Gorodenkoff - stock.adobe.com

Best Practices zum Schutz von Datenbanken in Unternehmen

Heutzutage werden wichtige Daten oft nicht mehr lokal auf dem PC, sondern in Datenbanken abgelegt. In vier Schritten zeigen wir, wie Sie diese Daten schützen.

Niemand wird bestreiten, dass der Schutz sensibler Daten für jedes Unternehmen eine große Bedeutung hat. Erfreulicherweise verfügen die meisten Firmen heutzutage über ein solides Cyber-Security-Programm, das aus verschiedenen Maßnahmen besteht, um einen mehrstufigen Schutz zu bieten.

Diese Programme haben dazu geführt, dass wichtige Enterprise-Server gehärtet, dass die Endpoints in den Firmen gesichert und dass Monitoring-Tools eingerichtet wurden. Vielen Betrieben ist es zudem gelungen, besonders schützenswerte Geschäftsdaten von den Endgeräten zu verbannen und sie stattdessen zentral in speziellen Enterprise-Systemen und -Datenbanken unterzubringen.

Aber wie gut sind die Maßnahmen zum Schutz dieser besonders wichtigen Systeme wirklich?

Es ist zweifelsfrei sicherer, Informationen in einer besonders geschützten, zentralen Datenbank zu speichern, als sie auf tragbaren Computern oder Freigaben im Netz liegen zu lassen. Wenn sich Unternehmen aber nicht intensiv mit dem Thema Datenbanksicherheit beschäftigen, sorgen sie ungewollt für einen wahren Schatz an vertraulichen Daten, der nur darauf wartet, von einem Angreifer entdeckt und gestohlen zu werden.

Viele Enterprise-Datenbanken enthalten aufgrund von mangelhaften Konfigurationen oder Fehlern bei der Implementation zahlreiche Schwachstellen. Die Datenbank-bezogenen Gefahren müssen zügig angegangen werden, seien es schwache oder ungenügend geschützte Passwörter, mögliche Angriffe per SQL Injection oder XSS-Lücken (Cross Site Scripting).

Abgesehen vom Schließen dieser offensichtlichen Sicherheitslöcher gibt es mehrere bewährte Best Practices, die jedes Unternehmen befolgen und regelmäßig überprüfen sollte. Nur so lässt sich der Schutz ihrer Kronjuwelen, also der geschäftskritischen Daten in ihren Datenbanken, garantieren. Da diese für Hacker ein besonders verlockendes Ziel sind, ist ihr Schutz von größter Bedeutung.

Im Folgenden finden Sie vier Maßnahmen, die Sie durchführen sollten, um die Sicherheit Ihrer Datenbanken und der darin gespeicherten Informationen zu erhöhen.

1. Setzen Sie das Prinzip der geringsten benötigten Rechte durch

Das Konzept zum Begrenzen der Zugriffsrechte von Anwendern auf die kleinste mögliche Schnittmenge, mit der sie noch ihre Aufgaben im Unternehmen erfüllen können, wird meist bereits im ersten Kapitel jedes IT-Sicherheitsbuches behandelt. Wie gut dieses theoretische Ziel mit der Realität der Datenbanken in Firmen übereinstimmt, ist allerdings eine berechtigte Frage. Um eine Antwort darauf zu erhalten, sollten Sie sich zunächst eine Reihe von weiteren Fragen stellen. Ein paar Beispiele:

  • Haben die Entwickler vollen Zugriff auf die produktiv genutzten Datenbanken?
  • Haben die Systemtechniker einen Zugang zu den Datenbanken auf den Computern, für die sie verantwortlich sind?
  • Haben die Datenbank-Admins einen vollen Zugriff auf alle Datenbanken oder nur auf diejenigen, die in ihren Zuständigkeitsbereich fallen?

Das Begrenzen von Zugriffsrechten ist eine wesentliche Sicherheitsmaßnahme, wenn es um den Schutz vor Insider-Gefahren geht.

2. Führen Sie regelmäßig Kontrollen aller Zugriffsrechte durch

Es dürfte kein Geheimnis mehr sein, dass eine schleichende Zunahme von Zugriffsrechten ein Problem ist, mit dem nahezu alle Unternehmen zu kämpfen haben. Im Englischen wird dieses Phänomen auch Privilege Creep genannt.

In allen Organisationen erhalten sowohl technische als auch nicht-technische Mitarbeiter neue Aufgaben, kümmern sich um andere Projekte oder wechseln gelegentlich die Abteilung.

Derweil sammeln sich jedes Mal, wenn sie wechseln, neue oder anders gestaltete Berechtigungen an. Neue Zugriffsrechte werden in der Regel zügig angefordert und auch gewährt, da sich fehlende Zugriffsmöglichkeiten negativ auf die Arbeit der betroffenen Personen auswirken.

Alte und nicht mehr benötigte Rechte bestehen aber oft noch über Monate oder gar Jahre hinaus, da sie sich nicht negativ auf die täglichen Aufgaben des Mitarbeiters auswirken. Sie haben allerdings einen negativen Effekt, wenn es um die Auswirkungen eines erfolgreichen Angriffs geht, sei es durch einen zum böswilligen Insider gewandelten Mitarbeiter oder weil der Account des Anwenders von Hackern übernommen wurde.

Unternehmen sollten deswegen geplante und regelmäßig angesetzte Überprüfungen aller Zugriffsrechte zu ihren Datenbanken durchführen. Nur so kann sichergestellt werden, dass das Prinzip der geringsten benötigten Rechte weiter angewendet wird. Ein besonderes Augenmerk sollte dabei auf Nutzer gelegt werden, die einen direkten Zugriff auf eine oder mehrere Datenbanken haben, weil sich damit Sicherheitskontrollen auf dem Anwendungslevel umgehen lassen.

3. Überwachen Sie alle Aktivitäten in den Datenbanken

Ein umfassendes Auditing von Datenbanken wirkte sich früher oft negativ auf die Performance der Anwendungen aus. Das hat dazu geführt, dass viele Firmen auf Logging verzichtet haben, um die Leistung ihrer Systeme nicht zu beeinträchtigen. Zum Glück liegen diese Zeiten mittlerweile hinter uns. Alle namhaften Datenbankanbieter bieten heutzutage skalierbare Möglichkeiten zum Monitoring und Logging an.

Unternehmen sollten trotzdem sicherstellen, dass sie das Datenbank-Monitoring auf ihren Systemen auch tatsächlich aktiviert haben und dass die Logs zu einem sicheren Repository übertragen werden und dort vor Verlust geschützt sind. Sorgen Sie darüber hinaus dafür, dass auch ein verhaltensbasiertes Monitoring eingesetzt wird, mit dem sich ungewöhnliches Nutzerverhalten frühzeitig erkennen lässt. Das gilt besonders für alle Accounts mit administrativen Rechten.

4. Verschlüsseln Sie sensible Daten

Das Thema Verschlüsselung ist keine Option, sondern sozusagen Pflicht, wenn es um die Sicherheit von Datenbanken geht. Da greifen in vielen Fällen auch regulatorische Vorschriften wie die EU-DSGVO (Datenschutz-Grundverordnung), ohne dass dort explizit technische Maßnahmen genannt werden. Unternehmen sollten eine starke Verschlüsselung auf drei Arten nutzen, um damit ihre Datenbanken zu schützen:

  1. Alle Verbindungen von und zu den Datenbanken sollten mit TLS (Transport Layer Security) verschlüsselt werden, um auch Daten zu schützen, die sich im Transit befinden.
  2. Verschlüsseln Sie alle Speichermedien, auf denen sich Ihre Daten befinden, um sie gegen Verschwinden, Diebstahl oder auch nur eine unsachgemäße Entsorgung zu sichern.
  3. Verwenden Sie zudem eine Verschlüsselung auf Ebene der einzelnen Spalten, um Ihre besonders vertraulichen Daten vor Ausspähung zu schützen.

Nicht erst morgen, sondern genau jetzt ist der richtige Zeitpunkt für Unternehmen, um die Sicherheit ihrer Datenbanken zu erhöhen. Firmen, die sich an die beschriebenen Best Practices halten – Durchsetzen des Prinzips der geringsten benötigten Rechte, ein regelmäßiges Durchführen von Kontrollen über alle gewährten Zugriffsrechte, ein Monitoring aller Datenbankaktivitäten und ein Verschlüsseln sensibler Daten – sind in einer weit besseren Position, wenn es um einen Schutz vor modernen, fortgeschrittenen Angriffen geht, als alle anderen Unternehmen, die sich kaum um die Sicherheit ihrer Datenbanken kümmern und die sich nicht an die vorgestellten Maßnahmen zu ihrem Schutz halten.

Nächste Schritte

So kann man sich vor SQL Injection schützen

Das sollten Unternehmen über Cross Site Scripting wissen

Tipps für sichere Datenbank-Backups

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close