Können und Dürfen. Sicherheitsaspekte in Data-Warehouse-Systemen

Transkript

1 Semesterarbeit Können und Dürfen Sicherheitsaspekte in Data-Warehouse-Systemen Semesterarbeit im Fach Data-Warehouse-Systeme im Fachbereich Wirtschaftswissenschaften II im Masterstudiengang Wirtschaftsinformatik der Hochschule für Technik und Wirtschaft Berlin vorgelegt von: Mathias Slawik WEN: Aristotelessteig Berlin Matrikel-Nr.: Betreuer: Peter Morcinek Abgabetermin:

2 Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung Sicherheitsaspekte in Data-Warehouse-Systemen Anforderungskategorien von Sicherheitsaspekten Grundsätzliche Eigenschaften von DWH-Sicherheitsaspekten Primäre und sekundäre Sicherheitsaspekte Entitäten innerhalb von DWH-Systemen Primäre technische Aspekte Zugriffskontrolle Sekundäre technische Aspekte (Auswahl) Zugriffsüberwachung Kryptographie Softwareschutz Organisatorische Aspekte IT-Security Management Rechtliche Aspekte Datenschutz Compliance Lösungsansätze für Zugriffskontrollsysteme Oracle RDBMS Microsoft SQL Server MySQL Entwicklung eines MySQL-Zugriffskontrollsystems Szenario Datenbankschema der Beispieldatenbank Aufgabenstellung II

3 Abbildungsverzeichnis 4.4 Implementierung des MySQL-Zugriffskontrollsystems Einrichtung der Arbeitsumgebung Import der Beispieldatenbank Einführung von Sicherheitsdeskriptoren Versehen der Kundendaten mit Sicherheitsdeskriptoren Versehen der Mitarbeiterdaten mit Sicherheitsdeskriptoren Anlegen der customers_view Anlegen der orders_view Anlegen der Mitarbeiter als Benutzer des Systems Nachweis der Funktionalität Fazit Abbildungsverzeichnis Abbildung 1 - CIA-Dreieck... 2 Abbildung 2 Überblick Sicherheitsaspekte in DWH-Systemen... 5 Abbildung 3 - Übersicht Oracle Label Security Abbildung 4 - Datenbankschema der BIRT Beispieldatenbank III

4 Einleitung 1 Einleitung Data-Warehouse-Systeme stellen in vielen Unternehmen wichtige und integrale Systeme dar. 1 Analog anderen betrieblichen Informationssystemen besteht neben ihrem offensichtlichen Nutzen eine Vielzahl an Sicherheitsaspekten, die Beachtung finden müssen sowohl auf technischer, organisatorischer, wie auf rechtlicher Ebene. Ein Data Warehouse enthält zudem einen inhärenten Sicherheitskonflikt: Security is another one of those black holes of the DW/BI systems 2 Auf der einen Seite wird durch ETL-Prozesse der Zugriff auf im gesamten Unternehmen verteilte Datenquellen erheblich vereinfacht. Auf der anderen Seite entstehen durch diese Zusammenführung riesige Datenmengen mit teilweise hochsensiblen Daten, deren Vertraulichkeit gesichert und die nach rechtlichen Vorgaben, wie bspw. denen des Datenschutzes verarbeitet werden müssen. Weiterhin bilden die Daten eines Data Warehouse für ein Unternehmen die Grundlage teils kritischer Entscheidungen. Fehlerhafte oder manipulierte Daten haben so Auswirkung auf die gesamte Unternehmung. Daher kommt dem Aspekt Datenintegrität eine hohe Bedeutung zu. Diese Arbeit soll einige der in Data-Warehouse-Systemen auftretenden Sicherheitsaspekte beschreiben und die Implementation eines auf Open Source-Software basierenden Zugriffskontrollsystems beschreiben. Zur Einführung seien hier drei beispielhafte Aussagen zu nennen, die allesamt die Bedeutung dieser Arbeit herausstellen: Eine kritische Betrachtung der Sicherheitsproblematik [von DWH-Systemen] ist [ ] unabdingbar 4 11 percent of employees reported that they or fellow employees accessed unauthorized information and sold it for profit (Gabriel, 2006 S. 440) 2 (Priebe, et al., 2004 S. 1) 3 (Mundy, et al., 2006 S. 499) 4 (Priebe, et al., 2004 S. 4) 5 (Cisco Systems Inc., 2008c) 1

5 Sicherheitsaspekte in Data-Warehouse-Systemen 2 Sicherheitsaspekte in Data-Warehouse-Systemen 2.1 Anforderungskategorien von Sicherheitsaspekten Es ist zu erkennen, dass sich viele der zu beschreibenden Sicherheitsaspekte in drei Anforderungskategorien unterteilen lassen 6, die auch als CIA-Dreieck bezeichnet werden: 7 Vertraulichkeit DWH Integrität Verfügbarkeit Abbildung 1 - CIA-Dreieck 8 Vertraulichkeit (Confidentiality) Vertraulichkeit bezieht sich auf zwei verwandte Konzepte: o Daten-Vertraulichkeit (data confidentiality) Die Daten-Vertraulichkeit stellt die Nicht-Verfügbarmachung bzw. Offenlegung von privaten oder vertraulichen Daten gegenüber nicht dafür autorisierten Individuen sicher. 6 Vgl. (Gabriel, 2006 S. 442) und (Priebe, et al., 2004 S. 4) 7 Siehe (National Institute of Standards and Technology, 1995 S. 5) 8 Abgew. aus (Stallings, et al., 2008 S. 8) 2

6 Sicherheitsaspekte in Data-Warehouse-Systemen o Geheimhaltung (privacy) Geheimhaltung bedeutet, dass Individuen kontrollieren oder beeinflussen können, welche der mit Ihnen verbundenen Informationen gesammelt und gespeichert werden, von welchen Individuen dies geschieht, und welchen Individuen diese Informationen verfügbar gemacht werden. Integrität (Integrity) Integrität lässt sich in zwei Unteraspekte aufteilen: o Datenintegrität Die Datenintegrität stellt sicher, dass Informationen und Programme nur in einer festgelegten und autorisierten Art und Weise verändert werden. o Systemintegrität Systemintegrität bedeutet, dass ein System seine vorgesehene Funktionalität unbeeinträchtigt ausführt, d.h. ohne beabsichtigte oder versehentliche unautorisierte Manipulation. Verfügbarkeit (Availability) o Verfügbarkeit stellt den zeitnahen und zuverlässigen Zugriff und die Verwendbarkeit von gespeicherten Informationen sicher. Die Nichtverfügbarkeit eines Systems kann bedeuten, dass der Zugriff darauf unterbrochen oder dass gespeicherte Informationen oder das gesamte Informationssystem nicht verwendbar ist. 3

7 Sicherheitsaspekte in Data-Warehouse-Systemen Das herkömmliche CIA-Dreieck wird häufig durch zwei weitere Anforderungen ergänzt: 1. Authentizität Authentizität beschreibt die Eigenschaft von Information authentisch, überprüfbar und verlässlich zu sein. Aus Authentizität folgert sich das Vertrauen in die Echtheit einer Übertragung, einer Nachricht und in die Quelle der Nachricht. Dies bedingt Überprüfungen, ob Benutzer auch die sind, für die sie sich ausgeben und dass jedwede Eingabe in ein Informationssystem von einer vertrauenswürdigen Quelle stammt. 2. Verbindlichkeit Verbindlichkeit ist die Anforderung an ein System, dass jedwede Aktion einer Entität eindeutig dieser Entität zugeordnet werden kann. Dies unterstützt die Unleugbarkeit einer Aktion, Abschreckung, Fehleranalyse, IDS, die Verhinderung von derartigen Aktionen, die Wiederherstellung und rechtliche Schritte. 2.2 Grundsätzliche Eigenschaften von DWH-Sicherheitsaspekten Ein DWH ist mit sehr vielen betrieblichen Informationssystemen verknüpft. Die Verknüpfungen bestehen in der einen Richtung aus den Datenflüssen von den Quellsystemen über den ETL-Prozess in das DWH. Auf der anderen Seite werden durch das DWH Informationen gewonnen, die dann zur Entscheidungsfindung, Entscheidungsunterstützung, zum Data-Mining oder für andere Zwecke verwendet werden. Diese große Anzahl Verknüpfungen bedingt eine erhebliche Interdependenz von Sicherheitsaspekten. So kann erst dann die Integrität, Vertraulichkeit, Verfügbarkeit, Authentizität und Verbindlichkeit des DWH gesichert sein, wenn diese Anforderungen auch durch alle mit dem DWH verbundenen Systemen befriedigt werden. Dies geschieht durch Beachtung von technischen Sicherheitsaspekten, wie Zugriffskontrolle, Zugriffsüberwachung und weiteren Aspekten. Um die Befriedigung aller Sicherheitsaspekte durch alle mit einem DWH verbundenen Systeme zu gewährleisten, müssen organisatorische Sicherheitsaspekte beachtet werden. So sorgt z.b. ein übergreifendes Sicherheitsmanagement für die systematische Behandlung aller auftretenden Gefährdungen. 4

8 Sicherheitsaspekte in Data-Warehouse-Systemen Die beteiligten Systeme und der Zusammenhang zwischen technischen und organisatorischen Sicherheitsaspekten wird in folgender Grafik dargestellt: Abbildung 2 Überblick Sicherheitsaspekte in DWH-Systemen 9 9 Quelle: eigene Darstellung 5

9 Sicherheitsaspekte in Data-Warehouse-Systemen 2.3 Primäre und sekundäre Sicherheitsaspekte Während der Bearbeitung des Themas hat sich herausgestellt, dass die Beschäftigung mit Sicherheitsaspekten von DWH oftmals nicht systematisch geschieht, bzw. häufig der Fokus auf einzelne Lösungen gelegt wird, anstatt das Thema ganzheitlich zu betrachten. Um eine Systematisierung in der Frage zu erzielen, habe ich die Sicherheitsaspekte in zwei Kategorien aufgeteilt: 1. Primäre Sicherheitsaspekte Die primären Sicherheitsaspekte sind größtenteils genuin bezüglich DWH. Das bedeutet, dass sie eine gesonderte Beachtung erfahren müssen, da sie sich aufgrund ihrer Einzigartigkeit (bezogen auf DWH) nicht mit herkömmlichen Lösungen bearbeiten lassen. 2. Sekundäre Sicherheitsaspekte Die sekundären Sicherheitsaspekte wirken sich überwiegend mittelbar auf DWH aus oder sind generisch bezüglich betrieblicher Informationssysteme. Sie erfahren in der Fachliteratur und im betrieblichen Alltag hinreichende Beachtung. Daher wird in dieser Arbeit nicht ausführlich auf sie eingegangen. Die Sicherheit von DWH-Systemen kann nur dann gewährleistet sein, wenn alle (primären und sekundären) Sicherheitsaspekte Beachtung finden. Dies lässt sich in einem einfachen Satz zusammenfassen: Keine Kette ist stärker als ihr schwächstes Glied Entitäten innerhalb von DWH-Systemen In einem DWH bestehen Wechselwirkungen zwischen verschiedenen Entitäten. Im Folgenden sollen die Wichtigsten aufgezählt und auf die in ihrem Zusammenhang bestehenden Sicherheitsaspekte eingegangen werden: 1. Die Data-Warehouse-Datenbank Die Data-Warehouse-Datenbank ist das Herz eines DWH-Systems. Auf sie wirken primäre Sicherheitsaspekte, da sie in ihrer Ausgestaltung gegenüber anderen Datenbanken gewisse Alleinstellungsmerkmale besitzt. 10 Volksmund 6

10 Sicherheitsaspekte in Data-Warehouse-Systemen Der wichtigste technische Sicherheitsaspekt ist die Zugriffskontrolle. Da die Daten in (relationalen) Data-Warehouse-Datenbanken denormalisiert vorliegen, greifen herkömmliche Datenbank-, Tabellen- oder Spaltenbasierte Zugriffskontrollen nicht. Es muss daher eine besondere Art der Zugriffskontrolle implementiert werden, um die primären Sicherheitsaspekte der Data- Warehouse-Datenbank zu beachten. 2. Das Data-Warehouse-DBMS Das Data-Warehouse-DBMS verwaltet die Data-Warehouse-Datenbank. Es existieren spezielle DWH-DBMS, auf die aufgrund ihrer Einzigartigkeit primäre Sicherheitsaspekte wirken. Auch muss der primäre Sicherheitsaspekt der Zugriffskontrolle durch das DBMS gewährleistet sein. Daher können einige Sicherheitsaspekte von DWH-DBMS auch als primär angesehen werden. Jedoch ist die überwiegende Anzahl von Sicherheitsaspekten von DBMS, gerade bei Einsatz herkömmlicher RDBMS-Standardprodukte, nicht DWHspezifisch. Diese sind also als sekundär zu klassifizieren. 3. ETL-Prozess Der ETL-Prozess extrahiert Daten aus heterogenen Systemen, transformiert sie und lädt sie in das Data-Warehouse System. Als betrieblicher Prozess, dessen Eigenschaft es ist, Daten aus vielen heterogenen Quellen zu verarbeiten (so wie z.b. ESBs oder ERP-Systeme), wirken auf ihn sekundäre Sicherheitsaspekte. 4. Der ETL-Workspace Der ETL-Workspace stellt den vom ETL-Prozess benötigten Speicher für Zwischenergebnisse bereit. Der ETL-Workspace kann als physischer oder datenbankgestützter Speicher vorliegen. Über die Sicherheitsaspekte der Speicherung wirken auf ihn sekundäre Sicherheitsaspekte. 7

11 Sicherheitsaspekte in Data-Warehouse-Systemen 5. Betriebssystem Das Betriebssystem führt das DBMS aus und verwaltet die Datenbank- Dateien des DBMS. Da im Bereich von DWH keine spezialisierten DWH-Betriebssysteme Anwendung finden, wirken auf das Betriebssystem lediglich sekundäre Sicherheitsaspekte. 6. Quellsysteme Die Quellsysteme des DWH sind meist betriebliche Informationssysteme. Sicherheitsaspekte von betrieblichen Informationssystemen sind nicht genuin für DWH-Systeme, daher lassen sie sich als sekundäre Sicherheitsaspekte klassifizieren. Zusammenfassend lässt sich feststellen, dass lediglich die DWH-Datenbank und in gewissem Maße das DBMS besondere Beachtung erfahren müssen, da nur auf sie die primären Sicherheitsaspekte wirken. Alle anderen Entitäten im DWH-Umfeld stellen Instanzen generischer Informationssysteme dar. Ihre Sicherheitsaspekte sind in der Fachliteratur und in Praxi hinreichend genau untersucht und erfahren daher hier keine detaillierte Betrachtung. 2.5 Primäre technische Aspekte Im Folgenden sollen die primären technischen Aspekte von DWH-Systemen beschrieben werden Zugriffskontrolle Zugriffskontrolle entscheidet, ob der Zugang zu einer Ressource gewährt oder verweigert wird und welche Art des Zugriffs gestattet oder verweigert wird (Stallings, et al., 2008 S. 111) 8

12 Sicherheitsaspekte in Data-Warehouse-Systemen Es lassen sich grundsätzlich drei Prinzipien von Zugriffskontrolle identifizieren, die auch miteinander kombinierbar sind: Benutzerbestimmbare Zugriffskontrolle (DAC) In der benutzerbestimmbaren Zugriffskontrolle wird der Zugriff zu einer Ressource auf Basis der Identität des anfordernden Subjekts und Regeln festgelegt, die bestimmen, welche Aktionen bestimmte Subjekte durchführen können oder welche Aktionen ihnen verweigert werden. Benutzerbestimmbar bedeutet in diesem Kontext, dass ein Subjekt von sich aus Rechte inne haben kann, die es ihm ermöglichen, anderen Subjekten den Zugriff auf Ressourcen zu erlauben oder zu verweigern. 2. Zwingend erforderliche Zugriffskontrolle (MAC) Die zwingend erforderliche Zugriffskontrolle vergleicht Sicherheitsdeskriptoren mit Sicherheitsfreigaben. Sicherheitsdeskriptoren sind Ressourcen zugeordnet und geben die für den Zugriff auf sie notwendigen Berechtigungen an. So könnte ein Sicherheitsdeskriptor je nach Implementierung eine Vertraulichkeitsstufe von Dokumenten festlegen, beispielsweise streng geheim, geheim, vertraulich, öffentlich. Sicherheitsfreigaben sind einzelnen Subjekten zugeordnet und regeln beispielsweise, dass ein Subjekt die Sicherheitsstufen geheim und vertraulich lesen und schreiben, Ressourcen jedoch nicht in die Sicherheitsstufe öffentlich überführen darf. Es existieren unterschiedliche Modelle zur Umsetzung der zwingend erforderlichen Zugriffskontrolle. Meist genannt werden das Bell-LaPadula Sicherheitsmodell 13, das Biba-Modell 14 und das Lattice-Modell (Stallings, et al., 2008 S. 113) 13 (Bell, et al., 1976) 14 (Biba, 1975) 15 (Denning, 1976) 9

13 Sicherheitsaspekte in Data-Warehouse-Systemen 3. Rollenbasierte Zugriffskontrolle (RBAC) Die Rollenbasierte Zugriffskontrolle steuert den Zugriff auf Ressourcen auf Basis der Rollen eines Subjekts und der Zugriffsregeln, die diesen Rollen zugeordnet sind. Die Nutzerkontrolle befriedigt alle Bestandteile des CIA-Diagramms: 1. Vertraulichkeit Durch die Entscheidung, ob der Zugriff auf ein Datum erlaubt oder verweigert wird, können Daten unberechtigten Nutzern verborgen werden. Dadurch wird die Daten-Vertraulichkeit gewährt. 2. Integrität Indem durch die Zugriffskontrolle der schreibende Zugriff auf Daten eines DWH reguliert wird, kann sichergestellt werden, dass die Datenintegrität gewährleistet wird. 3. Verfügbarkeit Die Zugriffskontrolle stellt die Verfügbarkeit des DWH für berechtigte Nutzer sicher. Dadurch, dass die nicht berechtigten Nutzern den Zugriff auf das DWH verweigert, verhindert sie, dass die Verfügbarkeit durch unberechtigte (Schreib-)zugriffe in Mitleidenschaft gezogen wird. Die DWH-Zugriffskontrolle kann als Kombination der Zugriffskontrollen aller verbundenen Komponenten betrachtet werden, also die des Betriebssystems, des Dateisystems, des DBMS und anderen. 2.6 Sekundäre technische Aspekte (Auswahl) Zugriffsüberwachung Die Zugriffsüberwachung stellt einen wichtigen, wenn auch nicht bestimmenden Sicherheitsaspekt von DWH-Systemen dar. Durch die Überwachung der Zugriffe, der fehlgeschlagenen Authentifizierungsversuche, der Nutzung des DWH und beispielsweise des übertragenen Datenvolumens lassen sich Rückschlüsse auf eventuelle Beeinträchtigungen der anderen technischen Sicherheitsaspekte und daher der Vertraulichkeit oder Integrität des DWH ziehen. 10

14 Sicherheitsaspekte in Data-Warehouse-Systemen So könnte beispielsweise in einem durch ein Zugriffsüberwachungssystem entdeckten massiven Anstieg der übertragenen Daten durch einen DWH-Nutzer die Ausnutzung der Zugangsdaten durch unbefugte Dritte diagnostiziert werden, selbst wenn der Diebstahl der Zugangsdaten durch keine andere technische oder organisatorische Maßnahme entdeckt wird. Eine Firewall/VPN-Lösung kann ein Unternehmensnetzwerk gegen Angriffe von außen schützen. Darüber hinaus ist es durch ein Einbruchsüberwachungssystem (IDS) möglich, nach einem dennoch erfolgreichen Angriff Beeinträchtigungen in betrieblichen Informationssystemen festzustellen. Somit kann die Zugriffsüberwachung helfen, die drei CIA-Anforderungen zu erfüllen Kryptographie Die Kryptographie beschäftigt sich mit Verfahren der Verschlüsselung von Informationen. Damit einher gehen Verfahren zur sicheren Überprüfung der Authentizität von Informationen auf Basis kryptographischer Methoden. Beispielsweise kann das Betriebssystem und das DBMS durch Verschlüsselung die Vertraulichkeit der Datenbank-Dateien sicherstellen. Weiterhin können verbreitete Protokolle, wie beispielsweise TLS, für Daten-Vertraulichkeit einer Nachricht und bei einer geeigneten PKI-Infrastruktur für die Authentizität der Kommunikation mit dem DWH sorgen. Damit unterstützt die Kryptographie die Erfüllung der drei CIA-Anforderungen Softwareschutz Der Softwareschutz bezeichnet den Schutz von Betriebssystemen und Anwendungssystemen vor bösartiger Software, üblicherweise Viren, Würmer, Trojaner, Backdoor-Programme, Rootkits, Spy- und Adware. Durch den Schutz des DBMS und des Betriebssystems wird die Erfüllung der CIA- Anforderungen durch das DWH gesichert. Softwareschutz, der nicht eingebettet in die sonstigen technischen Schutzmaßnahmen ist, verliert allerdings einen Großteil seiner Wirksamkeit. 11

15 Sicherheitsaspekte in Data-Warehouse-Systemen 2.7 Organisatorische Aspekte In den vorhergehenden Kapiteln wurde bereits mehrfach darauf eingegangen, dass nur durch die systematische Beachtung aller Sicherheitsaspekte der im DWH- Kontext vorhandenen Systeme die Sicherheit des gesamten DWH gewährleistet werden kann. Diese systematische Beachtung erfolgt durch die Mittel des IT-Security Management IT-Security Management Das IT-Security Management kann als eine Sammlung von Methoden angesehen werden, welche den Einsatz von Sicherheitsmaßnahmen strukturiert. Am Anfang der Implementierung eines Security Managements stellen sich drei fundamentale Fragen: Was muss geschützt werden? 2. Welche Gefährdungen bestehen für das zu Schützende? 3. Wie kann diesen Gefährdungen begegnet werden? Diese Fragen werden in Praxi durch eine Reihe von Maßnahmen systematisch beantwortet, unter anderem: 1. Festlegung von Sicherheitszielen und einem allgemeinen Risikoprofil für die gesamte Unternehmung. 2. Untersuchung aller im Unternehmen vorhandenen Entitäten: o Gefährdungen und deren Wahrscheinlichkeit o Auswirkungen einer Gefährdung o Schritte zur Verringerung, Vermeidung oder Umgehung der Gefährdung 3. Festlegung von Maßnahmen auf Basis der Untersuchung, wie Risiken verringert, ausgeschaltet oder entschärft werden können. Durch diese systematische Behandlung aller Sicherheitsaspekte kann bei sorgfältiger Umsetzung der Methoden des Security Managements ein ganzheitlicher Ansatz gefunden werden, welcher sich auch auf das DWH-System auswirkt. 16 (Stallings, et al., 2008 S. 509) 12

16 Sicherheitsaspekte in Data-Warehouse-Systemen 2.8 Rechtliche Aspekte Über das Security Management und die getroffenen technischen Sicherheitsmaßnahmen hinausgehend gibt es noch einige rechtliche Aspekte, die bei der Betrachtung von Sicherheitsaspekten von DWH-Systemen bedacht werden müssen. Besonders hervorzuheben ist im DWH-Kontext der Datenschutz Datenschutz Datenschutz bezeichnet den Schutz des Einzelnen vor Beeinträchtigungen seines Persönlichkeitsrechts durch den Umgang mit personenbezogenen Daten. 17 Der Datenschutz wird in Deutschland im Bundesdatenschutzgesetz geregelt und stellt die Manifestation des Rechts auf informationelle Selbstbestimmung dar 18. Eine zentrale Stelle nimmt hierbei die Definition von personenbezogenen Daten ein: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person Personenbezogene Daten sind daher einerseits die direkt zu einer Person zuordnungsfähigen Daten, wie Name, Alter, Geschlecht, als auch die über einen Schlüssel mittelbar zuordnungsfähigen Daten, wie Kundennummer, IP-Adresse, Matrikelnummer oder Kfz-Kennzeichen. Dabei ist es unerheblich, ob die Informationen zur Zuordnung eines Schlüssels zu einer Person öffentlich bekannt oder nur eingeschränkt verfügbar sind. Diese personenbezogenen Daten stellt das BDSG unter einen besonderen Schutz. So existieren umfangreiche Einschränkungen bezüglich der Handhabung von personenbezogenen Daten. 20 Ein grundlegendes Prinzip des BDSG ist das Verbotsprinzip mit Erlaubnisvorbehalt. So ist die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten grundsätzlich verboten, es sei denn der Betroffene hat seine ausdrückliche Zustimmung zum jeweiligen Vorgang gegeben BDSG 18 Siehe Volkszählungsurteil : (Bundesverfassungsgericht, 1983) 19 3 Abs. 1 BDSG BDSG 13

17 Sicherheitsaspekte in Data-Warehouse-Systemen Weiterhin enthält das BDSG die Maßgabe, dass sowenig personenbezogene Daten wie möglich erhoben werden sollen und dass diese Daten soweit wie möglich anonymisiert werden sollten. Darüber hinaus besteht ein weiterer Grundsatz des BDSG darin, dass Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden. Gerade im Kontext von DWH-Systemen gewinnt das BDSG besondere Bedeutung. Obwohl der Betroffene seine Zustimmung zur Erhebung der personenbezogenen Daten durch ein Drittsystem gegeben hat, bedeutet das nicht automatisch, dass diese Daten über einen ETL-Prozess verarbeitet und in einem DWH ausgewertet werden dürfen. Hier kollidiert also das Recht auf informationelle Selbstbestimmung des Einzelnen mit den Interessen einer Unternehmung. Verzichtend auf die rechtliche Tiefe existieren mehrere Möglichkeiten, DWH-Systeme unter den Vorgaben des BDSG zu betrieben: 1. Anonymisierung der Daten aus Drittsystemen Dabei ist besonders darauf zu achten, dass nicht durch geschickte statistische Methoden von den anonymisierten Daten wiedrum Rückschlüsse auf einzelne Personen oder kleinere Personengruppen gezogen werden können (Inferenz). Auch stellt eine einfache Umkodierung von Schlüsseln wie der Kundennummer mit Hilfe von beispielsweise einer Einweg-Hashfunktion keine Anonymisierung im Sinne des BDSG dar, da immer noch mehrere Datensätze zu einer Person zugeordnet werden können. Zu bemerken ist in diesem Zusammenhang auch, dass durch eine eventuelle Anonymisierung der Daten auch die Schärfe der Analysen der DWH-Daten abnimmt. Dies ist eine notwendige Beeinträchtigung zur Wahrung des Rechts der Betroffenen auf informationelle Selbstbestimmung, stellt allerdings auch eine Einschränkung der möglichen Analysen durch eine Unternehmung dar. 14

18 Sicherheitsaspekte in Data-Warehouse-Systemen 2. Beschränkung der Analysetiefe Im Rahmen einer rechtlichen Prüfung kann zur Sicherstellung der Einhaltung des BDSG die Analysetiefe der DWH-Daten beschränkt werden. So kann bspw. bei Verzicht auf Anonymisierung die Auswertung bis auf den einzelnen Kunden untersagt werden, um die personenbezogenen Daten des Einzelnen zu schützen. Dies geht wiedrum einher mit der Beschränkung der Aussagefähigkeit der in einem DWH gespeicherten Daten. Hier gilt es, einen Kompromiss zwischen Datenschutz auf der einen und betrieblichen Interessen auf der anderen Seite zu finden. 3. Veränderung der Geschäftsbedingungen Natürlicherweise kann auch durch eine Veränderung der Geschäftsbedingungen eine Einwilligung des Betroffenen zur Verarbeitung seiner Daten in einem DWH-System eingeholt werden. Letztendlich sollten im Interesse aller stets die Vorgaben des Datenschutzes bei der Beschäftigung mit dem Thema DWH Beachtung finden. Denn eine Nichtbeachtung von Datenschutzanforderungen stellt auf der einen Seite eine Gefährdung der Unternehmung durch unter Umständen hohe Schadenersatzforderungen dar. 21 Andererseits zeigen die in den Medien als Datenschutz-Skandale bezeichneten Vorfälle durch Deutsche Bahn 22, Telekom 23, Lidl 24 und weitere, dass das Außenbild einer Unternehmung durch Nichtbeachtung des Datenschutzes erheblichen Schaden nehmen kann Compliance Über die Vorgaben des Datenschutzes hinaus bestehen für betriebliche Informationssysteme rechtliche Anforderungen, die bei einer Beschäftigung mit den Sicherheitsaspekten beachtet werden müssen. Dies sind beispielsweise die Regelungen des Telekommunikationsgesetzes, der Sarbanes-Oxley-Act oder Vorgaben aus den Basel II-Richtlinien. 21 Vgl. (ARD, 2009a) 22 (ARD, 2009d) 23 (ARD, 2009b) 24 (ARD, 2009c) 15

19 Lösungsansätze für Zugriffskontrollsysteme 3 Lösungsansätze für Zugriffskontrollsysteme In den vorhergehenden Kapiteln wurde bereits deutlich, dass allein auf die DWH- Datenbank primäre Sicherheitsaspekte wirken, da sie durch ihr Wesen, die Aggregation von Daten aus heterogenen betrieblichen Informationssystemen eine genuine Gestalt besitzt. Der Haupt-Sicherheitsaspekt der DWH-Datenbank ist die Zugriffskontrolle. Daher sollen nachfolgend einige Lösungsansätze für Zugriffskontrollsysteme beschrieben werden. 3.1 Oracle RDBMS Das Oracle RDBMS unterstützt benutzerbestimmbare und rollenbasierte Zugriffskontrolle. 25 Darüber hinaus kann mithilfe der Technologien Virtual Private Database (VPD) und der darauf aufbauenden Technologie Oracle Label Security (OLS) eine zwingend erforderliche Zugriffskontrolle auf Zeilen-, Spalten- und Zellebene realisiert werden. VPD Virtual Private Database Die Technologie VPD existiert seit der Version 8 im Oracle DBMS und ermöglicht eine Zugriffskontrolle auf Zeilen- und Spaltenbasis. Dies wird realisiert, indem durch das DBMS an auszuführende SQL-Anweisungen Prädikate angehangen werden. Diese Prädikate können die Ergebnismenge so einschränken, dass nur bestimmte Daten zurückgeliefert werden. Realisiert werden VPDs über benutzerdefinierte PL/SQL-Prozeduren, die bei jedem SQL-Befehl auf ein damit verbundenes Datenbankobjekt konsultiert werden, um ein WHERE-Prädikat zurückzugeben, welches an den jeweiligen SQL-Befehl angehangen wird. 25 (Oracle, 2009a) 16

20 Lösungsansätze für Zugriffskontrollsysteme OLS Oracle Label Security Die Funktion OLS enthält vordefinierte VPD-Prozeduren, die es mit vergleichsweise geringem Aufwand ermöglichen, Datenbankobjekten Sicherheitsdeskriptoren zuzuweisen. Diese Deskriptoren werden in dem jeweiligen Datenbankobjekt gespeichert (z.b. in Form einer zusätzlichen Spalte) und regeln die Gewährung, bzw. Verweigerung von Lese und Schreibrechten. 26 Darüber hinaus wird durch OLS auch die Steuerung der WRITEUP-, WRITEDOWNund WRITEACROSS-Vorgänge verwaltet. Ein WRITEUP -Vorgang bezeichnet die Erhöhung der Vertraulichkeitsstufe eines Datums durch den Benutzer, ein WRITE- DOWN -Vorgang stellt die Verringerung derselben dar. Ein WRITEACROSS - Vorgang stellt die Erweiterung der Zugriffsberechtigungen auf derselben Vertraulichkeitsstufe dar, beispielsweise von Gruppe A zu Gruppe A, B und C. OLS - Beispiel Abbildung 3 - Übersicht Oracle Label Security 27 Die Abbildung zeigt eine Beispielabfrage, die eine Liste von Standorten aus einer Oracle Datenbank zurückgeben soll. Jeder Standort ist mit einem Sicherheitsdeskriptor versehen, der die Vertraulichkeitsstufe (Vertraulich, Streng Vertraulich) und eine Gruppe (Alpha, Beta, Gamma) enthält. 26 Beispiele zur Anwendung von VPD und OLS sind (Oracle Corporation, 2005) und (Pürner, 2007). 27 Aus (Oracle, 2009b S. 3) 17

21 Lösungsansätze für Zugriffskontrollsysteme Für den Datenbankbenutzer, bzw. ein von ihm benutztes Anwendungssystem, stellt sich die Abfrage als einfache Select * from Locations; dar. Doch das DBMS entscheidet auf Basis der mit dem Benutzer verbundenen freigegebenen Vertraulichkeitsstufe und Gruppe (Vertraulich, Alpha und Beta), dass es die Einträge Cornerstone, Cactus Mountain und C12587 nicht anzeigt, da diese aufgrund ihrer Sicherheitsdeskriptoren nicht für die Vertraulichkeitsstufe und Gruppe des Nutzers freigegeben sind. Hinter dieser Entscheidung wirkt die Technologie VPD, welche die einfache Suchabfrage des Nutzers um solche Prädikate erweitert, welche die Tupel mit den Daten ausblenden, für die der Nutzer keine Berechtigung besitzt. So stellt sich die gesamte Technologie für den Nutzer transparent dar. Weiterhin wird die OLS-Technologie mit anderen Oracle Technologien verknüpft, unter anderem mit Oracle Data Vault (einem Sicherheits und Compliance-System) und dem Oracle Identity Management. Da die Prädikate vor der Ausführung der SQL-Abfrage angefügt werden, greifen die üblichen Optimierungen durch das RDBMS. Daher ist in einigen Szenarien davon auszugehen, dass die Leistung des DBMS durch VPD und OLS nicht oder nur leicht degradiert wird. Unter Umständen sorgt der Query Optimizer sogar für eine Verbesserung der Performance durch den Einsatz von OLS. 3.2 Microsoft SQL Server Der Microsoft SQL Server unterstützt benutzerbestimmbare 28 und rollenbasierte 29 Zugriffskontrolle. In den Microsoft Analysis Services existiert auch ein feingranulares Zugriffskontrollsystem für multidimensionale Daten 30, welches eine zwingend erforderliche Zugriffskontrolle implementiert. Da multidimensionale Datenstrukturen kein Fokus dieser Arbeit sind, wird darauf an dieser Stelle nicht eingegangen. Allerdings fehlt dem SQL Server eine mit Oracle VPD und OLS vergleichbare Lösung für relational gespeicherte Daten. 28 (Micrososft Corporation, 2009a) 29 (Microsoft Corporation, 2009b) 30 (Mundy, et al., 2006 S. 523) 18