Anzeige
Anzeige
Anzeige
Beitrag drucken

Schutz vor Fremdzugriff

Datenbanksysteme vor Cyber-Angriffen sichern

Vom Computerhändler über den Spiele-Hersteller hin zum Shopping-Portal: Unternehmen werden immer wieder Opfer von Cyber-Angriffen. Auch Produktionsbetriebe sind in der Pflicht, ihre Infrastruktur gegen Datendiebstähle und Angriffe abzusichern. Eine wichtige Rolle spielt dabei die Sicherheit der Datenbanken.

Bild: Fotolia / zimmytws

Computer-Kriminalität stellt ein Phänomen dar, dass Unternehmen aller Branchen und besonders bekannte Unternehmen betreffen kann. Gerade in mittelständischen Produktionsbetrieben ist das Gefahrenpotenzial in vielen Fällen hoch: Unzureichend gesicherte IT-Infrastrukturen sind nicht selten, und Sicherheitslücken bieten Einfallstore für Cyber-Angriffe. So können Unbefugte oft mit wenig Aufwand Zugang zu hochsensiblen Kundendatenbanken und Betriebsgeheimnissen erlangen. Gleichzeitig müssen viele Unternehmen ihren Kunden strengen Datenschutz vertraglich zusichern. Umfassende Schwachstellenanalysen sind also dringend gefordert, um die größten Bedrohungen für die jeweilige Organisation ausfindig zu machen. Zudem fordern verschiedene nationale und internationale Compliance-Richtlinien wie das Bundesdatenschutzgesetz oder der Sarbanes-Oxley Act von Betrieben Kontrolle über Daten und Schutz vor Sicherheitsverletzungen. Diesen Schutz müssen Unternehmen intern prüfen und überwachen. Bei der Umsetzung von Datenschutzmaßnahmen ist daher wichtig, neben dem technischen Know-how auch das relevante Compliance-Wissen des Inhouse-Personals oder eines beauftragten Dienstleisters zu prüfen.

SQL-Injections vermeiden

Ein Angriffsziel in Produktionsbetrieben stellen die in der Industrie weit verbreiteten Oracle-Datenbanken dar. Um diese abzusichern gilt es zunächst, typische Schlupflöcher zu schließen. Eine Maßnahme umfasst hierbei das ‚Härten‘ von Anwendungen und der gesamten Datenbankumgebung. Zum Schutz der eigentlichen Datenbank können Unternehmen die vom Datenbank-Anbieter speziell entwickelte Datenbankfirewall installieren. Das Härten dient zum Beispiel dem Schutz vor SQL-Injections-Angriffen. Unternehmen erleichtern solche Angriffe, wenn beispielsweise eine Anwendung Benutzereingaben oder sonstige ungeschützte Informationen als Eingabeparameter in Web-Applikationen ungeprüft verwendet. Ohne vorbeugende Maßnahmen könnten Angreifer dann SQL-Befehle verändern oder durch eigene Befehle ersetzen, um Zugriff auf die Datenbank zu erhalten und dort Informationen auszupähen oder Daten zu manipulieren.

Zugriffsrechte beschränken

Auch auf eine zielgerichtete Rechtevergabe für den Systemzugriff und die entsprechende Trennung bestimmter, sensibler Informationen aus verschiedenen Bereichen sollten Unternehmen achten. Denn eine mangelhafte Rechtevergabe für den Informationsabruf durch Mitarbeiter bietet eine weitere Angriffsfläche für unbefugte Zugriffe. Betriebe sollten bestehende Vorgaben daher entsprechend prüfen und deren Einhaltung über die Datenbanksoftware sicherstellen. Die Rechte sind hier auf Datensatzebene zu vergeben: Der Administrator kann individuell den Datenzugriff steuern. Für die Zugriffskontrolle ist die Oracle Virtual Private Database (VPD) besonders wichtig. Mit dieser Sicherheitskomponente, die ein Bestandteil der Datenbank Enterprise Edition des Software-Herstellers ist, lässt sich ein feingranulares Zugriffskonzept implementieren. Das Produkt Database Vault des Datenbank-Anbieters geht noch einen Schritt weiter. Die Lösung steuert auch die Zugriffe der Administratoren auf die Daten. Dies gestattet eine Aufspaltung von Daten und Administration, so dass nicht jeder Techniker oder Entwickler den Inhalt einer betreuten Datanbank einsehen kann. Darüber hinaus bietet das Programm Protokollmechanismen, welche die Verletzung von Zugriffsberechtigungenaufzeichnen und diese Daten für Auswertung oder Alarmierung bereitstellen.

Daten gezielt verschlüsseln

Angesichts der steigenden Häufigkeit und Schwere von Datendiebstählen genügt es allerdings nicht, ausschließlich mögliche Sicherheitslücken in der Infrastruktur zu schließen und Firewalls einzurichten. Werden zum Beispiel physische Medien wie Laufwerke oder Sicherungsbänder gestohlen, lässt sich die Datenbank durch Kriminelle vergleichweise einfach auch außerhalb des Unternehmens wiederherstellen. Daher empfiehlt sich zuätzlich zu anderen Maßnahmen eine sichere Verschlüsselung der Daten. Oracle-Datenbanken ermöglichen beispielsweise zusätzlich zur Verschlüsselung von Backups und Datenkommunikation auch die automatisierte Verschlüsselung und Entschlüsselung der Informationen innerhalb der Datenbank. Dieser Prozess lässt sich in die Infrastruktur integrieren. Allerdings führt hier eine sehr hohe Sicherheit eventuell zu Performanceeinbußen von Datenbankanwendungen. Daher bietet es sich an, die Datenverschlüsselung innerhalb der Datenbank nicht pauschal anzuwenden, sondern auf sensible Daten zu reduzieren.

Audit-Konzepte etablieren

Ein wichtiger Compliance-Bestandteil von Sarbanes-Oxley besteht in der regelmäßigen Prüfung der Datenbankinstallation. Die Vorschrift fordert die Prüfung von Passwortschutz, nicht verwendeten Datenbankbenutzern, unverschlüsselten Datenbankzugriffen, Patch-Stand der Datenbank sowie der Betriebssystemkomponenten. Weitere Prüfungen umfassen etwa ein universelles Tracking, wodurch Zugriffe auf individuelle User zugeordnet werden können. Dabei lassen sich Details der jeweiligen Transaktionen erkennen ~ beispielsweise Quellapplikation, Abfragetext, Antwortattribute, Betriebssystem und Hostnamen. Die Prüfung selbst schützt die eigentliche Datenbankumgebung jedoch nicht, sondern gestattet Unternehmen, mögliche Angriffe und Verletzungen zu erkennen sowie gegebenenfalls Angreifer zu identifizieren. Sehr ernst nehmen sollten Datenbank-Administratoren das regelmäßige Einspielen der vierteljährlich bereitgestellten Patches des Datenbank-Herstellers. So wurde in letzter Zeit beispielsweise Sicherheitslücken behoben, die Angreifer für einen Zugriff aus der Ferne ohne Authentifizierung ausnutzen konnten. Weitere Datenlecks wurden unter anderem in angeschlossenen Middleware-Produkten gefunden.

In Prävention investieren

Zusätzlich zu diesen häufigen Bedrohungen von Oracle-Datenbanken bestehen weitere Lücken und Schlupflöcher für Angreifer abhängig von der eingesetzten Infrastruktur und Einstellungen. Schutz für eine spezifische IT-Umgebung bietet daher vor allem ein individuelles Full-Service-Sicherheitskonzept auf Basis einer Sicherheitsbedarfs-Analyse. Die Erfahrung hat gezeigt, dass sich vorbeugende Maßnahmen zur Datensicherheit lohnen, denn die Investition in die Prävention liegt oftmals weit unter den Kosten einer im Ernstfall nötigen Schadensbegrenzung.


Das könnte Sie auch interessieren:

Das IAB-Arbeitsmarktbarometer ist im September 2020 um 1,7 Punkte auf 100,1 Punkte gestiegen. Erstmals seit Beginn der Corona-Krise liegt der Frühindikator des Instituts für Arbeitsmarkt- und Berufsforschung (IAB) damit nicht mehr im negativen Bereich.‣ weiterlesen

Eine neue Art von Software könnte die gängigen Konzepte für Fabriksoftware bald fundamental verändern. Auf der Basis einer dezentralen Edge Computing-Architektur lassen sich die traditionell hohen Ansprüche an Skalierbarkeit, Flexibilität und Zuverlässigkeit vergleichsweise problemlos erfüllen – bei deutlich geringeren Investitionskosten.‣ weiterlesen

Parallel zum Grad der Digitalisierung einer Firma wächst die Notwendigkeit, die Operational Technologie (OT) abzusichern. Denn die Versprechen höherer Effizienz und Wandlungsfähigkeit gehen mit dem Risiko einher, Hackern neue Türen zu öffnen. Denn die Betriebstechnik ist selten darauf ausgelegt, mit Internettechnologie verbunden zu werden.‣ weiterlesen

Die beiden Firmen A+B Solutions und iN|ES wollen ihre MES- und ERP-Lösung integrieren, um künftig eine durchgängige Lösung zur Auftragsplanung und -steuerung anzubieten. Den Rahmen für das Projekt bildet eine strategische Partneschaft.‣ weiterlesen

Die Branchenverbände Bitkom, VDMA und ZVEI und etwa 20 Firmen haben die Nutzerorganisation IDTA gegründet. Der Verein Industrial Digital Twin Association soll Entwicklung, Anwendung und Monetarisierung von Technologien rund um den digital Zwilling voranbringen.‣ weiterlesen

Innerhalb der Robur-Gruppe haben sich die Firmen GIS und EAM zusammengetan. Beide Firmen bringen langjährige Erfahrungen rund um die Instandhaltung, Wartung und das Anlagenmanagement in den Zusammenschluss ein. Als Rodias sollen erweiterte Digitalisierungsdienstleistungen gerade für Anlage-intensive Unternehmen entwickelt werden.‣ weiterlesen

Robotik-Systeme und Automated Guided Vehicles (AGV) sind immer weniger den großen Produzenten vorbehalten. Auch für den Mittelstand gibt es immer mehr interessante Lösungen. Doch die Use Cases und die Strategie dahinter müssen zu den verfügbaren Mitteln und dem Platzangebot passen.‣ weiterlesen

In der Aerzener Maschinenfabrik werden pro Jahr etwa 15.000 Betriebsanleitungen in rund 30 Sprachen erstellt. Weil das den Maschinenbauer viel Zeit kostete, suchte er nach einer Möglichkeit, diesen Prozess zu automatisieren. Fündig wurde die Firma bei der Redaktionssoftware Cosima go! von Docufy.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige