Loading...
Blogs & Stories

Trustwave-Blog

Der Trustwave-Blog versetzt Fachleute für Informationssicherheit in die Lage, durch Expertenwissen, das aktuelle Themen, Trends und Herausforderungen behandelt und Best Practices definiert, ihre Möglichkeiten weiter zu verbessern.

Die zehn Prinzipien der Datenbanksicherheit

Die besten Methoden, um Hackern einen Schritt voraus zu sein und Ihre kritischen Daten zu sichern

In der heutigen digitalen Wirtschaft sind Daten für Unternehmen sehr wichtig. In den letzten Jahren ist der Schutz sensibler Daten aber immer schwieriger geworden. Dies liegt nicht nur an der Zunahme des Datenvolumens oder der steigenden Anzahl von Bedrohungen – sondern auch daran, dass Unternehmen im Zuge der Digitalisierung immer mehr Daten und IT-Infrastruktur in eine Mischung aus privaten und öffentlichen Clouds verlagern. Das heutige Unternehmen ist oft eine Multi-Cloud- oder Hybrid-Umgebung, in der Mitarbeiter remote zahlreiche Cloud-basierte Anwendungen und Services für die Zusammenarbeit nutzen.

Mit anderen Worten: Herkömmliche Ansätze der Cybersecurity, die sich auf Netzwerk- und Parametersicherheit konzentrieren, sind nicht mehr ausreichend. Unternehmen müssen deshalb einen neuen, datenzentrierten Sicherheitsansatz verfolgen. Dieser sollte sich auf den Schutz sensibler Daten konzentrieren, unabhängig vom Speicherort.

Wir haben mit Mark Trinidad, Senior Product Manager bei Trustwave, darüber gesprochen, wie sich die Database Security verändert hat und wie Unternehmen einen besseren Ansatz zum Schutz sensibler Daten entwickeln können.

Wie hat sich die Sicherheit von Datenbanken in den letzten Jahren verändert?

Der Schwerpunkt liegt jetzt auf der Sicherheit von Daten selbst – unabhängig davon, wo sie gespeichert sind – und nicht mehr auf der Sicherung von Datenbanken in einem Netzwerk. Dieser Trend begann vor einigen Jahren mit der Einführung von Datenschutz- und Sicherheitsbestimmungen wie der Datenschutz-Grundverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA). Diese veranlassten dazu, anders über Daten, die im gesamten Unternehmen verwendet und mit Partnern ausgetauscht werden, und deren Sicherheit zu denken. Damals fokussierten sich Unternehmen stark auf die Einhaltung der Vorschriften. Aktuell geht der Fokus jedoch über bloße Compliance hinaus: Viele Unternehmen verlagern ihre Daten Pandemie-bedingt in eine Cloud. Dass Daten unabhängig vom Speicherort und von der Zugriffsart sicher sind, wurde dadurch jüngst ebenso wichtig.

Selbst heute noch ist die überwiegende Mehrheit sensibler Unternehmens- oder Kundendaten in Datenbanken gespeichert – vor Ort, in einer Cloud, einer strukturierten SQL-Datenbank, einer NoSQL-Datenbank oder sogar einem Data Lake. Da immer mehr Unternehmen ihre Datenbanken in eine Cloud verlagern, reicht die Perimeter-Security nicht mehr aus. Sie müssen einen stärker datenzentrierten Ansatz verfolgen, unabhängig vom Speicherort. Aus diesem Grund ist Database Security bei der Cloud-Migration von Unternehmen sehr wichtig geworden. Sie müssen den optimalen und sichersten Zeitpunkt für die Verlagerung ihrer Daten aus den herkömmlichen, lokalen Datenbanken in die Cloud abwägen. Die Datenbanksicherheit sowie der Bezug zu anderen Richtlinien und Strategien für Cybersecurity und Infrastruktur sind somit heutzutage ein wichtiges Thema für Unternehmen.

Was sind die größten Risiken für Unternehmen bei der Datenbanksicherheit?

Um diese Risiken zu verstehen, muss man sich nur kurz mit den nahezu täglichen Schlagzeilen massiver Datenschutzverletzungen und dadurch entstandener Schäden für Unternehmen und Einzelpersonen beschäftigen. Unabhängig davon, wie Cyberkriminelle in den Besitz der Daten gelangt sind, beginnt alles mit einer Datenbank. Selbst wenn die Datenschutzverletzung das Ergebnis einer durchgesickerten Kalkulationstabelle oder E-Mail war, befinden sich diese sensiblen Daten immer noch in einer Datenbank in der Unternehmensumgebung.

Da immer mehr Unternehmen in eine Cloud migrieren, geben sich viele einem falschen Sicherheits-gefühl hin. Allzu oft glaubt man, dass Daten dort sicher sein müssen, weil öffentliche Cloud-Provider wie AWS, Microsoft Azure und Google einige Security-Features bieten. Letztlich ist aber jeder selbst der Verwalter seiner Daten. Security- und IT-Experten müssen sicherstellen, dass alle Sicherheitsvorkehrungen nicht nur aktiviert, sondern auch richtig konfiguriert sind – egal, ob sich die Daten vor Ort oder in einer Cloud befinden. Einige Hacker nutzen Botnets, um ausschließlich nach falsch konfigurierten öffentlichen Cloud-Datenbanken zu suchen, die sie ausnutzen können. Zahlreiche Vorfälle haben gezeigt, wie leicht eine Fehlkonfiguration in der Cloud ein klaffendes Loch hinterlassen kann, durch das ein Angreifer eindringen kann. Dies kann ein sehr kostspieliger Fehler sein.

Was sollten Unternehmen in der heutigen Bedrohungslage für ein starkes Database Security-Programm tun?

Ein optimaler Ansatz für Datenbanksicherheit kann nicht in einem Vakuum existieren. Er muss neben den relevanten Personen aus den Bereichen IT und Infrastruktur auch das Security-Team miteinbeziehen. Denn ein starkes Programm wirkt sich nicht nur auf die Datenbanksicherheit aus, sondern auch auf das Personal, die IT-Infrastruktur, den Geschäftsbetrieb, die Anwendungsintegrität, das Risiko, die Compliance, die Datenbankverwaltung und vieles mehr. Es muss Einigkeit bestehen, dass die Database Security priorisiert sein muss.

Darüber hinaus umfasst die Entwicklung einer starken Datenbanksicherheit folgende Schritte:

  1. Beschreiben Sie den idealen Ansatz detailliert mit umsetzbaren Prozessen.
  2. Schaffen Sie durch Erkennung und Inventarisierung der Datenbank einen Ausgangspunkt.
  3. Definieren Sie Standards und Richtlinien für Security und Compliance.
  4. Bewerten Sie Schwachstellen und Konfigurationen.
  5. Identifizieren Sie übermäßig privilegierte Benutzerkonten.
  6. Implementieren Sie Kontrollen für Risikominderung und -kompensation.
  7. Legen Sie akzeptable Richtlinien für User und Aktivitäten fest.
  8. Prüfen Sie das Verhalten privilegierter User in Echtzeit.
  9. Stellen Sie Richtlinien-basierte Aktivitätsüberwachung bereit.
  10. Erkennen, warnen und beantworten Sie Verletzungen von Richtlinien in Echtzeit.

Technologie allein wird das Risiko einer Kompromittierung Ihrer Datenbank nicht reduzieren. Wir empfehlen Unternehmen, ein umfassendes Programm für Datenbanksicherheit zu erstellen. Dieses sollte Menschen, Prozesse und Technologien in einem vernetzten System mit kontinuierlicher Bewertung einbinden, wie in dieser Grafik dargestellt:

Bedrohungen und Geschäfte verändern sich andauernd. Cyberkriminelle greifen aus jeder Richtung an, Perimeter verschwinden. Im Kern muss ein Security-Programm die Daten eines Unternehmens schützen – unabhängig davon, wo sie sich befinden oder mit welcher Methode ein Angreifer in das Unternehmen eindringt. Wenn es heutzutage um Cybersecurity geht, muss ein datenzentrierter Ansatz von höchster Priorität sein. Alte, netzwerkbasierte Perimeter-Security gehört der Vergangenheit an.


WHITE PAPER

10 Principles of Database Security Program Design

To read the full whitepaper on “10 Principles of Database Security Design,” along with step-by-step checklists to follow and detailed best practices for creating a comprehensive database security program.

Download The Guide Here