomalien zuverlässig erkennt, müssen Administratoren vorab Normal- und Schwellenwerte definieren. An diesen Benchmarks orientieren sich klassische Tools – moderne Lösungen nutzen sie zudem als Entscheidungsgrundlage für KI- und Machine-Learning-Algorithmen. Für eine schnelle Korrelation von Ereignissen empfiehlt sich darüber hinaus der Einsatz eines zentralisierten Log-Managements, in dem sämtliche Informationen gebündelt werden.
Diese Best Practices ermöglichen Administratoren einen möglichst holistischen Überblick über die Datenbanklandschaft. Allerdings ist dieser traditionelle Ansatz nicht optimal dafür ausgelegt, sicherheitsrelevante Aspekte umfassend abzubilden. Dafür braucht es Tools, die die aus dem klassischen Monitoring gewonnenen Erkenntnisse auch im Sicherheitskontext bewerten – und mit Metriken verknüpfen, die spezifisch für Cybersecurity relevant sind. Erst diese Korrelation aller verfügbaren Daten ermöglicht ein umfassendes Lagebild und hilft Administratoren, auch den Sicherheitsaspekt systematisch zu adressieren. Die Auflösung klassischer Silostrukturen zugunsten eines Database-SecOps-Ansatzes, bei dem Sicherheit und Betrieb eng verzahnt sind, ist ein echter Gamechanger.
Next-Generation Monitoring braucht einen integrativen Ansatz
Am Beispiel des sogenannten Audit Logging zeigt sich, wie sinnvoll dieses Vorgehen tatsächlich ist: Datenbank-Monitoring-Tools erfassen bei dieser Methode, wer wann auf welche Daten zugreift und welche Änderungen die Person oder digitale Entität (Anwendung, Service oder ähnliches) vornimmt. Diese Informationen sind sicherheitsrelevant, weil sie mögliche Cyberattacken nachvollziehbar machen – gleichzeitig können sie auch Ursachen für Leistungseinbußen identifizieren. Ähnlich verhält es sich mit der Konfigurationsüberwachung: Änderungen an Datenbankparametern, Zugriffsrechten, Nutzerrollen oder Policies deuten häufig auf sicherheitsrelevante Vorfälle hin – können jedoch ebenso unbeabsichtigt die Performance beeinträchtigen, etwa bei fehlerhaften Konfigurationen.
„Um Datenbanken effektiv zu schützen, sollten Administratoren einige grundlegende Sicherheitsprinzipien befolgen. Dazu zählen Multifaktor-Authentifizierung, rollenbasierte Zugriffskontrolle und das Prinzip der minimalen Rechtevergabe.“
Oliver Stein, Redgate
Ein weiterer sicherheitsrelevanter Aspekt ist der Datenbankzugriff selbst. Moderne Monitoring-Lösungen analysieren Login-Verhalten auf Anomalien: häufige Fehlversuche, ungewöhnliche Uhrzeiten oder auffällige IP-Adressen deuten auf Cyberattacken hin, können aber auch einfach auf fehlerhafte Konfigurationen der DBA hinweisen. Gute Tools erkennen solche Muster daher nicht nur, sondern stellen sie auch in Korrelation: Kommt es etwa kurz nach einem Login von einer verdächtigen IP-Adresse zu ungewöhnlichen Ereignissen wie Leistungseinbrüchen oder Konfigurationsänderungen, schlägt das System Alarm. Herkömmliche Tools registrieren oft nur die Einzelereignisse – die Verbindung herzustellen kostet wertvolle Zeit, die die Verantwortlichen selten haben.
Datenbanken schützen und Sicherheitslücken erkennen
Um Datenbanken effektiv zu schützen, sollten Administratoren einige grundlegende Sicherheitsprinzipien befolgen. Dazu zählen Multifaktor-Authentifizierung, rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) und das Prinzip der minimalen Rechtevergabe (Principle of Least Privilege, PoLP). Dabei erhalten Anwendungen und Nutzer ausschließlich Zugriff auf unbedingt erforderliche Datenbankfunktionen und -bereiche.
Datenübertragungen sind grundsätzlich via SSL (Secure Sockets Layer) beziehungsweise TLS (Transport Layer Security) zu verschlüsseln, während Transparent Data Encryption (TDE) die automatische Verschlüsselung von ruhenden Datenbankdateien wie *.mdf- oder *.ldf-Files, Backups und vom Datenbankmanagementsystem (DBMS) eventuell verwendete temporäre Dateien durchführt. In Verbindung mit dem Monitoring der Datenbankaktivitäten, das Admins mit Alerts in Echtzeit über den Zustand und Vorgänge in der Datenbank informieren, sind das mächtige Hebel, um unbefugten Zugriff auf Daten zu verhindern.
Diese Maßnahmen allein verhindern zwar nicht gänzlich, dass sich Fehler oder Sicherheitslücken einschleichen. Doch durch regelmäßige Code Reviews und SQL-Injection-Tests lassen sich Schwachstellen frühzeitig erkennen und beheben, bevor Cyberkriminelle sie ausnutzen. Datenbankadministratoren sollten zudem die CVE-Listen (Common Vulnerabilities and Exposures) im Auge behalten und Patches nach Möglichkeit umgehend nach Verfügbarkeit einspielen. In Verbindung mit einem holistischen Monitoring-Ansatz, der Performance- und Security-Metriken integriert, steht einem ausfallsicheren und widerstandsfähigen Datenbankbetrieb nichts mehr im Wege.
Über den Autor:
Oliver Stein ist Geschäftsführer DACH bei Redgate.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
