Datenbank-Sicherheit erfordert effiziente Zugriffskontrollen
Autor/Redakteur: Jochen Koehler, Regional Director DACH bei CyberArk/gg
Das Thema Datenbank-Sicherheit ist nach wie vor noch eine große Herausforderung. Viele Unternehmen versuchen das Problem mit der Implementierung von DLP- oder DAM-Lösungen in den Griff zu bekommen. Doch dieser Weg ist keineswegs ausreichend. Nur eine durchgängige Lösung im Bereich Privileged Account Security macht die Zugriffe auf sämtliche Datenbestände sicher.
Gerade größere Unternehmen verwenden meist eine Vielzahl unterschiedlicher Datenbank-Systeme wie Oracle Database, DB2, MS SQL Server, MySQL oder SAP Sybase Adaptive Server Enterprise. Sie werden alle über privilegierte persönliche oder privilegierte generische Accounts, so genannte Shared Accounts wie Oracle system/sys oder MSSQL SA, verwaltet. Die Schwachstelle ist dabei, dass sich auf den IT-Systemen meistens identische Passwörter befinden, die nur selten oder überhaupt nicht geändert werden. Bei Shared Accounts hat zudem in der Regel eine größere Gruppe von Administratoren Passwort-Zugriff. Eine Nachvollziehbarkeit, wer welches Passwort wann und wozu verwendet hat, ist dadurch nicht gegeben.
Etliche Unternehmen versuchen der erkannten unzureichenden Datenbank-Sicherheit mit der Implementierung von Lösungen in den Bereichen Data Loss Prevention (DLP) oder Database Activity Monitoring (DAM) beizukommen. Diese Ansätze sind zunächst einmal völlig richtig, aber keineswegs ausreichend.
Mit der Einführung von DLP-Lösungen kann die unerlaubte, aber auch “versehentliche” Übertragung von Unternehmensdaten nach außen zuverlässig erkannt und unterbunden werden. Auch wenn es hier unterschiedlichste Lösungsvarianten gibt, zwei Aspekte müssen dabei immer beachtet werden: Erstens steht bei den meisten Lösungen der Schutz der Endpunkte im Netzwerk im Mittelpunkt und nicht der Schutz der Datenbanken selbst. Zweitens kann eine DLP-Lösung nur dann erfolgreich eingeführt und betrieben werden, wenn unternehmenskritische Datenbestände entsprechend gesichert und auch nur einem berechtigten Personenkreis zugänglich sind.
Bei DAM-Lösungen geht es primär um die Überwachung und Analyse von Datenbank-Aktivitäten sowie um das Aufspüren potenzieller Datenlecks. Eine umfassende Datenbank-Sicherheit ist damit allerdings nicht gegeben. Das Problem muss vielmehr an der Wurzel gepackt werden, und zwar beim Zugriffsschutz über Berechtigungssysteme und ein striktes Passwortmanagement. Das heißt: Es ist eine durchgängige Lösung im Bereich Privileged Account Security (PAS) zu implementieren, mit der alle Zugriffe auf sämtliche Datenbestände zuverlässig überwacht werden können. Die Lösung sollte es ermöglichen, jede Art von privilegiertem Zugriff auf beliebige Zielsysteme zentral zu berechtigen, jederzeit zu kontrollieren und revisionssicher zu auditieren, um eine durchgängige Verwaltung und Überwachung privilegierter Accounts und Aktivitäten sicherzustellen.