Anzeige
Anzeige
Beitrag drucken

Schutz vor Fremdzugriff

Datenbanksysteme vor Cyber-Angriffen sichern

Vom Computerhändler über den Spiele-Hersteller hin zum Shopping-Portal: Unternehmen werden immer wieder Opfer von Cyber-Angriffen. Auch Produktionsbetriebe sind in der Pflicht, ihre Infrastruktur gegen Datendiebstähle und Angriffe abzusichern. Eine wichtige Rolle spielt dabei die Sicherheit der Datenbanken.

Bild: Fotolia / zimmytws

Computer-Kriminalität stellt ein Phänomen dar, dass Unternehmen aller Branchen und besonders bekannte Unternehmen betreffen kann. Gerade in mittelständischen Produktionsbetrieben ist das Gefahrenpotenzial in vielen Fällen hoch: Unzureichend gesicherte IT-Infrastrukturen sind nicht selten, und Sicherheitslücken bieten Einfallstore für Cyber-Angriffe. So können Unbefugte oft mit wenig Aufwand Zugang zu hochsensiblen Kundendatenbanken und Betriebsgeheimnissen erlangen. Gleichzeitig müssen viele Unternehmen ihren Kunden strengen Datenschutz vertraglich zusichern. Umfassende Schwachstellenanalysen sind also dringend gefordert, um die größten Bedrohungen für die jeweilige Organisation ausfindig zu machen. Zudem fordern verschiedene nationale und internationale Compliance-Richtlinien wie das Bundesdatenschutzgesetz oder der Sarbanes-Oxley Act von Betrieben Kontrolle über Daten und Schutz vor Sicherheitsverletzungen. Diesen Schutz müssen Unternehmen intern prüfen und überwachen. Bei der Umsetzung von Datenschutzmaßnahmen ist daher wichtig, neben dem technischen Know-how auch das relevante Compliance-Wissen des Inhouse-Personals oder eines beauftragten Dienstleisters zu prüfen.

SQL-Injections vermeiden

Ein Angriffsziel in Produktionsbetrieben stellen die in der Industrie weit verbreiteten Oracle-Datenbanken dar. Um diese abzusichern gilt es zunächst, typische Schlupflöcher zu schließen. Eine Maßnahme umfasst hierbei das ‚Härten‘ von Anwendungen und der gesamten Datenbankumgebung. Zum Schutz der eigentlichen Datenbank können Unternehmen die vom Datenbank-Anbieter speziell entwickelte Datenbankfirewall installieren. Das Härten dient zum Beispiel dem Schutz vor SQL-Injections-Angriffen. Unternehmen erleichtern solche Angriffe, wenn beispielsweise eine Anwendung Benutzereingaben oder sonstige ungeschützte Informationen als Eingabeparameter in Web-Applikationen ungeprüft verwendet. Ohne vorbeugende Maßnahmen könnten Angreifer dann SQL-Befehle verändern oder durch eigene Befehle ersetzen, um Zugriff auf die Datenbank zu erhalten und dort Informationen auszupähen oder Daten zu manipulieren.

Zugriffsrechte beschränken

Auch auf eine zielgerichtete Rechtevergabe für den Systemzugriff und die entsprechende Trennung bestimmter, sensibler Informationen aus verschiedenen Bereichen sollten Unternehmen achten. Denn eine mangelhafte Rechtevergabe für den Informationsabruf durch Mitarbeiter bietet eine weitere Angriffsfläche für unbefugte Zugriffe. Betriebe sollten bestehende Vorgaben daher entsprechend prüfen und deren Einhaltung über die Datenbanksoftware sicherstellen. Die Rechte sind hier auf Datensatzebene zu vergeben: Der Administrator kann individuell den Datenzugriff steuern. Für die Zugriffskontrolle ist die Oracle Virtual Private Database (VPD) besonders wichtig. Mit dieser Sicherheitskomponente, die ein Bestandteil der Datenbank Enterprise Edition des Software-Herstellers ist, lässt sich ein feingranulares Zugriffskonzept implementieren. Das Produkt Database Vault des Datenbank-Anbieters geht noch einen Schritt weiter. Die Lösung steuert auch die Zugriffe der Administratoren auf die Daten. Dies gestattet eine Aufspaltung von Daten und Administration, so dass nicht jeder Techniker oder Entwickler den Inhalt einer betreuten Datanbank einsehen kann. Darüber hinaus bietet das Programm Protokollmechanismen, welche die Verletzung von Zugriffsberechtigungenaufzeichnen und diese Daten für Auswertung oder Alarmierung bereitstellen.

Daten gezielt verschlüsseln

Angesichts der steigenden Häufigkeit und Schwere von Datendiebstählen genügt es allerdings nicht, ausschließlich mögliche Sicherheitslücken in der Infrastruktur zu schließen und Firewalls einzurichten. Werden zum Beispiel physische Medien wie Laufwerke oder Sicherungsbänder gestohlen, lässt sich die Datenbank durch Kriminelle vergleichweise einfach auch außerhalb des Unternehmens wiederherstellen. Daher empfiehlt sich zuätzlich zu anderen Maßnahmen eine sichere Verschlüsselung der Daten. Oracle-Datenbanken ermöglichen beispielsweise zusätzlich zur Verschlüsselung von Backups und Datenkommunikation auch die automatisierte Verschlüsselung und Entschlüsselung der Informationen innerhalb der Datenbank. Dieser Prozess lässt sich in die Infrastruktur integrieren. Allerdings führt hier eine sehr hohe Sicherheit eventuell zu Performanceeinbußen von Datenbankanwendungen. Daher bietet es sich an, die Datenverschlüsselung innerhalb der Datenbank nicht pauschal anzuwenden, sondern auf sensible Daten zu reduzieren.

Audit-Konzepte etablieren

Ein wichtiger Compliance-Bestandteil von Sarbanes-Oxley besteht in der regelmäßigen Prüfung der Datenbankinstallation. Die Vorschrift fordert die Prüfung von Passwortschutz, nicht verwendeten Datenbankbenutzern, unverschlüsselten Datenbankzugriffen, Patch-Stand der Datenbank sowie der Betriebssystemkomponenten. Weitere Prüfungen umfassen etwa ein universelles Tracking, wodurch Zugriffe auf individuelle User zugeordnet werden können. Dabei lassen sich Details der jeweiligen Transaktionen erkennen ~ beispielsweise Quellapplikation, Abfragetext, Antwortattribute, Betriebssystem und Hostnamen. Die Prüfung selbst schützt die eigentliche Datenbankumgebung jedoch nicht, sondern gestattet Unternehmen, mögliche Angriffe und Verletzungen zu erkennen sowie gegebenenfalls Angreifer zu identifizieren. Sehr ernst nehmen sollten Datenbank-Administratoren das regelmäßige Einspielen der vierteljährlich bereitgestellten Patches des Datenbank-Herstellers. So wurde in letzter Zeit beispielsweise Sicherheitslücken behoben, die Angreifer für einen Zugriff aus der Ferne ohne Authentifizierung ausnutzen konnten. Weitere Datenlecks wurden unter anderem in angeschlossenen Middleware-Produkten gefunden.

In Prävention investieren

Zusätzlich zu diesen häufigen Bedrohungen von Oracle-Datenbanken bestehen weitere Lücken und Schlupflöcher für Angreifer abhängig von der eingesetzten Infrastruktur und Einstellungen. Schutz für eine spezifische IT-Umgebung bietet daher vor allem ein individuelles Full-Service-Sicherheitskonzept auf Basis einer Sicherheitsbedarfs-Analyse. Die Erfahrung hat gezeigt, dass sich vorbeugende Maßnahmen zur Datensicherheit lohnen, denn die Investition in die Prävention liegt oftmals weit unter den Kosten einer im Ernstfall nötigen Schadensbegrenzung.


Das könnte Sie auch interessieren:

Telefónica Tech erwirbt BE-terna und will damit seine Position als Technologie-Dienstleister stärken.‣ weiterlesen

Tim van Wasen tritt die Nachfolge von Stéphane Paté an und wird Geschäftsführer von Dell Technologies Deutschland.‣ weiterlesen

Überwachungssysteme, die vor Einbrüchen schützen sollen und sich per Smartphone-App steuern lassen, sollen die Nutzer in Sicherheit wiegen. Dass dieses Gefühl trügen kann, haben Studierende aus dem Studiengang Informatik an der Hochschule Emden/Leer im Rahmen eines Forschungsprojektes aufgedeckt.‣ weiterlesen

Das IT-Unternehmen Checkmarx hat das Tool Supply Chain Security vorgestellt. Das Programm zielt aber nicht auf die physische Lieferkette eines Produktionsunternehmens ab, sondern überwacht im Zusammenspiel mit Checkmarx Software Composition Analysis (SCA) den Health- und Security-Status von Open-Source-Projekten mit Blick auf mögliche Anomalien.‣ weiterlesen

Unternehmen haben bezüglich der Digitalisierung ihrer Qualitätsprozesse heute mehr Möglichkeiten denn je. Beim Blick auf klassische Produktionsunternehmen und deren Systemlandschaften kommen ERP- und CRM-Systeme, MES-Software und CAQ-Lösungen zum Vorschein, die durch offene Schnittstellenkonzepte wie OpenAPI in Summe wesentlich mehr Integrationsmöglichkeiten als früher mitbringen.‣ weiterlesen

Mit der weltgrößten Spaltrohrmotorpumpe mit Explosionsschutz konnte Hermetic-Pumpen für Aufsehen sorgen. Um bei der Entwicklung und Fertigung der Spezialpumpen erforderliche Normen und Vorgaben möglichst effizient umzusetzen, setzt der Hersteller aus Gundelfingen auf ein Integriertes Managementsystem.‣ weiterlesen

Mit einem Manufacturing Execution System (MES) können mittelständische Fertigungsbetriebe ihre Produktion digitalisieren und sie so auf komplexere Marktanforderungen ausrichten. Auf welche Funktionalitäten Fertiger achten sollten, zeigt der folgende Beitrag.‣ weiterlesen

Das Maschinenbauunternehmen Schenck Process hat die serverlose, modulare IoT-Plattform Coniq Cloud auf den Markt gebracht. Das System ist als IoT-Backbone für die eigenen Maschinen gedacht und bietet Anwendungsprogramme etwa zu Optimierung von Produktionszeiten und für Datenauswertungen.‣ weiterlesen

Komplexe Fertigung in Kombination mit hohem Termindruck führten beim Maschinenbauer Knoll dazu, dass lediglich 53 Prozent der Liefertermine zu halten waren. Nach der Einführung der PPS-Lösung von LF Consult liegt die Termintreue bei über 90 Prozent - bei kürzeren Durchlaufzeiten.‣ weiterlesen

Wenn sich am 30. Mai die Hallentore zum Flagschiff der Deutschen Messe öffnen, kann das als Startschuss für das postpandemische Messegeschehen gelten. Denn die Hannover Messe nimmt traditionell eine Sonderrolle unter den Industrieausstellungen ein. Grund dafür ist auch das hochkarätige Begleitprogramm, das diesmal mit 600 Vorträgen auf sechs Bühnen die Angebote der 2.500 Aussteller einrahmt.‣ weiterlesen

In diesem Jahr findet die Intralogistikmesse Logimat wieder in Präsenz statt. Und laut Veranstalter bewegen sich die Buchungen wieder auf Vor-Pandemie-Niveau. 1.500 Aussteller werden vom 31. Mai bis zum 2. Juni in Stuttgart erwartet.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige