Ob Versicherung oder Bank - alle arbeiten mit Datenbanksystemen. Hier haben Datenschutz und Datensicherheit höchste Priorität. Was macht die Datenbanken noch unsicher? Welche typischen Probleme gibt es und wie sehen die Lösungen aus?
Alexander Kornburst, CEO bei Red Database Security meint: "Das Problem, warum Oracle DB auch in 2008 noch unsicher sind, ist vielschichtig und lässt sich nicht mit einem Satz beantworten. So gehört sicherlich die Mentalität von Oracle, dass Oracle Features wichtiger als Sicherheit seien, dazu."
"Auch heutzutage dauert es immer noch bis zu 2 Jahren, bevor Oracle zum Teil kritische Fehler, wie das Umgehen des Oracle Audit Mechanismus, korrigiert werden. Bis dieser Bugfix dann letzen Endes bei den Kunden installiert ist, dauert es zum Teil weitere 1-2 Jahre. Ein Problem hat Oracle auch mit allen Sicherheitsforschern, da laut Oracle Security Chefin Mary Ann Davidson, die Forscher und nicht etwa die Oracle Entwickler Ursache des Sicherheits-Problems sind", fügt er hinzu.
Die Annahme man muss nur diejenigen Datenbanken schützen, die direkt in kritische Geschäftsprozesse integriert sind, ist falsch, denn verwundbare Datenbanksysteme sind vielfach Ausgangspunkt von Angriffen auf weitere ICT-Systeme. Datenbank-Sicherheit ist scheinbar ein alter Hut, aber dennoch ein Top-Thema, die Gründe liegen auf der Hand!
- Unzureichende Überwachungssysteme in virtualisierten Umgebungen
- Das Prinzip "harte Schale, weicher Kern" schützt nicht vor internen Angreifern
- Schwächen im Datenbankdesign sowie unzureichender Schutz der Core-Komponenten durch leistungsfähige Perimeter Security-Systeme
- Prinzip der minimalen Rechte wird bei der Applikationseinbindung nicht immer beachtet
- Datensicherungen werden nicht ausreichend engmaschig durchgeführt was auch in Kombination mit billiger Hardware zu Problemen führen kann
- Fehlender Einsatz moderner Security Information- & Event Management-Lösungen, denn Überwachungslösungen werden meist nur punktuell eingesetzt, eine Verknüpfung über Datamining-basierte Verfahren findet im Regelfall nicht statt
- Implementierung der Geschäftslogik in die Webapplikation anstatt in das Datenbankschema
- Etc. etc.
Diese Punkte und einige mehr listet Dipl. Ing. René Reutter, Abteilungsleiter Seamless ICT Security Infrastructure & Management bei T-Systems auf.
"Wer Schaden von seiner Informations- und Kommunikationstechnologie (ICT) abwenden möchte, muss wie ein Angreifer denken und handeln. Hauptangriffsziel sind häufig Web-Applikationen mit nachgelagerten Datenbanken, die vom Internet erreicht werden können. Speziell im Business Umfeld ist es wichtig eine sorgfältige Filterung von Eingaben und Parametern in der sicherheitstechnisch entkoppelten Applikationslogik durchzuführen ("white list-Ansatz")", ergänzt der T-Systems-Spezialist.
Die fünf goldenen Regeln für einen sicheren Datenbankbetrieb, sowie "Wie erreiche ich sichere Hochverfügbarkeit für SAP, Oracle und Co?" beschreiben Alexander Kornbrust und René Reutter in der aktuellen Frage des Monats bei www.all-about-security.de
Die Datenbanksicherheit steht noch immer ganz am Anfang. Überraschende Gesichter bei Kunden sind nicht selten, wenn sie erfahren, was mit ihren sicher geglaubten Datenbanken alles möglich ist!
Das Online-Portal für Security www.all-about-security.de berichtet jeden Monat über Gefahren in der IT-Security.
Alexander Kornburst, CEO bei Red Database Security meint: "Das Problem, warum Oracle DB auch in 2008 noch unsicher sind, ist vielschichtig und lässt sich nicht mit einem Satz beantworten. So gehört sicherlich die Mentalität von Oracle, dass Oracle Features wichtiger als Sicherheit seien, dazu."
"Auch heutzutage dauert es immer noch bis zu 2 Jahren, bevor Oracle zum Teil kritische Fehler, wie das Umgehen des Oracle Audit Mechanismus, korrigiert werden. Bis dieser Bugfix dann letzen Endes bei den Kunden installiert ist, dauert es zum Teil weitere 1-2 Jahre. Ein Problem hat Oracle auch mit allen Sicherheitsforschern, da laut Oracle Security Chefin Mary Ann Davidson, die Forscher und nicht etwa die Oracle Entwickler Ursache des Sicherheits-Problems sind", fügt er hinzu.
Die Annahme man muss nur diejenigen Datenbanken schützen, die direkt in kritische Geschäftsprozesse integriert sind, ist falsch, denn verwundbare Datenbanksysteme sind vielfach Ausgangspunkt von Angriffen auf weitere ICT-Systeme. Datenbank-Sicherheit ist scheinbar ein alter Hut, aber dennoch ein Top-Thema, die Gründe liegen auf der Hand!
- Unzureichende Überwachungssysteme in virtualisierten Umgebungen
- Das Prinzip "harte Schale, weicher Kern" schützt nicht vor internen Angreifern
- Schwächen im Datenbankdesign sowie unzureichender Schutz der Core-Komponenten durch leistungsfähige Perimeter Security-Systeme
- Prinzip der minimalen Rechte wird bei der Applikationseinbindung nicht immer beachtet
- Datensicherungen werden nicht ausreichend engmaschig durchgeführt was auch in Kombination mit billiger Hardware zu Problemen führen kann
- Fehlender Einsatz moderner Security Information- & Event Management-Lösungen, denn Überwachungslösungen werden meist nur punktuell eingesetzt, eine Verknüpfung über Datamining-basierte Verfahren findet im Regelfall nicht statt
- Implementierung der Geschäftslogik in die Webapplikation anstatt in das Datenbankschema
- Etc. etc.
Diese Punkte und einige mehr listet Dipl. Ing. René Reutter, Abteilungsleiter Seamless ICT Security Infrastructure & Management bei T-Systems auf.
"Wer Schaden von seiner Informations- und Kommunikationstechnologie (ICT) abwenden möchte, muss wie ein Angreifer denken und handeln. Hauptangriffsziel sind häufig Web-Applikationen mit nachgelagerten Datenbanken, die vom Internet erreicht werden können. Speziell im Business Umfeld ist es wichtig eine sorgfältige Filterung von Eingaben und Parametern in der sicherheitstechnisch entkoppelten Applikationslogik durchzuführen ("white list-Ansatz")", ergänzt der T-Systems-Spezialist.
Die fünf goldenen Regeln für einen sicheren Datenbankbetrieb, sowie "Wie erreiche ich sichere Hochverfügbarkeit für SAP, Oracle und Co?" beschreiben Alexander Kornbrust und René Reutter in der aktuellen Frage des Monats bei www.all-about-security.de
Die Datenbanksicherheit steht noch immer ganz am Anfang. Überraschende Gesichter bei Kunden sind nicht selten, wenn sie erfahren, was mit ihren sicher geglaubten Datenbanken alles möglich ist!
Das Online-Portal für Security www.all-about-security.de berichtet jeden Monat über Gefahren in der IT-Security.
