10. September 2009 - Datenbank-Kontrolle

Wie sich Datenbanken besser überwachen lassen

Datenbanken werden nicht nur durch Hacker bedroht. Sie können auch durch schlecht programmierte Webanwendungen und Berechtigungsmissbrauch zu einem gefährlichen Datenleck werden. Überwachen Sie deshalb in der Datenschutz-Kontrolle alle Arten von Zugriffen auf sensible Datenbankinhalte. Lösungen wie Database Activity Monitoring (DAM) helfen Ihnen dabei.

wie-sich-datenbanken-besser-uberwachen-lassen.jpeg
Für eine effektive Datenbank-Kontrolle müssen alle Zugriffe überwacht werden (Bild: Thinkstock)

In der Vergangenheit wurden die Optimierungsmöglichkeiten bei Datenbanken eher bei Zugriffsgeschwindigkeit und Datenvolumen gesehen.

Inzwischen ist jedoch mehr als deutlich geworden, dass auch bei Datenbanken veraltete Versionen, unzureichende Sicherheitskonfigurationen und das Beibehalten von Standard-Passwörtern sehr kritisch sind.

Zahlreiche Datenbank-Angriffe

Gerade Datenbanken, die sich über das Internet erreichen lassen, werden immer wieder angegriffen, um personenbezogene Daten zu stehlen. Aber auch Datenbanken, auf die nur intern zugegriffen wird, sind Gefahren ausgesetzt.

Wenn Datenbanken angezapft werden

Häufig bieten Datenbank-Pakete weit mehr Funktionen als die Anwender eigentlich benötigen. Doch statt die ungewollten Module und Funktionen zu deaktivieren, bleiben diese mitunter als Hintertürchen in die Datenbanksysteme erhalten.

Aber auch ohne diese losen Enden der Datenbank-Sicherheit finden sich Wege zu den personenbezogenen Daten: Dank der mächtigen Structured Query Language (SQL) können zusätzliche Datenbankabfragen und -auswertungen geschaffen werden, die vom Datenbankhersteller so nicht vorgesehen waren.

Tatsächlich lassen viele Unternehmen zusätzliche Datenbankfunktionen erstellen, um neue Anwendungen anzubinden oder Berichte zu generieren. Allerdings fallen diese neuen Funktionen dann in aller Regel aus der normalen Datenbank-Überwachung heraus, da sie in der Protokollierung nicht als Standard vorgesehen sind.

Sämtliche Datenbank-Zugriffe überwachen

Für die Datenschutz-Kontrolle bei Datenbanksystemenist es jedoch zwingend erforderlich, sämtliche Zugriffe auf die Datenbestände überwachen zu können, also

  • alle Benutzer (inklusive temporärer Gastzugänge),
  • alle auf die Datenbanken zugreifenden internen Applikationen und Webanwendungen und
  • insbesondere auch alle Formen der Angriffe, seien es SQL-Injektionen über den Webserver, seien es scheinbar erlaubte Zugriffe über gekaperte Server oder aber heimliche Zugriffe von Mitarbeitern oder Administratoren (Innentäter).

Database Activity Monitoring kann helfen

Um einen möglichst vollständigen Überblick über alle Datenbank-Aktivitäten zu bekommen, könnte Ihr Unternehmen eine Lösung im Bereich Database Activity Monitoring (DAM) einsetzen. Nun werden Sie vielleicht sagen: „Schon wieder eine neue Sicherheitslösung, wir haben doch bereits genug Sicherheitssysteme.“

Grenzen anderer Sicherheitsmaßnahmen

Warum zusätzlich DAM eingesetzt werden sollte, zeigt Ihnen ein Blick auf die Grenzen anderer Sicherheitsmaßnahmen im Bereich der Datenbanken:

  • Herkömmliche Intrusion Detection Systeme (IDS) berücksichtigen meist nicht alle Arten von Datenbankzugriffen.
  • Datenbank-Verschlüsselung schützt nicht vor Hackern, die zulässige Datenbankzugriffe ausnutzen.
  • Viele Data-Loss-Prevention(DLP)-Lösungen konzentrieren sich auf den Schutz der Endpunkte im Netzwerk und nicht auf die Datenbanken selbst.
  • Einfache Datenbank-Protokolle enthalten nicht immer die notwendigen Informationen, um ausgefeilte Angriffe zu erkennen.

Das bietet DAM für die Datensicherheit

Die Ziele von DAM-Lösungen sind

  • die Überprüfung der vorhandenen Schutzmechanismen auf Wirksamkeit,
  • die Kontrolle der Umsetzung der Sicherheitsrichtlinien,
  • das Auffinden von Datenlecks in Datenbanksystemen und
  • das Aufzeigen von Verbesserungsmöglichkeiten bei der Datenbank-Sicherheit.

So lassen sich mit einer DAM-Lösung zum Beispiel fehlgeschlagene Log-Ins auf ein Datenbankmanagementsystem (DBMS) so analysieren, dass eine Attacke genauer erkennbar wird, indem der Ursprung des Log-Ins und das eigentliche Ziel, also der dahinter liegende Befehl, sichtbar werden.

Die Log-In-Versuche können mit konkreten Schwachstellen (z.B. unsichere Webanwendung) in Verbindung gebracht und so die Datenbank-Sicherheit an den richtigen Stellen verbessert werden.

So führen Sie DAM ein

Wenn Sie eine Übersicht über sämtliche Datenbank-Aktivitäten durch DAM haben wollen, wird dies jedoch ein sehr umfangreiches Vorhaben.

Sinnvoller ist es, sich auf die besonders zu schützenden Datenbanken zu konzentrieren. Dazu brauchen Sie eine Übersicht aller Datenbanksysteme mit Netzwerk-Pfad im Unternehmen, eine Dokumentation, welche Art von Daten dort vorgehalten wird und eine Bewertung der Risiken.

Auf dieser Grundlage wählen Sie dann die Datenbanken aus, deren Aktivitäten besonders überwacht werden sollen.

Kein Ersatz, sondern sinnvolle Ergänzung anderer Datensicherheits-Maßnahmen

DAM darf trotz aller Vorteile aber nicht als Ersatz anderer Sicherheitsmaßnahmen für Datenbanken verstanden werden. Vielmehr werden Verschlüsselung der Daten, Backup, sichere Konfiguration der Datenbanken und Zugriffsschutz über Berechtigungssysteme und starke Passwörter sinnvoll ergänzt.

Checkliste Kriterien für Database Activity Monitoring

Wichtige Auswahlkriterien für eine DAM-Lösung finden Sie in dieser Checkliste (> zum kostenlosen Download im Word-Format).

Auswahlkriterium Erfüllt Nicht erfüllt
eingesetzte Datenbanksysteme, Zugriffsprotokolle und Anwendungen werden unterstützt
ausreichend für erwartetes Daten- und Zugriffsvolumen
Sicherheitsrichtlinien lassen sich abbilden
Anomalien im Benutzerverhalten bei Datenbankzugriffen werden erkannt
Audit-Funktion und Administrator-Rolle lassen sich trennen
Administrator kann Auditierung nicht abstellen oder ändern, die Protokolle nicht löschen und nicht verändern
Protokolle lassen sich vor unerlaubten Zugriffen und Manipulationen schützen
Anonymisierung der Benutzer ist möglich
Umfang der Protokollierung lässt sich begrenzen
zur Aufklärung von unerlaubten Zugriffen lassen sich Benutzername, Anwendung, verwendeter Client/Terminal, Besitzer des betreffenden Datenbank-Objekts, Name des betreffenden Datenbank-Objekts und Zugriffsart/Aktivität feststellen
Warnungen werden ausgegeben und Gegenmaßnahmen unterstützt (z.B. Blockierung des Zugriffs)


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln