Bei uns sind Daten sicher aufbewahrt! Wirklich? Datenbanksicherheit ist nicht gleich Datensicherheit

Transkript

1 Bei uns sind Daten sicher aufbewahrt! Wirklich? Datenbanksicherheit ist nicht gleich Datensicherheit

2 Agenda Vorstellung Warum muss ich Daten schützen? Datensicherheit vs. Datenbanksicherheit Wie kann ich die Daten schützen?

3 Agenda Vorstellung Warum muss ich Daten schützen? Datensicherheit vs. Datenbanksicherheit Wie kann ich die Daten schützen?

4 Vorstellung Sebastian Kilchert Spezialist für Daten- & Datenbanksicherheit >10 Jahre Datenbankerfahrung Spezialgebiete: Zertifizierungen: Datenbanksicherheit, Datenschutz, Hochverfügbarkeit, Oracle & SAP-Architektur Oracle OCA & OCP 10g / 11g / 12c Datenschutzbeauftragter (TÜV) CompTIA Security+ Certified Ethical Hacker (CEH)

5 Agenda Vorstellung Warum muss ich Daten schützen? Datensicherheit vs. Datenbanksicherheit Wie kann ich die Daten schützen?

6 Warum muss ich Daten schützen?

7 Warum muss ich Daten schützen? Informationen/Daten werden immer kostbarer Geschäftskritische Daten oft in Datenbanken enthalten (z.b. Abschlüsse mit Lieferanten etc.) Personenbezogene Daten fast immer in Datenbanken zu finden (z.b. Name, IP-Adressen, Alter, Konto, etc.) Andere Daten - Verfügbarkeit von Services / Beeinträchtigung der Verfügbarkeit durch Performanceengpässe (z.b. Shops, Portale etc.) Ruf der Firma/Behörde oder einer Marke Pflichten nach Gesetzen, Richtlinien oder Industriestandards

8 Warum muss ich Daten schützen? Applikationsbetrieb, Risiken Risiken der Webapplikationen, als auch SAP-Plattformen werden oft unterschätzt 75 % schätzen eine vorliegende Infektion der z.b. SAP-Systeme als sehr/wahrscheinlich ein Uneinigkeit über Verantwortung der System-Sicherheit 25 % haben überhaupt keinen Verantwortlichen Die Applikation als Einstiegspunkt, um Daten aus den Datenbanken abzugreifen. Ein Activity Monitoring kann hier unterstützend wirken!

9 Warum muss ich Daten schützen? Das Problem vieler Firmen und Organisation Wer sollte uns denn hacken/angreifen wollen? Unsere Daten sind für andere nicht von Interesse! Wir vertrauen unseren Mitarbeitern bedingungslos! Unsere Netzwerkfirewall stoppt doch die meisten Angriffe! Ein eventuelles Audit haben wir doch bestanden! Wir haben doch Usernamen/Passwort Authentisierung!

10 Warum muss ich Daten schützen? Simuliertes Wasserkraftwerk in Deutschland Kaum online schon angegriffen In ca. 8 Monaten > Mal versucht das Wasser abzudrehen Angriffe auch über Industrieprotokolle wie Modbus TCP oder S7Comm vom TÜV SÜD simuliert Kleinanlagenbetreiber sind unmittelbar gefährdet Realistisch Gefährdungslage einschätzen Daten/System klassifizieren Wirkungsvolle Schutzmaßnahmen

11 Warum muss ich Daten schützen? Die Top 10 der Datenbankbedrohungen 1. Missbrauch übermäßiger und legitimierter Berechtigungen 2. Missbräuchliche Berechtigungserweiterung 3. Ausnutzen von Schwachstellen, aufgrund von fehlerhaft konfigurierten oder nicht gepatchen Datenbanken 4. SQL-Injection (Unzureichende Webapplikationssicherheit) 5. Unzureichendes Security-Monitoring 6. Nicht geschützte Speichermedien (Exporte, Backups, Datenfiles, etc.) 7. Schwachstellen im Kommunikationsprotokoll der Datenbank 8. Keine Überwachung von kritischen (sensitive) Daten 9. Denial of Service 10. Unzureichendes Sicherheitsbewusstsein

12 Agenda Vorstellung Warum muss ich Daten schützen? Datensicherheit vs. Datenbanksicherheit Wie kann ich die Daten schützen?

13 Datensicherheit vs. Datenbanksicherheit Datensicherheit Datenbanksicherheit Schutz der kritischen und schützenswerten Daten innerhalb und außerhalb der Datenbank gegen Gefährdungen der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit Schutz der Datenbank oder des Datenbankservers gegen Gefährdungen der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit z.b. Zugriffs- & Änderungskontrolle, Verschlüsselung, Benutzer- & Rollenkonzepte u.v.m. z.b. Zugriffskontrolle, Authentifizierung, Verschlüsselung, Konsistenzprüfungen, Backup der Datenbank, RAC, Data Guard, u.v.m.

14 Datensicherheit vs. Datenbanksicherheit Wie teilt sich Datensicherheit und Datenbanksicherheit auf? Patching und Absicherung der Datenbank ~ 40 % Datenbanksicherheit Zugriff auf Daten, User, Rechte, Konfiguration ~ 60 % Datensicherheit

15 Datensicherheit vs. Datenbanksicherheit Maßgebliche Sicherheitsprobleme in Datenbanken Standardinstallation des Herstellers verwendet Zu viele Software Features installiert Standard / Default Schemas vorhanden Schlechte Passwörter Standards, Password = User, zu kurze oder leicht zu erratene Passwörter Kein Auditing/Protokollierung Standard Konfiguration Schlechtes oder keine Rechte-Konzept Es wird nicht das Prinzip minimal Rechte angewendet DBAs nutzen geteilte Benutzerkonten (z.b. SYS, SYSTEM) Datenbanken können aus dem gesamten Firmennetz erreicht und angesprochen werden Kein Konzept für die Bereitstellung von Testumgebungen (Automatismen, Datenano-/ Pseudonymisierung

16 Datensicherheit vs. Datenbanksicherheit Gib es auch Sicherheitsprobleme mit Daten? Wo stehen Ihre Daten eigentlich?

17 Datensicherheit vs. Datenbanksicherheit Wo fängt die Sicherheit der Daten an? Organisation Datenbank Betriebssystem Netzwerk Applikationen Clients

18 SGA PGA Datensicherheit vs. Datenbanksicherheit Wo sind überall Daten? Datenbankserver Client-Anwendung Applikationsserver Datenfile Dumps, Traces, Logs, Cache, Jobs Dumps, Traces, Logs, Cache, Jobs Selects DMLs Redolog Archivelog Undo Seg. Test Exporte, Kopien, DB-LINKS, Backups Temp Flashback Audit Tracefiles Logfiles Tabelle Index Index Entwicklung HA-Systeme...

19 Datensicherheit vs. Datenbanksicherheit Funktionierende Applikation Sicherheitsmaßnahmen

20 Agenda Vorstellung Warum muss ich Daten schützen? Datensicherheit vs. Datenbanksicherheit Wie kann ich die Daten schützen?

21 Wie kann ich Daten schützen? TOP 5 der organisatorischen Aufgaben 1. Sicherheit ist Chefsache 2. Erstellung einer Sicherheitsrichtlinie für Datenbanken (z.b. Basisschutz / Erweiterter Schutz) 3. Klassifizierung der Systeme (nicht SLA) Personenbezogene Daten, geschäftskritische Daten/Systeme (Verfügbarkeit) 4. Entscheidung auf Basis der Klassifizierung, für weitere Security-Maßmaßnahmen 5. Gewährleistung einer Nachvollziehbarkeit

22 Wie kann ich Daten schützen? Technische Maßnahmen Installation und Nutzung nur der zwingend notwendigen Komponenten Durchdachtes Benutzer und Passwortmanagement Standardbenutzer und nicht verwendete Benutzer sperren und Passwort ändern. Unterschiedliche Profile für unterschiedliche Benutzergruppen Minimale Vergabe von Rechten(Privilegien) Passwortprüfung auf Länge, Komplexität und Gültigkeit Einsatz persönlicher DBA-Userkonten z.b. DBA_<ADNAME> Rechte (Grants) von Public weitestgehend entfernen! Minimale Vergabe von Rechten(Privilegien) z.b. ANY, DBA, Select, Read, etc. Direktzugriffe an die Datenbank beschränken > Applikation & DBAs

23 Wie kann ich Daten schützen? Technische Maßnahmen Netzwerkkommunikation zwischen Clients und Datenbank verschlüsseln Nach Patches alte Dateien entfernen (ggf. alle Rechte entziehen) Passwörter nicht im Klartext in Skripten und Konfigurationsdateien auf dem OS speichern Regelmäßiges Patchen Patchmanagement Wie gehe ich mit kritischen Patchen um? Überwachung des Konfigurationsstatus Umsetzung von Anforderungen Ggf. Datenverschlüsselung Protokollierung Schulung der Mitarbeiter und Kollegen und weitere notwendige Maßnahmen je nach Organisation

24 Wo waren Ihre Daten nochmal gespeichert?

25 Q & A