Fast täglich berichten Medien über den fahrlässigen Umgang mit vertraulichen Daten oder den Diebstahl ganzer Datenbestände. Dabei geraten nur die spektakulärsten Fälle von Datenmissbrauch an die Öffentlichkeit - wie bei der Schweizer Bankgesellschaft, der Deutschen Telekom oder Online-Mail-Diensten. Gefährdet sind aber nahezu alle Unternehmen, die Personendaten wie Bankverbindungen, Kreditkartennummern oder auch sensible Mitarbeiterdaten in HR-Systemen speichern. "Der Verlust sensibler Daten kann für ein Unternehmen gravierende Folgen haben", warnt Forrester-Analyst Noel Yuhanna. Doch um den Schutz dieser Daten steht es offenbar nicht zum Besten.
Sicherheitsstrategie entwickeln
Der "traditionelle" Ansatz für Datenbanksicherheit beschränkt sich auf die Kernfelder Authentifizierung, Autorisierung und Zugangskontrolle, kurz: Triple-A (Authentication, Authorization and Access Control). Angesichts der sich verschärfenden Bedrohungslage handelt es sich dabei lediglich um grundlegende Sicherheitsvorkehrungen, die längst nicht mehr ausreichen, so der Analyst. "Der Schutz der Datenbanken verdient größere Aufmerksamkeit, als viele Unternehmen ihr heute widmen", sagt Yuhanna. Deshalb müssten sich die Verantwortlichen für Datenbanken, Informationssicherheit und Risiko-Management zusammensetzen, und eine übergreifende Security-Strategie entwickeln. Laut Forrester geht es dabei in erster Linie um folgende Punkte:
-
Die Sicherheitsregeln für Datenbank mit den firmenweiten Security-Policies in Einklang bringen;
-
klare und formalisierte Datenbank-Sicherheitsregeln formulieren;
-
einen strikt rollenbasierten Zugang zu Datenbanken etablieren;
-
weitergehende Sicherheitsmaßnahmen wie Verschlüsselung, Datenbank-Auditing, Monitoring und Schwachstellen-Analysen für alle kritischen Datenbanken mit persönlichen Daten einführen.
Nur so lässt sich die missbräuchliche Nutzung sensibler Daten verhindern, sagt der Forrester-Experte. "Alle Unternehmen nutzen Datenbanksysteme heute, um sensible Informationen zu speichern. Nur ein einziger erfolgreicher Angriff auf kritische Daten wie Kreditkarten- oder Finanzinformationen kann einen immensen Schaden für ein Unternehmen bedeuten - egal ob groß oder klein". Datenbanken sind laut Yuhanna vorrangiges Ziel von Attacken, weil sie die wertvollsten Informationen enthalten und leichte Angriffsziele sind - wenn nicht sie nicht mit größter Sorgfalt geschützt werden.
"Triple-A" reicht nicht
Die Gefahr für ihre Daten ist den meisten Verantwortlichen durchaus bewusst: Nach der Forrester-Untersuchung "Research/TechTarget Global Database Management" aus dem vergangenen Jahr waren für 90 Prozent der Befragten Sicherheitsfunktionen schon bei der Anschaffung eines DBMS (Data Base Management System) entscheidend. Mehr als die Hälfte der Teilnehmer (58 Prozent) betrachten das Einhalten der besonderen Sicherheitsanforderungen für persönliche Daten als "Herausforderung". Dennoch hatten nur gut 20 Prozent der Datenbankverantwortlichen Sicherheitsmechanismen implementiert, die nennenswert über "Triple A" hinausgehen. "Die anderen bleiben ein einfaches Ziel für Hacker-Attacken", konstatiert Analyst Yuhanna.
Hinzu kommt, dass viele Angriffe ohne Vorwarnung und vollkommen unbemerkt erfolgen. "Wir haben vor kurzem den Datenbank-Administrator eines großen Einzelhändlers interviewt. Er berichtete von einem Einbruch in eine Datenbank mit sensiblen Firmeninformationen, wobei persönliche Daten entwendet wurden. Der Einbruch in das System blieb 45 Tage lang unentdeckt", sagt Yuhanna.
Gefahr von innen
Bei dem bisher größten Datendiebstahl in der US-Geschichte hat ein Mann aus Florida gestanden, mehr als 170 Millionen Kreditkartendaten von großen amerikanischen Einzelhändlern wie Sports Authority, OfficeMax und and Barnes & Noble gestohlen zu haben. Er nutzte verschiedene Techniken, um Sicherheitslücken auszuspähen und in die Datenbanksysteme einzudringen. Doch nicht nur auf Angriffe von außen müssen sich Unternehmen einstellen: Nicht selten sind es die eigenen Mitarbeiter, die lasche Sicherheitsvorkehrungen ausnutzen, um sich unberechtigt Zugang zu sensiblen Daten zu verschaffen.
"Auch Datenbanksysteme, die mit erweiterten Sicherheitsvorkehrungen ausgestattet sind, bleiben ein vorrangiges Ziel von internen und externen Attacken. Aber es sind die schlecht gesicherten Systeme, die den Angriffen zuerst zum Opfer fallen", sagt Yuhannan. Deshalb zahle es sich für Unternehmen allemal aus, eine umfassende Datenbanksicherheits-Strategie zu entwickeln und zu implementieren: "Angreifer werden immer neue Wege finden, in Datenbanken einzubrechen. Unternehmen müssen deshalb alle denkbaren Maßnahmen ergreifen, um ihre Datenbestände umfassend und proaktiv zu schützen. Datenbank-Sicherheit ist letzte Verteidigungslinie gegen Angriffe auf sensible Unternehmensdaten."