Über unsMediaKontaktImpressum
[Sponsored Interview] 03. Dezember 2019

Datenbanksicherheit – Vom offenen Scheunentor zur Datenfestung

Von Social Engineering über Dumpster Diving bis zu Ransomware. Hacker haben unzählige Methoden entwickelt, an Daten, Passwörter und Systeme zu kommen. Und ähnlich zahlreich sind die Methoden, sich vor Angriffen zu schützen. Wir sprachen vor unseren IT-Tagen mit Andreas Hoffmann, Portfoliomanager IT-Security bei der its-people GmbH, über das Gefährdungspotential und mögliche Schutzmaßnahmen.

Informatik Aktuell: Im Rahmen der IT-Tage, der Jahreskonferenz der Informatik Aktuell, halten Sie einen Workshop zum Thema "Datenbanksicherheit – Vom offenen Scheunentor zur Datenfestung". Welche sind Ihrer Erfahrung nach die häufigsten Probleme im Umfeld der Datenbanksicherheit?

Andreas Hoffmann: Die häufigsten Probleme im Umfeld der Datenbanksicherheit ähneln denen in anderen Bereichen der IT. In der Regel erfolgt die Authentifizierung der Benutzer über Passwörter. Hier besteht die typische Spannung zwischen sicheren und praktikablen – das heißt leicht zu merkenden – Passwörtern. Nicht selten werden Passwörter auch zwischen mehreren Benutzern geteilt, obwohl dies, aufgrund der damit verbundenen Probleme, generell nicht zu empfehlen ist. Dazu kommt unsicherer Code, den Menschen programmiert haben. Im Prinzip wird es immer dort gefährlich, wo Menschen und ihr (vorhandenes oder nicht vorhandenes) Know-how, Problembewusstsein und die Bequemlichkeit ins Spiel kommen.

Informatik Aktuell: Datenbanken sind das Herz der meisten Anwendungen. Gleich ob Konto-Informationen, Kreditkarten-Daten, personenbezogene Daten – all diese Daten sind ja äußerst sensibel. Sie werden aber meist in professionellen Datenbanksystemen gespeichert, von denen man erwarten können sollte, dass sie zuverlässig und sicher sind. Ist das so? Oder gibt es auch hier Möglichkeiten, unberechtigt auf die Daten zuzugreifen?

Andreas Hoffmann: Es gibt immer die Möglichkeit, unberechtigt auf fremde Daten zuzugreifen. Als erfolgversprechendste Methode für Angreifer gilt mittlerweile das Social Engineering. Man erschleicht sich relevante Informationen in scheinbar harmloser Kommunikation – vom Smalltalk in der Kaffeeküche über vorgetäuschte Telefonate bis zu pseudoseriösen E-Mails. Informationen wie Geburtsdaten, Wohnorte, Namen der Frau/Kinder/Haustiere liegen den meisten Menschen leichter auf der Zunge als man meint. Und erfahrungsgemäß werden auch genau solche Informationen häufig in Passwörtern verwendet.

Speziell bei Datenbanken, die ihre Daten über ein Webinterface zur Verfügung stellen – egal ob im Intranet oder Internet – gibt es aber auch die Methode der SQL-Injection. Hier wird die weit verbreitete Programmierpraxis ausgenutzt, dass eingegebene Werte direkt in SQL-Statements zur Ermittlung der anzuzeigenden Daten o. ä. eingebaut werden. Das bietet Angreifern allerlei interessante Möglichkeiten, wie wir auch in unserem Workshop zeigen werden.

Informatik Aktuell: Auf welche Weise verschaffen sich Hacker Zugriff?

Andreas Hoffmann: Die Methode des Social Engineering hatte ich schon erwähnt. Eine ähnlich gelagerte Methode ist das Dumpster Diving, also das "tauchen" im fremden Papierkorb. Der gibt oft allerlei Informationen preis. Versuchen Sie das doch einmal in Ihrem eigenen Papierkorb unter dem Schreibtisch. Wieviele eigentlich vertrauliche Informationen haben Sie hier entsorgt? Wieviele Details über sich selbst und Ihre Arbeit finden Sie dort wieder? Hätten Sie diese Informationen auch weitergegeben, wenn Sie von einem Fremden danach gefragt worden wären?

Darüber hinaus sind schwache Passwörter zu nennen, die erraten oder über Brute-Force-Attacken ermittelt werden können, sowie mangelndes Patchmanagement, das heißt das zeitnahe Einspielen von Updates.

Informatik Aktuell: Was sind das für Leute, die so etwas tun? Und was machen sie mit den Daten?

Andreas Hoffmann: Ich fürchte, dass sich die Welt der Hacker immer mehr professionalisiert und kommerzialisiert. War es früher oft eine Art Sport, in fremde Systeme einzubrechen, oder manchmal auch persönlich motiviert (Rache am Ex-Arbeitgeber), so spielen heute fast ausschließlich finanzielle Gewinnabsichten eine Rolle. Zugangsdaten, Kreditkartendaten, das lässt sich alles im Darknet zu Geld machen. Ober man verwendet die Zugangsdaten gleich selbst, um z. B. ein Botnetz für weitere Straftaten aufzubauen.

Informatik Aktuell: Können Sie spektakuläre Zwischenfälle nennen? Wie sahen diese konkret aus?

Andreas Hoffmann: Die spektakulärsten Zwischenfälle der letzten Jahre betrafen sogenannte Ransomware. Das ist Schadsoftware, die, einmal eingedrungen, die Daten und Dokumente auf den befallenen Systemen verschlüsselt und die Entschlüsselung erst nach einer Lösegeldzahlung wieder ermöglicht. Die bekanntesten Namen sind WannaCry (im Wesentlichen entschärft, weil die Software eine Art Notausschalter enthält, der gefunden wurde) und Emotet, der aktuell sein Unwesen treibt. Prominente Opfer der jüngeren Zeit sind das Berliner Kammergericht und die Humboldt-Universität. Auch der Heise-Verlag, selbst ein Vorreiter im Kampf um IT-Sicherheit, blieb nicht verschont.

Typischerweise reicht bei Emotet die Aktivierung von Macros in einem verseuchten Word- oder Excel-Mailanhang aus, um die Infektion zu starten. Die Qualität der Mails, die gerade bei Emotet auch Antworten auf tatsächlich versendete Mails an echte Geschäftspartner enthält, hat eine neue Stufe erreicht. Für Mitarbeiter ohne besondere Schulung und ohne etablierte Sicherheitsmaßnahmen im Unternehmen ist es praktisch unmöglich, einen Angriffsversuch zu erkennen und angemessen darauf zu reagieren.

Wenn die Mail einmal in der Inbox ist, hat sie die meisten Abwehrmauern hinter sich.

Informatik Aktuell: Wieviele Unternehmen sind von solchen Angriffen betroffen?

Andreas Hoffmann: Möchten Sie meine ehrliche Meinung hören? Alle. Die Frage ist nicht, ob es ein Angreifer bis in Ihre Systeme geschafft hat. Die Frage ist, ob Sie ihn schon entdeckt haben!

Informatik Aktuell: Welche Möglichkeiten gibt es denn, sich dagegen zuverlässig abzusichern?

Andreas Hoffmann: Zum einen: halten Sie immer alle Softwarestände aktuell. Wenn es in Ihrem Unternehmen noch nicht existiert: richten Sie ein Patch-Management-System ein, dass Ihnen erlaubt, neue Patches schnellstens zu testen und auf alle relevanten Systeme auszurollen. Gründliche Tests sind notwendig, denn es kann vorkommen, dass ein Patch Ihr System außer Kraft setzt. Stellen Sie schon vorher relevante Tests zusammen, die durchlaufen werden müssen. Das spart im Ernstfall Zeit. Regeln Sie die Kommunikationswege und Freigaben.

Zum anderen: sorgen Sie bei Ihren Mitarbeitern für die nötige Awareness. Wenn die Mail mit dem Schadcode erst einmal in der Inbox des Mitarbeiters ist, hat sie die meisten Abwehrmauern möglicherweise schon hinter sich. Aufmerksame und misstrauische Mitarbeiter sind dann Ihr stärkster Schutz. Schulen Sie Ihre Mitarbeiter. Machen Sie sie auf die Gefahren aufmerksam und machen Sie ihnen klar, dass ein falscher Klick im schlimmsten Fall die Existenz des gesamten Unternehmens aufs Spiel setzt.

Informatik Aktuell: Was kann man tun, wenn der Worst Case dann eingetreten ist?

Andreas Hoffmann: Wenn die Daten erstmal verschlüsselt oder sonstwie in der Hand des Angreifers sind, dann ist, wie man so schön sagt, das Kind in den Brunnen gefallen. Man kann verschiedene Dinge tun, aber das muss vorher erledigt sein.

Zum einen sollten sie Backups anlegen. Ein Beispiel: Für mein Arbeitsnotebook, ein MacBook Pro, welches für mich von essentieller Bedeutung ist, habe ich drei unabhängige Backups in Betrieb. Diese sichern verschiedene Risiken ab:

  • Time Machine sichert auf eine lokale USB-Platte, für die versehentlich gelöschte Datei zwischendurch.
  • ARQ sichert die Dateien offsite (also in der Cloud), damit im Falle eines Brandes oder Diebstahls nicht gleich Daten und Backup weg sind.
  • Carbon Copy Cloner erstellt mir in Monatsabständen ein bootfähiges Image meines Notebooks. Diese Images ziehe ich im monatlichen Wechsel auf zwei separate USB-Platten, die offline gelagert werden. Damit habe ich zwar ältere Backups, von denen aber hoffentlich noch eines "sauber" ist, wenn ich eine Infektion erst mit Zeitverzögerung feststelle.

Prüfen Sie für Ihre Systeme, welche Risiken abzusichern sind und richten Sie entsprechende Sicherungen ein. Das wird auf größeren Systemen in Unternehmen natürlich etwas anders aussehen als auf meinem Notebook. Aber schnelle Hilfe, offsite und offline, sind eigentlich immer gute Stichworte.

Zum anderen kann man auch die Hilfe eines externen Dienstleisters in Anspruch nehmen. Unser Partner Nextron Systems ist weltweit führend im Bereich der Hacker Detection. Zigtausende handgeschriebene und -optimierte Regeln untersuchen das Zielsystem und bewerten die Funde nach einem ausgeklügelten Punktesystem auf ihr Gefährdungspotential hin. Die Nextron-Software kann sowohl on demand auf einem Einzelsystem als auch regelmäßig auf ganzen Systemlandschaften mit zentralen Steuer- und Berichtsservern eingesetzt werden.

Mal ganz plakativ: Wenn die Nextron-Software zum Beispiel eine ausführbare Datei mit einem merkwürdigen Dateinamen (a.exe) im Temp-Verzeichnis entdeckt, dann sollten Sie sehr vorsichtig sein.

Die Nextron-Software nimmt selbst keine Veränderungen an Ihren Systemen vor. Sie protokolliert und bewertet nur die Änderungen. Wenn Sie aufgrund einer diagnostizierten Bedrohungslage Hilfe bei der Logfileanalyse benötigen, unterstützen its-people und Nextron Systems Sie gerne mit fachlicher Expertise. Nehmen Sie einfach umgehend Kontakt zu uns auf. Für spezielle Fragen zu diesem Thema ist Nextron übrigens auch bei den IT-Tagen im Dezember in unserem Workshop und am Stand von its-people vertreten.

Nehmen Sie gerne einfach Kontakt zu uns auf:

Mail: info@~@its-people.de
Tel: 06103 – 999 2020

Informatik Aktuell: Welche weitere Entwicklung erwarten Sie im Rahmen der Datensicherheit gerade in Bezug auf Datenbanken?

Andreas Hoffmann: Die Flaggschiffe unter den relationalen Datenbanken (Oracle, Microsoft) sind gar nicht so schlecht aufgestellt. Eine breite Userbase sorgt für umfangreiches Feedback bezüglich Sicherheitslücken und die großen Kapazitäten der Hersteller erlauben schnelle und umfangreiche Versorgung mit Patches. Schwierig sind – wie schon erwähnt – prinzipiell alle Themen, bei denen Menschen involviert sind.

Interessant wird es sein, die Entwicklung bei anderen Datenbanken zu beobachten, die sich immer mehr als Alternative zu den Etablierten in Stellung bringen. Angefangen bei MySQL und MariaDB sind hier etwa PostgreSQL und SQLite zu nennen, aber auch die zunehmend vom relationalen Datenmodell weggehenden Architekturen (Stichwort NoSQL). Zumindest Postgres, MySQL und MariaDB sind hier auf einem sehr guten Weg.

Informatik Aktuell: Herzlichen Dank für das Gespräch!

Im Interview

Andreas Hoffmann

Andreas Hoffmann ist IT-Experte für Design und Implementierung in komplexen Data-Warehouse- und Business-Intelligence-Umfeldern. Er ist its-people-Mitglied der ersten Stunde und Gründungsmitglied der its-people Hochtaunus GmbH.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben