Datenbanken immer noch nicht genügend gesichert
Sentrigo: Lehren aus den Hacker-Angriffen der Vergangenheit ziehen
Es ist nun drei Jahre her, seit Details der legendären Hacker-Attacke bei T.J. Maxx veröffentlicht wurden. Slavik Markovich, CTO und Mitbegründer von Sentrigo, Inc., zieht Bilanz darüber, wie sich Datensicherheit verbessert hat und welche Herausforderungen immer noch zu lösen sind.
Was hat sich verbessert: Größere Aufmerksamkeit beim Auditing von Datenbanken – Durch den
T.J.-Maxx-Hacker-Angriff haben die Verantwortlichen erkannt, dass sie sich schlichtweg nicht auf
hauptsächlich defensive Sicherheitsbereiche oder eine Minimalüberprüfung der Datenbanken verlassen
können. Statt sich ausschließlich auf Prozessverbesserungen zu konzentrieren wie Hintergrund-Checks
bei privilegierten Nutzern, periodische Risikobeurteilungen etc. achten Firmen nun auf die
Datenbank selbst und bewerten deren Sicherheitslevel.
Es wird nicht länger nur ein ‚Ja‘ akzeptiert – Früher fragten Führungskräfte ihre IT-Manager
„Sind unsere Daten sicher?“ Die antworteten dann: „Ja, wir haben die Informationen alle in einer
Datenbank, die ist sicher“. Das war meist das Ende der Besprechung und alle gingen ihrer Wege
darauf vertrauend, ihre Daten seien geschützt und alle hätten gebührende Sorgfalt walten lassen.
Die Firmen schauen heute wesentlich genauer auf die Sicherheit der Datenbanken selbst. Daraus
resultiert, dass IT-Sicherheitsfachleute mehr und mehr über das Bedrohungspotenzial wissen, dem
Datenbanken ausgesetzt sind. Es wird mehr überwacht und Schwachstellenanalyse betrieben, was den
Firmen einen besseren Überblick über deren gegenwärtige Sicherheitslage gibt. Jedoch befasst man
sich nicht immer sofort mit den entdeckten Schwachstellen, was jedoch ein Schlüsselfaktor ist.
Bessere Prüfungen: Immer mehr Unternehmen haben irgendeine Form eines Prüfungsprozesses
eingeführt. Sie sind in der Lage, Protokolle nach Anzeichen für Datenmissbrauch zu durchsuchen.
Jedoch ist dieser Prozess an sich reaktiv. „Während es ein großartiges forensisches Hilfsmittel
ist, herauszufinden, dass jemand letzten Monat eingebrochen ist und auf alle Kreditkartentabellen
zugegriffen hat, hilft das den Betrugsopfern heute herzlich wenig“ sagt Markovich. „Zumindest aber
kann es helfen herauszufinden, wie groß das Ausmaß des Hacker-Angriffs war, aber die Kosten für die
Beseitigung des Schadens können schnell eskalieren.
Was immer noch getan werden muss: Unglücklicherweise haben viele Unternehmen immer noch nicht
genug aus dem TJ-Max-Datenmissbrauchsfall gelernt oder nicht die notwendigen Maßnahmen dahingehend
getroffen, ihre Datenbanken und sensiblen Informationen zu schützen. Missbrauch sowohl im eigenen
Unternehmen als auch Hacker-Angriffe, bei denen unerlaubt auf persönliche und sensible
Informationen zugegriffen wird, passieren nach wie vor jeden Tag.
Patches sind nicht auf dem aktuellen Stand – Neue Zero-Day-Attacken sind nur ein Teil der
externen Bedrohungen, die nach wie vor bestehen. Viele Unternehmen installieren die vom Hersteller
zur Verfügung gestellten Patches nicht oder zu spät. Dadurch haben Hacker leichtes Spiel, die
bekannten Schwachstellen auszunutzen. Sie setzen dabei automatisierte Programme ein, mit denen sie
auf sensible Daten zugreifen können. „Unternehmen müssen unbedingt größere Sorgfalt walten lassen
und die verfügbaren Patches umgehend installieren. Wenn das aus bestimmten Gründen nicht geht, etwa
weil kein Zeitfenster für die Downtime der Datenbank vorhanden ist, müssen sie wenigstens eine Art
Ersatzkontrolle wie virtuelle Patches einsetzen und Warnhinweise einrichten, wenn die Datenbank von
außen gescannt wird,“ erklärt Markovich.
Die richtige Lösung einführen – Die heutigen Möglichkeiten sind so weit entwickelt, dass die
Probleme die es bisher gab, hätten verhindert werden können. Nur ein geringer Prozentsatz der
Vorfälle ist auf Zero-Day-Attacken zurückzuführen. Trotzdem hätten viele dieser Attacken abgewehrt
werden können, wären wirkungsvolle Sicherheitslösungen für Datenbanken implementiert worden, die
mit Techniken wie „Real Time Intrusion Prevention“ und Verschlüsselung arbeiten. Die Mehrzahl der
Datenbankverletzungen ist darauf zurückzuführen, dass bekannte Schwachstellen ausgenutzt werden
oder privilegierter Zugang missbraucht wird. Und genau das können die technisch ausgereifteren
Lösungen zum Datenbank-Activity-Monitoring unterbinden.
Die Einhaltung von Richtlinien bedeutet nicht gleich Sicherheit – Unternehmen haken häufig
einfach ihre Compliance-Richtlinien ab und unterhalten dabei nicht gerade ein hohes Maß an
Sicherheit. SQL-Injection ist hierbei der gefährlichste Angriffspunkt. Ohne die richtige Technik
und Prozeduren wachsen die Kosten für den verheerenden Schaden und dessen Beseitigung enorm.
"Es ist zwingend erforderlich, dass Unternehmen gleichermaßen den Fokus darauf legen, sowohl die
Sicherheitsrichtlinien einzuhalten, als auch ihre sensiblen Daten zu schützen. Dieses Umdenken wird
dafür sorgen, dass die Zahl der Bedrohungen, Schwachstellen und Datenmissbrauchsfälle allgemein,
die den Unternehmen so zu schaffen macht, deutlich zurückgeht" gibt Markovich zu bedenken und fährt
fort: "Während einige vorausdenkende Firmen seit dem T.J.-Max-Vorfall ausgereiftere
Datenbank-Sicherheitslösungen eingeführt haben, sind andere nach wie vor durch die gleichen
Attacken verwundbar, was die jüngsten Vorfälle beweisen. Unternehmen sollten den Jahrestag dieses
katastrophalen Angriffs nutzen, um einen objektiven Blick auf ihre eigene Sicherheitslage zu werfen
und die kostengünstigen Lösungen, die es auf dem Markt gibt, auch einzusetzen. Ansonsten könnte
eine großangelegter verheerender Hacker-Angriff kurzfristig bevorstehen."
LANline/jos
Lesen Sie mehr zum Thema
