Die fast tägliche Berichterstattung über Datendiebstähle und andere IT-Sicherheitsprobleme fordern Fachleute auf, sich immer wieder aufs Neue um die Sicherheit der eigenen IT-Systeme zu bemühen. Auch die Liste der Gesetze, Verordnungen und Richtlinien zum Thema Sicherheit wird umfangreicher. Wir sehen uns drei zentrale Security-Themen an.
Die nächste größere Änderung steht den deutschen Unternehmen wahrscheinlich schon im Mai ins Haus: Manche Unternehmen sollen verpflichtet werden, ihre IT so wirkungsvoll zu schützen, dass die Versorgung der Bevölkerung in Krisenfällen gewährleistet werden kann. Das betrifft Organisationen, die zur sogenannten kritischen Infrastruktur (KIS) gehören, und in den Sektoren der Energie, Nahrung oder Transportmitteln tätig sind.
Keine Sicherheit ohne Verschlüsselung gespeicherter Daten
Der Einsatz der lizenzpflichtigen Option Advanced Security (ASO) der Enterprise Edition der Oracle-Datenbank erlaubt die Verschlüsselung von:
- Tabellenspalten
- ganzer Tablespaces, ohne dazu Anwendungen verändern zu müssen
- von Backups mit RMAN
- von Dumpdateien, die mit Oracle Data Pump erzeugt werden.
Die Verschlüsselung von Daten in der Datenbank mit ASO erreicht dabei ein höheres Sicherheitsniveau als die Verschlüsselung ganzer Festplatten über spezielle Hard-oder Software. Denn der Zugriff auf die in der Datenbank mit ASO verschlüsselten Daten erfordert einen Zugang zur Datenbank und die entsprechenden Objektprivilegien. Dagegen kann jeder, der Zugriff auf das Betriebssystem einer verschlüsselten Festplatte hat, die in der Datenbank gespeicherten Daten über Betriebssystemkommandos auslesen - zum Beispiel ganz einfach über den UNIX / Linux Befehl strings.
Keine Sicherheit ohne sichere Anwendungen
Rechte und Rollen sind auch in der neuen Datenbankversion ein herausragendes Mittel, die Sicherheit von Daten zu gewährleisten. Bestehende Konzepte sind erweitert und differenziert worden. Andererseits sind völlig neue Möglichkeiten – zum Beispiel im Bereich Data Redaction – hinzugekommen. Auch Anwendungen, die mit dem neuen Datenbank-Release entwickelt werden, können also erheblich davon profitieren.
Keine Security ohne Nachweisbarkeit
Oracle Database 12c führt das Auditing, das sich zu einem Wildwuchs von Möglichkeiten und Speicherformen entwickelt hatte, auf eine einheitliche Vorgehensweise zurück. Das neue Auditing wird deshalb auch als unified auditing bezeichnet. Das Auditieren mit dem unified auditing ist unabhängig von Initialisierungsparametern. Es ist vergleichbar mit dem bekannten Fine Grained Auditing (FGA), wird also über Regeln (policies) gesteuert. Außerdem ist das Auditing performanter geworden und unterstützt zusätzlich SQL*Loader, Data Pump und RMAN. Der Bereich Nachweisbarkeit und Security ist aber ohne einen Blick auf Oracle Audit Vault and Database Firewall (AVDF) unvollständig.
