Schutz vor Fremdzugriff
Datenbanksysteme vor Cyber-Angriffen sichern
Vom Computerhändler über den Spiele-Hersteller hin zum Shopping-Portal: Unternehmen werden immer wieder Opfer von Cyber-Angriffen. Auch Produktionsbetriebe sind in der Pflicht, ihre Infrastruktur gegen Datendiebstähle und Angriffe abzusichern. Eine wichtige Rolle spielt dabei die Sicherheit der Datenbanken.
Computer-Kriminalität stellt ein Phänomen dar, dass Unternehmen aller Branchen und besonders bekannte Unternehmen betreffen kann. Gerade in mittelständischen Produktionsbetrieben ist das Gefahrenpotenzial in vielen Fällen hoch: Unzureichend gesicherte IT-Infrastrukturen sind nicht selten, und Sicherheitslücken bieten Einfallstore für Cyber-Angriffe. So können Unbefugte oft mit wenig Aufwand Zugang zu hochsensiblen Kundendatenbanken und Betriebsgeheimnissen erlangen. Gleichzeitig müssen viele Unternehmen ihren Kunden strengen Datenschutz vertraglich zusichern. Umfassende Schwachstellenanalysen sind also dringend gefordert, um die größten Bedrohungen für die jeweilige Organisation ausfindig zu machen. Zudem fordern verschiedene nationale und internationale Compliance-Richtlinien wie das Bundesdatenschutzgesetz oder der Sarbanes-Oxley Act von Betrieben Kontrolle über Daten und Schutz vor Sicherheitsverletzungen. Diesen Schutz müssen Unternehmen intern prüfen und überwachen. Bei der Umsetzung von Datenschutzmaßnahmen ist daher wichtig, neben dem technischen Know-how auch das relevante Compliance-Wissen des Inhouse-Personals oder eines beauftragten Dienstleisters zu prüfen. Die neunte Ausgabe von Rockwell Automations „State of Smart Manufacturing“ Report liefert Einblicke in Trends und Herausforderungen für Hersteller. Dazu wurden über 1.500 Fertigungsunternehmen befragt, knapp 100 der befragten Unternehmen kommen aus Deutschland. ‣ weiterlesen
KI in Fertigungsbranche vorn
SQL-Injections vermeiden
Ein Angriffsziel in Produktionsbetrieben stellen die in der Industrie weit verbreiteten Oracle-Datenbanken dar. Um diese abzusichern gilt es zunächst, typische Schlupflöcher zu schließen. Eine Maßnahme umfasst hierbei das ‚Härten‘ von Anwendungen und der gesamten Datenbankumgebung. Zum Schutz der eigentlichen Datenbank können Unternehmen die vom Datenbank-Anbieter speziell entwickelte Datenbankfirewall installieren. Das Härten dient zum Beispiel dem Schutz vor SQL-Injections-Angriffen. Unternehmen erleichtern solche Angriffe, wenn beispielsweise eine Anwendung Benutzereingaben oder sonstige ungeschützte Informationen als Eingabeparameter in Web-Applikationen ungeprüft verwendet. Ohne vorbeugende Maßnahmen könnten Angreifer dann SQL-Befehle verändern oder durch eigene Befehle ersetzen, um Zugriff auf die Datenbank zu erhalten und dort Informationen auszupähen oder Daten zu manipulieren.
Zugriffsrechte beschränken
Auch auf eine zielgerichtete Rechtevergabe für den Systemzugriff und die entsprechende Trennung bestimmter, sensibler Informationen aus verschiedenen Bereichen sollten Unternehmen achten. Denn eine mangelhafte Rechtevergabe für den Informationsabruf durch Mitarbeiter bietet eine weitere Angriffsfläche für unbefugte Zugriffe. Betriebe sollten bestehende Vorgaben daher entsprechend prüfen und deren Einhaltung über die Datenbanksoftware sicherstellen. Die Rechte sind hier auf Datensatzebene zu vergeben: Der Administrator kann individuell den Datenzugriff steuern. Für die Zugriffskontrolle ist die Oracle Virtual Private Database (VPD) besonders wichtig. Mit dieser Sicherheitskomponente, die ein Bestandteil der Datenbank Enterprise Edition des Software-Herstellers ist, lässt sich ein feingranulares Zugriffskonzept implementieren. Das Produkt Database Vault des Datenbank-Anbieters geht noch einen Schritt weiter. Die Lösung steuert auch die Zugriffe der Administratoren auf die Daten. Dies gestattet eine Aufspaltung von Daten und Administration, so dass nicht jeder Techniker oder Entwickler den Inhalt einer betreuten Datanbank einsehen kann. Darüber hinaus bietet das Programm Protokollmechanismen, welche die Verletzung von Zugriffsberechtigungenaufzeichnen und diese Daten für Auswertung oder Alarmierung bereitstellen.
Daten gezielt verschlüsseln
Angesichts der steigenden Häufigkeit und Schwere von Datendiebstählen genügt es allerdings nicht, ausschließlich mögliche Sicherheitslücken in der Infrastruktur zu schließen und Firewalls einzurichten. Werden zum Beispiel physische Medien wie Laufwerke oder Sicherungsbänder gestohlen, lässt sich die Datenbank durch Kriminelle vergleichweise einfach auch außerhalb des Unternehmens wiederherstellen. Daher empfiehlt sich zuätzlich zu anderen Maßnahmen eine sichere Verschlüsselung der Daten. Oracle-Datenbanken ermöglichen beispielsweise zusätzlich zur Verschlüsselung von Backups und Datenkommunikation auch die automatisierte Verschlüsselung und Entschlüsselung der Informationen innerhalb der Datenbank. Dieser Prozess lässt sich in die Infrastruktur integrieren. Allerdings führt hier eine sehr hohe Sicherheit eventuell zu Performanceeinbußen von Datenbankanwendungen. Daher bietet es sich an, die Datenverschlüsselung innerhalb der Datenbank nicht pauschal anzuwenden, sondern auf sensible Daten zu reduzieren. Der Thin[gk]athon, veranstaltet vom Smart Systems Hub, vereint kollaborative Intelligenz und Industrie-Expertise, um in einem dreitägigen Hackathon innovative Lösungsansätze für komplexe Fragestellungen zu generieren. ‣ weiterlesen
Innovationstreiber Thin[gk]athon: Kollaborative Intelligenz trifft auf Industrie-Expertise
Audit-Konzepte etablieren
Ein wichtiger Compliance-Bestandteil von Sarbanes-Oxley besteht in der regelmäßigen Prüfung der Datenbankinstallation. Die Vorschrift fordert die Prüfung von Passwortschutz, nicht verwendeten Datenbankbenutzern, unverschlüsselten Datenbankzugriffen, Patch-Stand der Datenbank sowie der Betriebssystemkomponenten. Weitere Prüfungen umfassen etwa ein universelles Tracking, wodurch Zugriffe auf individuelle User zugeordnet werden können. Dabei lassen sich Details der jeweiligen Transaktionen erkennen ~ beispielsweise Quellapplikation, Abfragetext, Antwortattribute, Betriebssystem und Hostnamen. Die Prüfung selbst schützt die eigentliche Datenbankumgebung jedoch nicht, sondern gestattet Unternehmen, mögliche Angriffe und Verletzungen zu erkennen sowie gegebenenfalls Angreifer zu identifizieren. Sehr ernst nehmen sollten Datenbank-Administratoren das regelmäßige Einspielen der vierteljährlich bereitgestellten Patches des Datenbank-Herstellers. So wurde in letzter Zeit beispielsweise Sicherheitslücken behoben, die Angreifer für einen Zugriff aus der Ferne ohne Authentifizierung ausnutzen konnten. Weitere Datenlecks wurden unter anderem in angeschlossenen Middleware-Produkten gefunden.
In Prävention investieren
Zusätzlich zu diesen häufigen Bedrohungen von Oracle-Datenbanken bestehen weitere Lücken und Schlupflöcher für Angreifer abhängig von der eingesetzten Infrastruktur und Einstellungen. Schutz für eine spezifische IT-Umgebung bietet daher vor allem ein individuelles Full-Service-Sicherheitskonzept auf Basis einer Sicherheitsbedarfs-Analyse. Die Erfahrung hat gezeigt, dass sich vorbeugende Maßnahmen zur Datensicherheit lohnen, denn die Investition in die Prävention liegt oftmals weit unter den Kosten einer im Ernstfall nötigen Schadensbegrenzung.
