Datenbanksicherheit

menu icon

Datenbanksicherheit

Erfahren Sie mehr über die Komplexität der Datenbanksicherheit und einige der Praktiken, Richtlinien und Technologien, mit denen Sie die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten schützen können.

Was versteht man unter Datenbanksicherheit?

Der Begriff Datenbanksicherheit bezieht sich auf eine Reihe von Tools, Steuerelementen und Maßnahmen, die dazu dienen, die Vertraulichkeit, Integrität und Verfügbarkeit von Datenbanken herzustellen und zu erhalten. Dieser Artikel konzentriert sich in erster Linie auf die Vertraulichkeit, da sie bei den meisten Datenschutzverstößen gefährdet ist.

Die Datenbanksicherheit muss die folgenden Punkte berücksichtigen und schützen:

  • Die Daten in der Datenbank
  • Das Datenbankmanagementsystem (DBMS)
  • Alle zugehörigen Anwendungen
  • Den physischen Datenbankserver und/oder den virtuellen Datenbankserver und die zugrunde liegende Hardware
  • Die für den Zugriff auf die Datenbank verwendete Datenverarbeitungs- und/oder Netzinfrastruktur

Datenbanksicherheit ist ein komplexes und anspruchsvolles Unterfangen, das alle Aspekte von Informationssicherheitstechnologien und -praktiken umfasst. Außerdem steht dies natürlich im Widerspruch zur Benutzerfreundlichkeit der Datenbank. Je zugänglicher und benutzerfreundlicher eine Datenbank ist, desto anfälliger ist sie für Sicherheitsbedrohungen; je anfälliger die Datenbank für Bedrohungen ist, desto schwieriger ist ihr Zugang und ihre Benutzung. (Dieses Paradoxon wird manchmal auch als Anderson's Rule (Andersons Regel) bezeichnet. (Link befindet sich außerhalb von IBM)

Warum das wichtig ist

Definitionsgemäß handelt es sich bei einem Datenschutzverstoß um einen Vorfall, bei dem die Vertraulichkeit der Daten in einer Datenbank nicht gewahrt wurde. Wie groß der Schaden ist, den ein Datenschutzverstoß Ihrem Unternehmen zufügt, hängt von einer Reihe von Folgen oder Faktoren ab:

  • Gefährdung des geistigen Eigentums: Ihr geistiges Eigentum – Geschäftsgeheimnisse, Erfindungen, geschützte Verfahren – kann entscheidend dafür sein, dass Sie einen Wettbewerbsvorteil auf Ihrem Markt behalten. Wenn dieses geistige Eigentum gestohlen oder preisgegeben wird, kann es schwierig oder unmöglich sein, Ihren Wettbewerbsvorteil zu erhalten oder wiederherzustellen.
  • Schädigung des Markenrufs: Kunden oder Partner sind möglicherweise nicht bereit, Ihre Produkte oder Dienstleistungen zu kaufen (oder mit Ihrem Unternehmen Geschäfte zu machen), wenn sie nicht das Gefühl haben, dass Sie Ihre eigenen Daten oder deren Daten ausreichend schützen.
  • Business-Continuity (oder deren Fehlen): Einige Unternehmen können ihren Betrieb nicht fortsetzen, bis eine Sicherheitsverletzung behoben ist.
  • Geldbußen oder Strafen bei Nichteinhaltung: Die finanziellen Auswirkungen der Nichteinhaltung globaler Vorschriften wie des Sarbannes-Oxley Act (SAO) oder des Payment Card Industry Data Security Standard (PCI DSS), branchenspezifischer Datenschutzvorschriften wie des HIPAA oder regionaler Datenschutzvorschriften wie der europäischen Datenschutz-Grundverordnung (DSGVO) können verheerend sein, wobei die Bußgelder im schlimmsten Fall mehrere Millionen Dollar pro Verstoß betragen.
  • Kosten für die Behebung von Sicherheitsverletzungen und die Benachrichtigung von Kunden: Zusätzlich zu den Kosten für die Benachrichtigung der Kunden über eine Sicherheitsverletzung muss ein betroffenes Unternehmen für forensische und investigative Aktivitäten, Krisenmanagement, Triage, Reparatur der betroffenen Systeme und mehr aufkommen.

Allgemeine Bedrohungen und Herausforderungen

Viele Software-Fehlkonfigurationen, Schwachstellen, nachlässige Handlungen oder Missbrauch können zu Sicherheitsverletzungen führen. Im Folgenden werden die häufigsten Arten oder Auslöser von Angriffen auf die Datenbanksicherheit und ihre Ursachen aufgeführt.

Gefahren durch Insider

Eine Gefahr durch Insider ist eine Sicherheitsbedrohung, die von einer der folgenden drei Quellen mit berechtigtem Zugang zur Datenbank ausgeht:

  • Ein böswilliger Insider, der Schaden anrichten möchte
  • Ein fahrlässiger Insider, der Fehler macht, die die Datenbank anfällig für Angriffe machen
  • Ein Infiltrator – ein Außenstehender, der über eine Methode wie Phishing oder durch Zugriff auf die Anmeldedatenbank selbst in den Besitz von Anmeldeinformationen gelangt.

Gefahren durch Insider gehören zu den häufigsten Ursachen für Verletzungen der Datenbanksicherheit und sind oft die Folge davon, dass zu viele Mitarbeiter über privilegierte Benutzerzugangsdaten verfügen.

Menschliches Versagen

Missgeschicke, schwache Passwörter, gemeinsame Nutzung von Passwörtern und anderes unkluges oder uninformiertes Nutzerverhalten sind nach wie vor die Ursache für fast die Hälfte (49 %) aller gemeldeten Datenschutzverstöße. (Link befindet sich außerhalb von IBM)

Ausnutzung von Schwachstellen der Datenbanksoftware

Hacker verdienen ihren Lebensunterhalt damit, dass sie Schwachstellen in allen Arten von Software, einschließlich Datenbankmanagementsoftware, finden und gezielt ausnutzen. Alle großen kommerziellen Anbieter von Datenbanksoftware und Open-Source-Datenbankverwaltungsplattformen geben regelmäßig Sicherheitspatches heraus, um diese Schwachstellen zu beheben. Wenn Sie diese Patches jedoch nicht rechtzeitig anwenden, erhöhen Sie Ihr Risiko durch mögliche Sicherheitslücken.

SQL/NoSQL-Injection-Angriffe

Dabei handelt es sich um eine datenbankspezifische Bedrohung, bei der beliebige SQL- oder Nicht-SQL-Angriffszeichenfolgen in Datenbankabfragen von Webanwendungen oder HTTP-Header eingefügt werden. Organisationen, die keine sicheren Verfahren zur Codierung von Webanwendungen nutzen und keine regelmäßigen Anfälligkeitstests durchführen, sind für diese Angriffe anfällig.

Ausnutzung eines Pufferüberlaufs

Ein Pufferüberlauf tritt auf, wenn ein Prozess versucht, mehr Daten in einen Datenblock mit festgelegter Länge zu schreiben, als dieser aufnehmen kann. Angreifer können die überschüssigen Daten, die in benachbarten Speicheradressen gespeichert sind, als Grundlage für Angriffe nutzen.

Denial-of-Service-Angriffe (DoS/DDoS)

Bei einem Denial-of-Service-Angriff (DoS-Angriff) überflutet der Angreifer den Zielserver – in diesem Fall den Datenbankserver – mit so vielen Anfragen, dass der Server legitime Anfragen von tatsächlichen Benutzern nicht mehr erfüllen kann, und in vielen Fällen wird der Server instabil oder stürzt ab.

Bei einem verteilten Denial-of-Service-Angriff (DDoS) geht die Flut von mehreren Servern aus – was es schwieriger macht, den Angriff zu stoppen. In unserem Video „Was ist ein DDoS-Angriff“ (3:51) finden Sie weitere Informationen:

Malware

Malware ist Software, die speziell dafür geschrieben wurde, Schwachstellen auszunutzen oder die Datenbank auf andere Weise zu schädigen. Malware kann über eine beliebige Endpunkteinheit eindringen, die mit dem Netzwerk der Datenbank verbunden ist.

Angriffe auf Sicherungen

Unternehmen, die ihre Sicherungsdaten nicht mit denselben strengen Kontrollen schützen wie die Datenbank selbst, sind anfällig für Angriffe auf Sicherungen.

Diese Bedrohungen werden durch folgende Faktoren noch verstärkt:

  • Wachsende Datenmengen: Die Datenerfassung, -speicherung und -verarbeitung nimmt in fast allen Unternehmen exponentiell zu. Alle Datensicherheitstools oder -verfahren müssen hochgradig skalierbar sein, um den Anforderungen der nahen und fernen Zukunft gerecht zu werden.
  • Zersiedlung der Infrastruktur: Netzwerkumgebungen werden immer komplexer, insbesondere da Unternehmen ihre Arbeitslasten in Multi-Cloud- oder Hybrid-Cloud-Architekturen verlagern, was die Auswahl, Implementierung und Verwaltung von Sicherheitslösungen zu einer immer größeren Herausforderung macht.
  • Zunehmend strengere gesetzliche Anforderungen: Die weltweite Landschaft der gesetzlichen Vorschriften wird immer komplexer, was die Einhaltung aller Vorschriften erschwert.
  • Fachkräftemangel im Bereich Cybersicherheit: Experten gehen davon aus, dass bis zum Jahr 2022 bis zu 8 Millionen Stellen im Bereich Cybersicherheit unbesetzt sein könnten.

Best Practices

Da Datenbanken fast immer über ein Netzwerk zugänglich sind, ist jede Sicherheitsbedrohung, die eine Komponente oder einen Teil der Netzinfrastruktur betrifft, auch eine Bedrohung für die Datenbank. Zudem kann jeder Angriff auf das Gerät oder die Workstation eines Benutzers die Datenbank gefährden. Die Datenbanksicherheit muss also weit über die Grenzen der Datenbank hinausgehen.

Bei der Bewertung der Datenbanksicherheit in Ihrer Umgebung und der Festlegung der wichtigsten Prioritäten für Ihr Team sollten Sie die folgenden Bereiche berücksichtigen:

  • Physische Sicherheit: Unabhängig davon, ob sich Ihr Datenbankserver vor Ort oder in einem Cloud-Rechenzentrum befindet, muss er in einer sicheren, klimatisierten Umgebung untergebracht sein. (Befindet sich Ihr Datenbankserver in einem Cloud-Rechenzentrum, kümmert sich Ihr Cloud-Provider um diese Aufgabe).
  • Kontrolle des Verwaltungs- und Netzzugriffs: Eine zweckmäßige Mindestanzahl von Benutzern sollte Zugang zur Datenbank haben, und ihre Berechtigungen sollten auf das für die Erfüllung ihrer Aufgaben erforderliche Mindestmaß beschränkt werden. Ebenso sollte der Netzzugriff auf das erforderliche Mindestniveau an Berechtigungen beschränkt werden.
  • Sicherheit der Konten/Geräte der Endnutzer: Achten Sie stets darauf, wer auf die Datenbank zugreift und wann und wie die Daten verwendet werden. Datenüberwachungslösungen können Sie warnen, wenn Datenaktivitäten ungewöhnlich sind oder riskant erscheinen. Alle Benutzergeräte, die sich mit dem Netz verbinden, in dem die Datenbank untergebracht ist, sollten physisch sicher sein (nur in den Händen des richtigen Benutzers) und jederzeit Sicherheitsmaßnahmen unterzogen werden.
  • Verschlüsselung: ALLE Daten – einschließlich Daten in der Datenbank und Berechtigungsnachweisdaten – sollten im Ruhezustand und Transit durch Best-in-Class-Verschlüsselung geschützt werden. Alle Verschlüsselungsschlüssel sollten in Übereinstimmung mit den Best-Practice-Richtlinien gehandhabt werden.
  • Sicherheit der Datenbanksoftware: Verwenden Sie immer die neueste Version Ihrer Datenbankverwaltungssoftware und wenden Sie alle Patches an, sobald sie veröffentlicht werden.
  • Anwendungs-/Webserver-Sicherheit: Jede Anwendung oder jeder Webserver, die/der mit der Datenbank interagiert, kann ein Kanal für Angriffe sein und sollte Gegenstand laufender Sicherheitstests und eines Best-Practice-Managements sein.
  • Sicherheit von Sicherungen: Alle Sicherungen, Kopien oder Abbilder der Datenbank müssen den gleichen (oder gleich strengen) Sicherheitsmaßnahmen unterliegen wie die Datenbank selbst.
  • Protokollierung: Zeichnen Sie alle Anmeldungen beim Datenbankserver und beim Betriebssystem auf und protokollieren Sie auch alle Vorgänge, die mit vertraulichen Daten durchgeführt werden. Prüfungen der Standards der Datenbanksicherheit sollten regelmäßig durchgeführt werden.

Kontrollen und Richtlinien

Neben der Implementierung von mehrschichtigen Sicherheitsmaßnahmen in Ihrer gesamten Netzumgebung müssen Sie für die Datenbanksicherheit auch die richtigen Kontrollen und Richtlinien für den Zugriff auf die Datenbank selbst einrichten. Zu diesen Schemaänderungen zählen:

  • Verwaltungsmaßnahmen zur Regelung der Installation, Änderung und Konfigurationsverwaltung der Datenbank.
  • Vorbeugende Maßnahmen zur Regelung des Zugangs, der Verschlüsselung, Tokenisierung und Maskierung.
  • Ermittlungsmaßnahmen zur Überwachung von Datenbankaktivitäten und Tools zur Verhinderung von Datenverlusten. Diese Lösungen ermöglichen es, anomale oder verdächtige Aktivitäten zu erkennen und zu melden.

Die Richtlinien für die Datenbanksicherheit sollten in Ihre allgemeinen Unternehmensziele integriert werden und diese unterstützen, wie z. B. der Schutz von kritischem geistigem Eigentum und Ihre Richtlinien für Cybersicherheit und Cloud-Sicherheit. Stellen Sie sicher, dass Sie die Verantwortung für die Aufrechterhaltung und Überprüfung der Sicherheitsmaßnahmen in Ihrem Unternehmen haben und dass Ihre Richtlinien die Ihres Cloud-Providers in Vereinbarungen über die gemeinsame Verantwortung ergänzen. Sicherheitsmaßnahmen, Schulungen und Aufklärungsprogramme zum Thema Sicherheitsbewusstsein sowie Penetrationstests und Strategien zur Bewertung von Schwachstellen sollten zur Unterstützung Ihrer formellen Sicherheitsrichtlinien eingeführt werden.

Tools und Plattformen für den Datenschutz

Heutzutage gibt es eine Vielzahl von Anbietern, die Tools und Plattformen zur Datensicherung zur Verfügung stellen. Eine umfassende Lösung sollte alle der folgenden Funktionen umfassen:

  • Erkennung: Suchen Sie nach einem Tool, das alle Ihre Datenbanken – unabhängig davon, ob sie in der Cloud oder lokal gehostet werden – nach Schwachstellen durchsucht und klassifiziert und Empfehlungen zur Behebung der festgestellten Schwachstellen gibt. Erkennungsfunktionen sind häufig erforderlich, um die Anforderungen an die Einhaltung gesetzlicher Vorschriften zu erfüllen.
  • Überwachung von Datenaktivitäten: Die Lösung sollte in der Lage sein, alle Datenaktivitäten über alle Datenbanken hinweg zu überwachen und zu prüfen – unabhängig davon, ob die Implementierung vor Ort, in der Cloud oder in einem Container erfolgt. Sie sollte Sie in Echtzeit auf verdächtige Aktivitäten aufmerksam machen, damit Sie schneller auf Bedrohungen reagieren können. Sie benötigen außerdem eine Lösung, die Regeln, Richtlinien und eine angemessene Aufteilung von Aufgabenbereichen durchsetzen kann und über eine umfassende und einheitliche Benutzerschnittstelle Einblick in den Status Ihrer Daten bietet. Vergewissern Sie sich, dass die von Ihnen gewählte Lösung die Berichte erstellen kann, die Sie zur Erfüllung der Compliance-Anforderungen benötigen.
  • Verschlüsselungs- und Tokenisierungsfunktionen: Im Falle einer Sicherheitsverletzung bietet die Verschlüsselung eine letzte Verteidigungslinie gegen Kompromittierung. Jedes Tool, das Sie auswählen, sollte flexible Verschlüsselungsfunktionen enthalten, die Daten in lokalen, Cloud-, Hybrid- oder Multi-Cloud-Umgebungen schützen können. Suchen Sie nach einem Tool mit Funktionen zur Datei-, Datenträger- und Anwendungsverschlüsselung, die den Anforderungen Ihrer Branche entsprechen. Diese können möglicherweise die Tokenisierung (Datenmaskierung) oder erweiterte Funktionen zur Verwaltung von Sicherheitsschlüsseln erfordern.
  • Optimierung der Datensicherheit und Risikoanalyse: Ein Tool, das durch die Kombination von Informationen zur Datensicherheit mit fortschrittlichen Analysen kontextbezogene Erkenntnisse generieren kann, ermöglicht Ihnen eine einfache Optimierung, Risikoanalyse und Berichterstattung. Wählen Sie eine Lösung, die in der Lage ist, große Mengen historischer und aktueller Daten über den Status und die Sicherheit Ihrer Datenbanken zu speichern und zusammenzufassen. Zudem sollten Sie eine Lösung wählen, die über ein umfassendes, aber benutzerfreundliches Self-Service-Dashboard Funktionen zur Datenuntersuchung, Prüfung und Berichterstellung bietet.

Datenbanksicherheit und IBM Cloud

Von IBM verwaltete Clouddatenbanken verfügen über native Sicherheitsfunktionen, die von IBM Cloud Security unterstützt werden, einschließlich integriertem Identitäts- und Zugriffsmanagement, Transparenz, Intelligenz und Datenschutzfunktionen. Mit einer von IBM verwalteten Clouddatenbank können Sie sich darauf verlassen, dass Ihre Datenbank in einer inhärent sicheren Umgebung gehostet wird, und Ihr Verwaltungsaufwand wird deutlich geringer sein.

IBM stellt außerdem die intelligente Datenschutzplattform IBM Security Guardium zur Verfügung, die Funktionen zur Datenerkennung, Überwachung, Verschlüsselung und Tokenisierung sowie zur Sicherheitsoptimierung und Risikoanalyse für all Ihre Datenbanken, Data Warehouses, Dateifreigaben und Big-Data-Plattformen umfasst – unabhängig davon, ob diese lokal, in der Cloud oder in hybriden Umgebungen per Hosting zur Verfügung gestellt werden.

Darüber hinaus bietet IBM verwaltete Data Security Services für die Cloud an, die die Erkennung und Klassifizierung von Daten, die Überwachung von Datenaktivitäten sowie Verschlüsselungs- und Schlüsselverwaltungsfunktionen umfassen, um Ihre Daten durch einen optimierten Risikominderungsansatz vor internen und externen Bedrohungen zu schützen.

Sie können gleich loslegen, indem Sie noch heute ein IBM Cloud-Konto erstellen.