:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit von Cloud-Datenbanken Mehr Datenbanksicherheit von Anfang an
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Bei Cloud-Datenbanken liegt ein Großteil der Verantwortung für die Sicherheit in den Händen der nutzenden Unternehmen. Wer direkt bei der Konfiguration die richtigen Optionen wählt, bleibt auf der sicheren Seite.
Die Nutzung von Cloud-Datenbanken ist in vielen Unternehmen alltäglich, sind die Vorteile doch überzeugend: Die Leistung der Datenbanksysteme ist leicht skalierbar, Speicherplatzprobleme existieren nicht und der Zugriff aus unterschiedlichen geographischen Regionen ist unproblematisch. Doch trotz aller Einfachheit bleibt Datenbanksicherheit ein zentrales Thema.
Geteilte Verantwortung für Sicherheit
Cloud-Datenbanken gibt es in zwei unterschiedlichen Darreichungsformen, die abweichende Sicherheitsanforderungen haben. Bei Infrastrukturanbietern läuft die Datenbank auf einem virtuellen Server, für den das nutzende Unternehmen vollständig verantwortlich ist. Der Provider garantiert nur für den störungsfreien Betrieb der physischen Infrastruktur.
:quality(80)/p7i.vogel.de/wcms/ed/f9/edf9aba4f131581a04190b37bf53fcc2/0105081721.jpeg "Datensicherheit in Cloud-Diensten ist keine Sache, die nur beim Dienstleister, oder nur beim Kunden liegt. Ein Modell der geteilten Verantwortung ist der einzig praktikable Weg. (Bild: Elnur - stock.adobe.com)")
Geteilte Verantwortung für IT-Sicherheit in Cloud-Umgebungen
Shared responsibility Modelle für Cloud-Dienste
Für Plattformdienste, auch Database as a Service (DBaaS) genannt, gilt für die Datenbank die geteilte Verantwortung. Vereinfacht ausgedrückt kümmert sich der Betreiber um ein jederzeit aktuelles und mit den notwendigen Sicherheitsaktualisierungen ausgerüstetes Datenbanksystem und stellt grundlegende Sicherheitsfunktionen bereit. Die Nutzer und Nutzerinnen sind dafür verantwortlich, alle weiteren Aspekte der Datenbanksicherheit in Eigenregie zu übernehmen. Sie können dafür aus zahlreichen Sicherheitsoptionen wählen, von denen einige allerdings anfangs inaktiv sind.
Zwei-Faktor-Authentifizierung aktivieren
Trotz aller Sicherheitsbedenken ist die „ab Werk“ aktivierte Nutzerauthentifizierung oft auf die klassischen Zugangsdaten beschränkt: Nutzername oder E-Mail-Adresse und Passwort. Doch das reicht nicht aus. So lassen sich beispielsweise einigermaßen sichere Passwörter nur schwer merken. Viele Anwender und Anwenderinnen notieren sie dann auf einem Zettel, den sie irgendwo ablegen, etwa im Büroschreibtisch. Das ist grundsätzlich ein Einfallstor für Cyberkriminelle.
Sinnvoll ist deshalb eine Zwei-Faktor-Authentifizierung. Das bedeutet: Die Anwender melden sich mit mindestens zwei Identifikationsmerkmalen an eine Anwendung für die Datenbank an. Das ist beispielsweise ein spezifisches Passwort (1. Faktor) und ein Bestätigungscode (2. Faktor). Der Nutzer findet ihn in einer Authentifizierungs-App wie Google oder Microsoft Authenticator auf dem Smartphone. Dieses Verfahren verhindert beispielsweise, dass ein erbeutetes Passwort oder ein gestohlenes Smartphone zu einer Sicherheitsfalle werden, da immer beide Faktoren gebraucht werden, um den Zugang zu erhalten.
Benutzerrechte vergeben und Admin-Zugang schützen
Jeder Zugriff auf eine Cloud-Datenbank erfordert ein eigenes Benutzerkonto, das von einem Master-Admin erzeugt werden muss. Er gibt den einzelnen Nutzern ihre Rechte. Reine Anwender sollten so streng begrenzt sein, dass sie weder die Konfiguration noch die Struktur der Datenbank verändern können. Die einfachste Möglichkeit dafür ist die sogenannte rollenbasierte Sicherheit, bei der es mehrere Nutzerrollen gibt, beispielsweise Gast (Lesen von Daten), Anwender (Lesen und Schreiben von Daten) und Admin (alle Rechte).
Es sollte nur wenige Admin-Benutzerkonten geben, diese müssen zudem speziell geschützt werden. Es ist beispielsweise sinnvoll, für sie besondere Konten anzulegen, die nicht an das Single Sign-On (SSO) angebunden sind. Damit können sich Admins auch anmelden, wenn das SSO von einer Störung oder einem Cyberangriff betroffen ist. Dazu gehört auch das automatische Abmelden der Admins, wenn es eine Zeit lang keine Aktivität gab.
Daten und Verbindungen verschlüsseln
Cloud-Datenbanken bieten verschiedene Optionen an, die Daten zu verschlüsseln. Sie sind in aller Regel bei der Erstkonfiguration noch nicht aktiviert, da zunächst einmal ein Schlüssel erzeugt werden muss. Das kann mit integrierten Routinen des Datenbanksystems geschehen, aber auch über eine externe Anwendung. Diese Möglichkeit wird oft als „Bring Your Own Key“ bezeichnet: Der Schlüssel wird nicht beim DBaaS-Anbieter erzeugt und verwaltet, sondern in einer externen Anwendung.
Wichtig ist vor allem die Verschlüsselung der Daten und der Verbindungen. Die Datenverschlüsselung gilt den in Tabellen gespeicherten Daten, sodass sie ohne den richtigen Schlüssel wertlos sind. Allerdings müssen sie für den Transport zwischen dem Datenbanksystem und einem Frontend-System entschlüsselt werden. Deshalb ist es sinnvoll, eine Transportverschlüsselung einzusetzen. Es handelt sich hierbei um ein Protokoll wie HTTPS, das einen verschlüsselten Tunnel zwischen zwei Endpunkten aufbaut, in diesem Fall der Datenbank und einer nutzenden Anwendung. Wichtig ist hierbei, ob sich die Cloud-Datenbank in derselben oder einer anderen Infrastruktur oder Cloud befindet. Wenn das Unternehmen seine IT-Infrastruktur und die Datenbankplattform beim selben Cloudanbieter betreibt, ist die cloud-interne Verbindung leicht zu schützen.
Backups aktivieren und verschlüsseln
Inzwischen ist bei den meisten Providern die Backup-Funktion per Default aktiv. Normalerweise macht sie einmal täglich ein Backup der gesamten Datenbankinstanz mit allen aktiven Tabellen. Diese Kopie wird anschließend in einem gesonderten Speicherbereich aufbewahrt. Für die Verschlüsselung der Backups gibt es integrierte Funktionen, die jedoch aus demselben Grund wie bei der allgemeinen Daten- und Transportverschlüsselung nicht aktiv sind: Erst muss ein Schlüssel generiert werden. Da die Datenbank-Backups in Speicherbereichen des Providers abgelegt werden, sollten sie Unternehmen auf jeden Fall verschlüsseln.
Protokolle sichern und auswerten
Bei der Erstkonfiguration ist es sinnvoll, sofort die Protokollfunktionen zu aktivieren. Das sorgt für Informationen über die Aktivitäten aller Nutzer des Datenbanksystems. Zudem werden auch Auffälligkeiten im Datenbankbetrieb aufgezeichnet, beispielsweise oft wiederholte Anmeldeversuche mit wechselnden Passworteingaben. Generell sind ausführliche Protokolle ein sinnvolles Hilfsmittel für die Leistungsmessung sowie das Ermitteln von Störungsursachen, Konfigurationsproblemen und Hacker-Angriffen. Allerdings werden die Protokolle ähnlich wie Backups nur über einen bestimmten Zeitraum aufbewahrt. Wer auch länger zurückliegende Ereignisse noch analysieren will, muss sie also regelmäßig sichern.
Fazit: Datenbanksicherheit ist die Aufgabe der Nutzer
Viele Sicherheitsfunktionen liegen allein schon aus technischen Gründen in der Verantwortung der Anwender:innen. So sind häufig Vorarbeiten notwendig, etwa das Erzeugen eines Schlüssels oder die Integration eines Authentifizierungssystems. Wer hier seine Hausaufgaben macht, erreicht bereits bei der Erstkonfiguration der Datenbank ein hohes Sicherheitsniveau. Eine sichere Alternative sind auch DBaaS-Angebote: Der Anbieter übernimmt hier mehr Sicherheitsaspekte; Admins werden so entlastet.
Über den Autor: Max Mether ist ein Gründungsmitglied und Vice President Product Management der MariaDB Corporation. In dieser Position ist er für die Weiterentwicklung des MariaDB Servers und der umliegenden Technologien verantwortlich. Davor baute er das Professional-Services-Team bei MariaDB auf. Max begann seine Karriere als Berater und Trainer für Unternehmen wie MySQL und Sun Microsystems. Der gebürtige Finne erwarb seinen Master of Science (Eng) in Physik und Mathematik an der Helsinki University of Technology.
(ID:48495059)
:quality(80)/images.vogel.de/vogelonline/bdb/1944200/1944204/original.jpg "Datenbanken sind der Ort, an dem Daten gespeichert werden. Deshalb sind sie auch das Herzstück in einem Datenschutzkonzept. (Nmedia - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1916800/1916884/original.jpg "Mit diesen 10 Tipps wird die Verwendung von Microsoft Azure sicherer. (Connect world - stock.adobe.com)")