Anzeige
Anzeige
Anzeige
Beitrag drucken

Schutz vor Fremdzugriff

Datenbanksysteme vor Cyber-Angriffen sichern

Vom Computerhändler über den Spiele-Hersteller hin zum Shopping-Portal: Unternehmen werden immer wieder Opfer von Cyber-Angriffen. Auch Produktionsbetriebe sind in der Pflicht, ihre Infrastruktur gegen Datendiebstähle und Angriffe abzusichern. Eine wichtige Rolle spielt dabei die Sicherheit der Datenbanken.

Bild: Fotolia / zimmytws

Computer-Kriminalität stellt ein Phänomen dar, dass Unternehmen aller Branchen und besonders bekannte Unternehmen betreffen kann. Gerade in mittelständischen Produktionsbetrieben ist das Gefahrenpotenzial in vielen Fällen hoch: Unzureichend gesicherte IT-Infrastrukturen sind nicht selten, und Sicherheitslücken bieten Einfallstore für Cyber-Angriffe. So können Unbefugte oft mit wenig Aufwand Zugang zu hochsensiblen Kundendatenbanken und Betriebsgeheimnissen erlangen. Gleichzeitig müssen viele Unternehmen ihren Kunden strengen Datenschutz vertraglich zusichern. Umfassende Schwachstellenanalysen sind also dringend gefordert, um die größten Bedrohungen für die jeweilige Organisation ausfindig zu machen. Zudem fordern verschiedene nationale und internationale Compliance-Richtlinien wie das Bundesdatenschutzgesetz oder der Sarbanes-Oxley Act von Betrieben Kontrolle über Daten und Schutz vor Sicherheitsverletzungen. Diesen Schutz müssen Unternehmen intern prüfen und überwachen. Bei der Umsetzung von Datenschutzmaßnahmen ist daher wichtig, neben dem technischen Know-how auch das relevante Compliance-Wissen des Inhouse-Personals oder eines beauftragten Dienstleisters zu prüfen.

SQL-Injections vermeiden

Ein Angriffsziel in Produktionsbetrieben stellen die in der Industrie weit verbreiteten Oracle-Datenbanken dar. Um diese abzusichern gilt es zunächst, typische Schlupflöcher zu schließen. Eine Maßnahme umfasst hierbei das ‚Härten‘ von Anwendungen und der gesamten Datenbankumgebung. Zum Schutz der eigentlichen Datenbank können Unternehmen die vom Datenbank-Anbieter speziell entwickelte Datenbankfirewall installieren. Das Härten dient zum Beispiel dem Schutz vor SQL-Injections-Angriffen. Unternehmen erleichtern solche Angriffe, wenn beispielsweise eine Anwendung Benutzereingaben oder sonstige ungeschützte Informationen als Eingabeparameter in Web-Applikationen ungeprüft verwendet. Ohne vorbeugende Maßnahmen könnten Angreifer dann SQL-Befehle verändern oder durch eigene Befehle ersetzen, um Zugriff auf die Datenbank zu erhalten und dort Informationen auszupähen oder Daten zu manipulieren.

Zugriffsrechte beschränken

Auch auf eine zielgerichtete Rechtevergabe für den Systemzugriff und die entsprechende Trennung bestimmter, sensibler Informationen aus verschiedenen Bereichen sollten Unternehmen achten. Denn eine mangelhafte Rechtevergabe für den Informationsabruf durch Mitarbeiter bietet eine weitere Angriffsfläche für unbefugte Zugriffe. Betriebe sollten bestehende Vorgaben daher entsprechend prüfen und deren Einhaltung über die Datenbanksoftware sicherstellen. Die Rechte sind hier auf Datensatzebene zu vergeben: Der Administrator kann individuell den Datenzugriff steuern. Für die Zugriffskontrolle ist die Oracle Virtual Private Database (VPD) besonders wichtig. Mit dieser Sicherheitskomponente, die ein Bestandteil der Datenbank Enterprise Edition des Software-Herstellers ist, lässt sich ein feingranulares Zugriffskonzept implementieren. Das Produkt Database Vault des Datenbank-Anbieters geht noch einen Schritt weiter. Die Lösung steuert auch die Zugriffe der Administratoren auf die Daten. Dies gestattet eine Aufspaltung von Daten und Administration, so dass nicht jeder Techniker oder Entwickler den Inhalt einer betreuten Datanbank einsehen kann. Darüber hinaus bietet das Programm Protokollmechanismen, welche die Verletzung von Zugriffsberechtigungenaufzeichnen und diese Daten für Auswertung oder Alarmierung bereitstellen.

Daten gezielt verschlüsseln

Angesichts der steigenden Häufigkeit und Schwere von Datendiebstählen genügt es allerdings nicht, ausschließlich mögliche Sicherheitslücken in der Infrastruktur zu schließen und Firewalls einzurichten. Werden zum Beispiel physische Medien wie Laufwerke oder Sicherungsbänder gestohlen, lässt sich die Datenbank durch Kriminelle vergleichweise einfach auch außerhalb des Unternehmens wiederherstellen. Daher empfiehlt sich zuätzlich zu anderen Maßnahmen eine sichere Verschlüsselung der Daten. Oracle-Datenbanken ermöglichen beispielsweise zusätzlich zur Verschlüsselung von Backups und Datenkommunikation auch die automatisierte Verschlüsselung und Entschlüsselung der Informationen innerhalb der Datenbank. Dieser Prozess lässt sich in die Infrastruktur integrieren. Allerdings führt hier eine sehr hohe Sicherheit eventuell zu Performanceeinbußen von Datenbankanwendungen. Daher bietet es sich an, die Datenverschlüsselung innerhalb der Datenbank nicht pauschal anzuwenden, sondern auf sensible Daten zu reduzieren.

Audit-Konzepte etablieren

Ein wichtiger Compliance-Bestandteil von Sarbanes-Oxley besteht in der regelmäßigen Prüfung der Datenbankinstallation. Die Vorschrift fordert die Prüfung von Passwortschutz, nicht verwendeten Datenbankbenutzern, unverschlüsselten Datenbankzugriffen, Patch-Stand der Datenbank sowie der Betriebssystemkomponenten. Weitere Prüfungen umfassen etwa ein universelles Tracking, wodurch Zugriffe auf individuelle User zugeordnet werden können. Dabei lassen sich Details der jeweiligen Transaktionen erkennen ~ beispielsweise Quellapplikation, Abfragetext, Antwortattribute, Betriebssystem und Hostnamen. Die Prüfung selbst schützt die eigentliche Datenbankumgebung jedoch nicht, sondern gestattet Unternehmen, mögliche Angriffe und Verletzungen zu erkennen sowie gegebenenfalls Angreifer zu identifizieren. Sehr ernst nehmen sollten Datenbank-Administratoren das regelmäßige Einspielen der vierteljährlich bereitgestellten Patches des Datenbank-Herstellers. So wurde in letzter Zeit beispielsweise Sicherheitslücken behoben, die Angreifer für einen Zugriff aus der Ferne ohne Authentifizierung ausnutzen konnten. Weitere Datenlecks wurden unter anderem in angeschlossenen Middleware-Produkten gefunden.

In Prävention investieren

Zusätzlich zu diesen häufigen Bedrohungen von Oracle-Datenbanken bestehen weitere Lücken und Schlupflöcher für Angreifer abhängig von der eingesetzten Infrastruktur und Einstellungen. Schutz für eine spezifische IT-Umgebung bietet daher vor allem ein individuelles Full-Service-Sicherheitskonzept auf Basis einer Sicherheitsbedarfs-Analyse. Die Erfahrung hat gezeigt, dass sich vorbeugende Maßnahmen zur Datensicherheit lohnen, denn die Investition in die Prävention liegt oftmals weit unter den Kosten einer im Ernstfall nötigen Schadensbegrenzung.


Das könnte Sie auch interessieren:

Holo-Light hat einen Augmented Reality-Arbeitsplatz für Ingenieure, Konstrukteure und Industriedesigner entwickelt. Anwender aus verschiedenen Fachabteilungen können so in der gleichen AR-Umgebung kooperieren.‣ weiterlesen

Forscher des Massachusetts Institute of Technology (MIT) haben eine KI-gestützte, mobile App entwickelt, die anhand des Geräusches, das beim Husten entsteht, Covid19 diagnostiziern kann. Das Team um Juan Brian Subirana hat die Analysesoftware dafür mit zehntausenden Husten-Geräuschen von gesunden und infizierten Probanden trainiert.‣ weiterlesen

Das Corona-Virus war 2020 das bestimmende Thema, auch für den Maschinenbau. Hartmut Rauen ist stellvertretender Hauptgeschäftsführer beim VDMA und schildert, wie die Maschinenbauer durch die Krise kommen.‣ weiterlesen

Stabiler Umsatz, neue Fabriken, Geschäftseinheiten und Produkte – Leuze navigiert offenbar erfolgreich durch die aktuelle Krise. Auf der Jahrespressekonferenz am 20. Januar legte Geschäftsführer Ulrich Balbach dann auch ambitionierte Pläne offen: Im Kern sind dies weiteres Wachstum und – zumindest in Deutschland – Klimaneutralität.‣ weiterlesen

Recalo aus Laatzen ist auf Dienstleistungen im Bereich Asset- und Ladungsträger-Management spezialisiert. Vor allem beim Pooling von Mehrwegladungsträgern richtet sich der Anbieter mit einem sehr individualisierbaren Angebot an Fertigungsunternehmen.‣ weiterlesen

Lieferkettenschwierigkeiten verursachen rund 20 Prozent der Kosten von Fertigungsunternehmen, errechnen Fachleute. Robotergestützte Prozessautomatisierung kann viele der Stolpersteine aus dem Weg räumen, die zu diesen Ausgaben führen. Denn sie machen keine Fehler, halten sich an Regeln und arbeiten pausenlos - im Büro, Lieferantenmanagement und bei der Prozessoptimierung.‣ weiterlesen

Stimmen die Artikeldaten? Sind die Stammdaten genau und rechtskonform? Diese Fragen entscheiden über die Qualität fundamentaler Datenquellen. Wenn sich Fehler in die Stammdaten eingeschlichen haben, wirken sie womöglich quer durch alle Datenbanken und Prozesse hindurch. Diese und weitere Stolpersteine fasst folgende Checkliste zusammen.‣ weiterlesen

Viele neue Produkte und Geschäftsmodelle erfahren heutzutage Geburtshilfe durch Simulation. Mit digitalen Zwillingen verschmelzen Grenzen zwischen simulierten und realen Produktwelten. Entwicklung und Fertigung lassen sich so deutlich effizienter organisieren.‣ weiterlesen

Nach ersten Schätzungen geht das Ifo-Institut von einer Stagnation der Wirtschaftsleistung im ersten Quartal aus. Erst im zweiten Quartal gehen die Experten wieder von einem Zuwachs aus.‣ weiterlesen

Die Forschungspartner Technische Hochschule Deggendorf und die Technische Universität München sowie den beiden Unternehmen Schindler & Schill (EasyLogix) und Systema haben das BMWi-ZIM-Projekt MobiCM erfolgreich abgeschlossen. Ziel war die Entwicklung eines Systems zur Zustandsüberwachung von Produktionsmaschinen.‣ weiterlesen

Anzeige
Anzeige
Anzeige