ORACLE SECURITY IN DER PRAXIS

Transkript

1 carsten MÜTZLITZ ORACLE SECURITY IN DER PRAXIS VOLLSTÄNDIGE SICHERHEITS- ÜBERPRÜFUNG FÜR IHRE ORACLE-DATENBANK EXTRA: Mit kostenlosem E-Book Im Internet: Skripte und Tools im Downloadbereich von Hanser

2 2 Einführung aussetzen, wobei normale Datenbanken lediglich die Mindestsicherheit, also z. B. den Unternehmensstandard, erfüllen sollten. Bei der Sicherheitsüberprüfung stehen Bedrohungen und daraus abgeleitete Risiken im Vordergrund. Sei es eine falsche Konfiguration, schlechter Umgang mit wichtigen Privilegien oder Ähnliches. Diese Bedrohungen und die damit verbundenen Risiken können aufgezeigt werden, doch der Umgang mit diesen Risiken liegt immer bei dem entsprechenden Betrachter. Wird also ein Risiko erkannt, existieren in der Regel Lösungen (wie z. B. das Setzen eines zusätzlichen Parameters), die dieses Risiko abschwächen bzw. vollständig auflösen. Inwieweit das Risiko nun abgeschwächt werden muss oder nicht, ist die Entscheidung des Betrachters und wird nicht in diesem Buch entschieden. Das Buch konzentriert sich auf das Auffinden von Risiken. Ob ein Datenbankbetreiber mit dem Risiko leben kann oder eine Lösung implementieren will, liegt in der Verantwortung des Betreibers. Ich hoffe aber sehr, dass viele der vorgestellten Konzepte implementiert werden, denn wie gesagt, es geht um unsere Daten. Letztlich ist die Entscheidung zur Umsetzung einer Lösung für mehr Sicherheit meist abhängig vom Aufwand und den Kosten. Typischerweise nutzt man hier die Überlegung, dass eine Maßnahme zur Risikoabschwächung bei einem angemessenen Verhältnis von Kosten zu Aufwand implementiert werden sollte. Ein etwaiges Restrisiko ist denkbar, wird aber akzeptiert. Bild 2.1 verdeutlicht das. Ein gutes Verhältnis von Kosten- und Risikominimierung wäre genau der Schnittpunkt der Kurven Kosten und Risiko. Dieser Schnittpunkt kann in der Regel Folgendes aussagen: Mit einem vernünftigen Investment (Kosten und/oder Aufwand) wurde ein bestehendes Risiko für das Eintreffen einer Bedrohung so weit abgesenkt, dass zwar noch ein Restrisiko besteht, doch mit diesem Restrisiko kann man gut umgehen. Risiko Hoch Wie findet man diesen Bereich? Geringe Kosten, hohes Risiko Gering Bild 2.1 Risiko- und Kostenabschätzung Bild 2.1 Hohe Kosten, geringes Risiko Kosten Hoch 7

3

4 3 Grundlagen zur IT-Sicherheit bei Datenbanken In der IT-Sicherheit werden Eigenschaften von informationsverarbeitenden Systemen wie Datenbanken beschrieben, die die Vertraulichkeit, Verfügbarkeit, Integrität und gegebenenfalls die Verbindlichkeit des IT-Systems garantieren bzw. sicherstellen. Bei diesen Eigenschaften handelt es sich um Konzepte, die vorhandene oder erweiterte Funktionen eines IT-Systems nutzen, um ein Höchstmaß an Sicherheit zu gewährleisten. Letztendlich sollen dadurch Schäden vermieden und Risiken minimiert werden. Als Beispiel lässt sich der Schutz vor einem eventuellen Ausfall anführen. Eine diesbezügliche Maßnahme zum Schutz vor Ausfall könnte eine redundante Bereitstellung der Systemkomponenten sein. In Bezug auf die Datenbank wäre dies ein produktives Datenbanksystem und eine Standby-Datenbank, die den Betrieb automatisch übernimmt, sobald die produktive Datenbank nicht mehr zur Verfügung steht, weil beispielsweise die Festplattenkapazität nicht mehr ausreicht oder Wartungsarbeiten an dem produktiven Datenbanksystem stattfinden (geplante und nicht geplante Ausfallzeit). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) trifft in seinem definierten IT-Grundschutz eine ganz wichtige Aussage:... Informationssicherheit ist eine grundlegende und prozessübergreifende Anforderung an Institutionen. Das Ziel von Informationssicherheit ist es, Unternehmen vor Schäden zu schützen, nicht nur einzelne Rechner. Daher ist ein ganzheitlicher Ansatz unabdingbar... 1 Diese wichtige Aussage zeigt, dass IT-Sicherheit in seiner Gesamtheit behandelt werden muss. Die eigentliche Datenbanksicherheit kann nur einen, dafür aber überaus wichtigen Teilbereich abbilden. 3.1 Die vier Grundbedrohungen Gefahren wie beispielsweise unerlaubte Zugriffe, Zerstörung von Rechnern und Anwen dungen werden in der IT-Sicherheit in vier wesentliche Bedrohungen aufgeteilt (siehe Bild 3.1): 1 BSI, Überblick IT-Grundschutz, Seite 7, Grundschutz/Download/UberblickGrundschutz.pdf

5 10 3 Grundlagen zur IT-Sicherheit bei Datenbanken Verlust der Vertraulichkeit Der Benutzerkreis, für den eine digitale Information gedacht ist, wird unerlaubterweise aufgebrochen. Als Beispiel der Bedrohung lässt sich der Einsatz von Netzwerk-Sniffern nennen, die in der Lage sind, den Netzwerkverkehr mitzulesen. Technische Gegenmaßnahmen sind eine Zugriffskontrolle und Verschlüsselung. Verlust der Integrität Es kann eine unautorisierte Modifikation von Informationen stattfinden. Die Integrität fordert aber die Unversehrtheit der Daten. Wenn also von einer Datenbank der Wert an die Anwendung gesendet wird, soll auch ein Wert in der Anwendung ankommen. Technische Gegenmaßnahmen sind in der Regel eine Prüfsummenbildung (MD-5, SHA-1, SHA-2) für die Kommunikation bzw. Datenspeicherung. Auch das Erkennen von korrupten Daten ist in diesem Zusammenhang wichtig, also der nicht exakt übereinstimmende Zustand der Daten im Speicher (RAM) und auf der Festplatte. Verlust der Verfügbarkeit Es besteht die Befürchtung, dass Systeme beispielsweise durch mutwillige Zerstörung (Bombenanschlag) oder gezielte digitale Angriffe wie Denial of Service-Attacken2 lahm gelegt werden. Technische Gegenmaßnahmen sind der Ausbau von Hochverfügbarkeits- Grundbedrohungen der IT sind nach wie vor gegeben Vorbemerkungen Verlust der Vertraulichkeit Netzverkehr abhören (sniffer attacks) Knacken kryptografischer Schlüssel und Verfahren (code breaking/key recovery) Angriffe auf Kennwörter (password guessing/cracking) Falsches Rechtekonzept Verarbeitungs-, Übertragungsund Speicherfehler Manipulation von Daten, z. B. durch spoofing attacks: IP spoofing (IP fälschen) DNS spoofing (Fälschung von DNS-Einträgen) Web spoofing (Fälschen von Webseiten) Verlust der Integrität Verlust der Verfügbarkeit Mobile Internet Computing Teleworking Unternehmensnetz Unternehmensnetz BYOD Schlagwörter, die als Bedrohung eingestuft werden, sind: Hacker, Fremdpersonal, eigenes Personal, Fehler, Ausfälle, Fernwartung Wirtschaftsspionage u.v.m. Ausfall Zerstörung Unterbrechung von Diensten (Denial of Service) durch: Ping of death ICMP attacks SYN flooding etc. Rechtsverbindlichkeit elektronisch abgeschlossener Verträge wie z.b. per Fax, Electronic Commerce Gesetzesauflagen Risikofrüherkennung Authentizitätscheck (Who) Verlust der Verbindlichkeit Eine Überwachung ist notwendig, um zu erkennen, ob eine Grundbedrohung ein Risiko darstellt. Bild 3.1 Bild 3.1 Typische Grundbedrohungen in der IT 2 Massive Angriffe auf Systeme mit dem Ziel, diese lahmzulegen

6 3.2 Bedrohungs- und Risikoanalyse 11 konzepten wie der Aufbau von Sicherungsmaßnahmen und Standby-Systemen, aber auch notwendige Performancemaßnahmen und intelligente Konzepte im Umgang mit den Daten. Verlust der Verbindlichkeit Diese Grundbedrohung spielt in der Regel nur im digitalen Geschäftsverkehr eine Rolle. Sie zielt eher auf die Einhaltung von Anforderungen aus dem Signaturgesetz oder dem digitalen Einkauf ab. Die Gefahr ist, dass jemand vorgibt, eine andere Person zu sein. Technische Gegenmaßnahmen sind sichere digitale Signaturen entsprechend dem Signaturgesetz Bedrohungs- und Risikoanalyse Bevor mit der Implementierung von Maßnahmen zur Erhöhung der Sicherheit begonnen wird, sollten das Risiko und die damit verbundenen Bedrohungen des IT-Systems bekannt sein. Typischerweise stufen Anwendungs-Owner ihre Systeme entsprechend einer Datenklassifikation ein und bestimmen über diese gleichzeitig den Schutzbedarf. In der IT-Sicherheit hat sich zur Datenklassifizierung der Ansatz der sogenannten CIA- Triade durchgesetzt (Bild 3.2). C steht für Confidentiality also die Vertraulichkeit, I steht für die Integrität und A steht für Availability, also die Verfügbarkeit. Für jeden Bereich wird eine Bewertungsskala von 1 bis 3 genutzt, wobei 1 = Gering und 3 = Hoch bedeutet. Mit diesen drei Bereichen lassen sich Systeme sehr einfach bewerten und deren Schutzbedarf ableiten. Hierzu ein Beispiel: In einem Unternehmen befindet sich ein System, welches das Rezept für ein sehr populäres braunes Getränk speichert. Dieses System ist völlig unabhängig von anderen Systemen und nur für die sichere Speicherung des Rezepts vorgesehen. Der Business-Owner dieses Systems bewertet das System nach CIA wie folgt: Vertraulichkeit = Hoch (C3) Integrität = Hoch (I3) Verfügbarkeit = Gering (A1) Somit würde ein Datenbankverantwortlicher vermutlich folgende Sicherheitsmaßnahmen ableiten und diese implementieren: Die Anwendung bekommt ein sauberes Zugriffs- und Berechtigungskonzept. Der Netzwerkverkehr sowie die Daten im System werden verschlüsselt. Es wird eine saubere Gewaltenteilung implementiert, so dass gewährleistet ist, dass nur die berechtigten Personen Zugriff auf das Rezept bekommen und nicht etwa die Administratoren. Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz SigG) siehe 3