Oftmals zählen nur drei bis sieben Prozent aller gespeicherten Daten zu den „Kronjuwelen“ einer Firma. So nennt man die Daten, die für ein Unternehmen überlebenswichtig sind. Diese hochsensiblen Daten – meistens im Bereich Innovation und Trägertechnologien angesiedelt – sind die Lebensversicherung eines Unternehmens und aus diesem Grund begehrt. Diese gilt es, zu identifizieren und um jeden Preis zu schützen.
In den SIG Security und SIG Database Backup & Recovery, am 7. und 8. September in Leipzig, haben Franz Hüll, DOAG-Vorstandsmitglied und Leiter der SIG Security, und Christian Trieb, stellvertretender Vorstandsvorsitzender der DOAG, Oracle ACE und Leiter der SIG Database, diverse Aspekte dieser komplexen Thematik unter die Lupe genommen. Für Interessierte, die beiden Veranstaltungen nicht beiwohnen konnten, hat die DOAG die zwei Tage zusammengefasst.
SIG Security - Teil 1
Jedes Sicherheitssystem kann umgangen werden. Dies meint jedenfalls Alexander Kornbrust von der Red Database Security GmbH in seinem Vortrag über Forensik. Seine Erfahrung habe gezeigt, dass Angreifer meistens von Innen kommen. Oftmals nehmen es Mitarbeiter mit dem Datenschutz nicht so erst. Neugier hat schon mal den einen oder anderen dazu gebracht, zu erforschen, was denn der Chef verdient. Das ist ein Verstoß gegen das Bundesdatenschutzgesetzt und strafbar. Doch wen kümmert es?
Das kriminelle Potential von den eigenen Mitarbeitern sollten Unternehmer und CIOs nicht unterschätzen. Besonders IT-versierte Mitarbeiter tendierten dazu, wenn sie das Unternehmen verlassen, Daten mitzunehmen. Dann gibt es auch noch die „Spielkinder“ – diese Mitarbeiter, die ohne böse Absichten Hacker-Tools oder Hintertüren gegen die Produktion anwenden. Einfach so aus Spaß, weil sie es schon immer mal ausprobieren wollten. Erst dann kommen die externen Hacker, die organisierte Kriminalität und die Geheimdienste. Dabei seien Hacker oftmals gut erkennbar, weil sie sich immer besonders coole Benutzernamen vergeben, wie etwa HappyHacker.
Geheimdienste hingegen verwenden oft die größte Schwachstelle eines Unternehmens: Ihre Mitarbeiter. Ob Naivität, Auskunftsfreudigkeit, persönliche Enttäuschungen und Ressentiments oder sogar Stolz und Patriotismus – es gibt für einen Mitarbeiter viele Gründe, eine Information weiterzugeben, die er geheim halten sollte.
Während des Kalten Krieges praktizierten Regierungen Spionage hauptsächlich aus politischen Gründen. Inzwischen hat sich das Interesse verlagert: Regierungen betreiben zunehmend Industriespionage und konzentrieren sich immer mehr auf Gebiete der Wirtschaft, Wissenschaft und Technik. Dies betrifft vor allem die Branche der regenerativen Energien, die Informations- und Kommunikationstechnik und die Rüstungsindustrie. In diesem Bereich sind die aktivsten Länder die Volksrepublik China und die Russische Föderation, sagt Andrea Müller vom Bundesamt für Verfassungsschutz (BfV) in ihrem Vortrag zur Wirtschaftsspionage.
Besonders Russland gehe laut Müller dieser Aktivität sehr offensiv nach, was unter anderem daran liegt, dass die Beschaffung von Informationen in der russischen Verfassung verankert ist. Der damalige Ministerpräsident Wladimir Putin sagte 2007 in einer Rede: „Unser Nachrichtendienst muss seine Anstrengungen verstärken, um die russische Wirtschaft und die Interessen russischer Unternehmen im Ausland aktiver zu unterstützen.“
Der Aufwand, den diese Länder zur Beschaffung von Wirtschaftsgeheimnissen betreiben, ist manchmal beachtlich: Nachrichtendienstoffiziere werden in diplomatische Mission geschickt oder in Medienorgane eingeschleust. Manchmal gründen Nachrichtendienste sogar Tarnunternehmen, die sich dann mit verlockenden Aufträgen an Firmen wenden, die im Besitz vom wertvollen Wissens sind. Sollte ein Nachrichtenoffizier in die Firma eingeladen werden, macht er womöglich eine Besichtigung des Firmengeländes, die er nutzt um Maschinen unter allen Blickwinkeln abzufotografieren oder sich auf dem Weg zur Toilette in den Serverraum zu verirren.
Die Nachrichtendienste nutzen auch sogenannte Non-Professionals – Studenten, Praktikanten, Gastprofessoren, die sich nur für eine begrenzte Zeit in Deutschland aufhalten und aufgrund ihrer Position an Informationen herankommen. Diese Methode wendet China gern an: „Der Patriotismus ist in China so stark, dass diese Leute nicht mal unter Druck gesetzt werden müssen“, meint Müller.
Natürlich nimmt auch die elektronische Wirtschaftsspionage zu. Ein Großteil der Angriffe erfolgt über E-Mails, die Trojaner im Anhang, in einem verlinkten Dokument oder verlinkter Webseite enthalten. Der Absender ist dabei absolut unauffällig: Meistens handelt es sich um eine nur leicht gefälschte E-Mail-Adresse etwa von einem wohlbekannten Partner oder Mitarbeiter, die nur ein Underscore mehr beinhaltet. Kaum sichtbar, wenn man nicht aufpasst. Der Inhalt ist auf die Person zugeschnitten, die die E-Mail aufmachen soll: Es sind faktische Ausschreibungen, produkt- oder geschäftsbezogene Texte. Es wird alles unternommen, um das Interesse zu wecken. Gegen diese Art der Wirtschaftsspionage hilft nur eins: Aufmerksamkeit. Deswegen ist die Öffentlichkeitsarbeit der Bundesbehörde besonders wichtig.
Im Datenbank-Bereich sind die Gefahren jedoch nicht auf E-Mails begrenzt. Die Möglichkeiten, an Informationen heranzukommen sind vielfältiger und Hacker zeigen oftmals viel Kreativität. Eine Option, um seine Daten zu schützen, ist in diesem Zusammenhang die Verschlüsselung. Die SFNT Germany GmbH bietet mit einer Reihe von Hardware-Sicherheitsmodulen (HSM), die Datenbankadministratoren ermöglichen, die verschlüsselten Daten von der eigentlichen Kryptografie zu trennen. Der Master Key wird bei diesem Ansatz in ein Stück Hardware abgelegt. Im Banking-Bereich sowie in Behörden sei es bereits eine beliebte Methode, sagt der Referent Andreas Gatz von SFNT Germany.
Weiter besteht die Möglichkeit, nur eine Spalte zu verschlüsseln, was im Falle eines Audits die Arbeit erleichtere, da die sensiblen Daten dann nicht mehr im Wege stünden. Für ein Stück mehr Sicherheit gibt es die Technologie der Tokenization, mit der sensible Daten durch eine Art Alias, ein so genanntes Token, ersetzt werden. Die sensiblen Daten werden dann offshore gespeichert. Dieses Verfahren ist besonders geeignet für kurze Daten wie Kreditkarten- oder Sozialversicherungsnummern.
Natürlich kann man sich gegen Angriffe schützen. Doch jedes Sicherheitssystem kann umgangen werden und Hilfe bekommen die Hacker ganz einfach im Internet. „Google ist dein Freund“, meint Kornbrust. Da fände man nämlich alles an Informationen, was man so braucht, um einen solchen Angriff durchzuführen. Das Gute ist: Angreifer hinterlassen Spuren. Kornbrust hat sich in seinem Vortrag auf forensische Daten konzentriert, die auch ohne Einschaltung des Auditings vorhanden sind. Es sind Listener.log, Tabellen, Redo Logs oder Datenbank-Blöcke.
Beispiele für typische Spuren sind der Missbrauch von Kennungen, das Erraten von Passwörter oder Benutzernamen, der Export einer Datenbank oder eines Schemas sowie die Verwendung von nicht-autorisierten Programmen oder Anwendungen. Wer zum Beispiel in der Spalte sqltext der Tabelle sys.wrh$_sqltext einen Insert oder Delete in einer User-Session vorfindet, hat vielleicht eine heiße Spur. Ähnlich interessant ist die Spalte Icount in sys.user$: Ist die Anzahl von ungültigen Login-Versuchen in dieser Spalte besonders hoch oder wurde nach einem gültigen Login das Passwort zurückgesetzt, ist zu vermuten, dass ein Angriff stattgefunden hat.
Schwierig sei herauszufinden, wann und wo Daten manipuliert worden sind. Wenn man interessante Spuren gefunden hat, ist es dann einfach. Sobald der Zeitpunkt feststeht, können
per logminer die ausgeführten Kommandos gefunden werden. Deswegen ist das Erstellen einer Timeline (auch „Bauertrick“ genannt) ein triviales, aber nützliches Mittel, um Spuren nachzugehen.
Wer die Unterstützung von einer Software-Lösung haben möchte, kann ein Database Activity Monitoring einsetzen. Für Thomas Drews und Eckard Bogner von Imperva Inc. ist es wichtig, die gespeicherten Daten nach Wichtigkeit einzustufen. Ihre Lösung, Imperva SecureSphere Database Monitoring ermöglicht, durch netzwerkbasierte Scans Assets zu finden und neu auszuweisen. So kann eine Datenklassifizierung stattfinden. Die Software erkennt auch Schwachstellen und ermöglicht ein zentrales Management der Risiken. Auch das Erfassen und die Analyse der Berechtigungen werden mit der Lösung einfacher. Zusätzlich zu der Rechtevergabe erkennt Imperva auch den physischen Nutzer, der sich über eine Applikation einloggt.
Eine ähnliche Lösung bietet IBM mit seinem IBM InfoSphere Guardium Database Security. Die Datenbanküberwachung erfolgt in Echtzeit und ermöglicht nicht nur die Protokollierung eines Events, sondern auch eine aktive Zugriffsbeschränkung in Echtzeit, betont Holger Seubert von IBM Deutschland GmbH.
Die Software von McAfee Database Activity Monitoring funktioniert ähnlich. Im Gegensatz zu Anti-Virus-Programmen, die auf Blacklists basieren, funktioniert die Datenbanklösung auf dynamischem Whitelisting, das definiert, welche Programme aufgeführt werden sollten. Mit der Lösung haben Datenbankadministratoren zudem die Möglichkeit, mit der Installation von Patches zu warten und das Virtual Patching zu nutzen. So können sie ihr System vor bekannten oder Zero-Day-Schwachstellen ohne Downtime oder Änderungen im Code schützen.
Natürlich hat auch Oracle ein entsprechendes Produkt: Die Oracle Database Firewall ist überwacht Datenbank-Aktivitäten auf dem Netzwerk in Echtzeit. Die Besonderheit der Lösung ist laut Suvad Sahovic von Oracle Deutschland B.V. & Co. KG ihre hochpräzise SQL-basierte Grammatik. „Die Engine versteht SQL-Sprache“, meint der Referent, was ihr ermögliche, nicht autorisierte Transaktionen zu blockieren, bevor der Angriff die Datenbank erreicht.
Wenngleich diese Lösungen die Arbeit eines Datenbankadministrators erleichtern können, sind sie kein Wundermittel. Hacker überlegen sich immer wieder neue Wege, um an Daten heranzukommen. Deswegen muss die Sicherheit an der Basis gewehrleistet werden, meint Müller. Darüber hinaus sei es besonders wichtig, die eigenen Mitarbeiter für diese Thematik zu sensibilisieren. Welche Daten müssen besonders geschützt werden? Welche Mitarbeiter dürfen darauf zugreifen? Welche Mitarbeiter greifen tatsächlich darauf zu? Dies sind die Kernfragen, die ins Sicherheitskonzept einfließen sollen. Dass ein strenges Sicherheitskonzept in der Praxis negative Auswirklungen haben kann, kommentiert Müller so: „Sicherheit kostet meistens Bequemlichkeit“.
