Wie positionieren sich die Anbieter im deutschen Markt für Database Security?

Der Datenbankschutz wird zu einem immer wichtigeren Thema. Es reicht nicht mehr aus, nur das Netzwerk abzusichern. Das wichtigste Gut im Unternehmen sind die Daten, und die gilt es zu schützen. Intelligente Zugriffsberechtigungen müssen dafür sorgen, dass kein unbefugter Mitarbeiter auf schützenswerte Daten zugreifen kann. Attacken können eben nicht nur von außen kommen, sondern auch von innen.

Datenklau ist kein Kavaliersdelikt. Darüber hinaus stellt der Gesetzgeber Anforderungen, um die Sicherheit im hohen Maße zu garantieren. Unregelmäßigkeiten müssen fälschungssicher protokolliert werden. Aber auch im eigenen Interesse muss der Datenschutz gewährleistet sein, unabhängig von der Unternehmensgröße.

ICT-Anbietersicht

Bei der Entwicklung von Sicherheitsprodukten zum Schutz der Datenbanken ist zu berücksichtigen, dass Anforderungen einem ständigen Wandel unterliegen. Nur flexible Systeme, die rasch auf neue Probleme reagieren und Sicherheitslücken schließen können, sind gefragt und bringen dem Anwender den notwendigen Schutz.

Anzeige

Der Datenbankschutz wurde in der Vergangenheit durch die Netzwerkabsicherung einer Firewall sowie Virenscanner gewährleistet. Zugriffsberechtigungen auf die Daten wurden durch ein Rollenkonzept eingeschränkt, das heißt, der Benutzer darf nur sehen, was er für seine Tätigkeit braucht. Das reicht aber nicht mehr aus. Durch die Zugriffe aus dem Internet wird das Netzwerk zunehmend geöffnet; daraus entsteht die Notwendigkeit, die Datenbanksysteme und Programme selbst zu schützen. Viele Unternehmen haben das erkannt; sie haben eigene Richtlinien entwickelt und versuchen, diese einzurichten. Hinzu kommen gesetzliche Anforderungen, die ebenfalls berücksichtigt werden müssen. Die Sicherheit der sensiblen Daten muss mit fälschungssicheren Protokollen belegt werden, die für die Erfüllung gesetzlicher Vorgaben/Audits erforderlich sind. Es wurden Tools installiert, die die einzelnen Anforderungen erfüllen und dem Administrator die Arbeit erleichtern sollen. Andere Firmen versuchen, mit manuellen Mitteln den Audits gerecht zu werden. Nicht selten werden die Zugriffsregeln nicht zentral, sondern von verschiedenen Abteilungen festgelegt und sind mit der Zeit inkonsistent geworden, so dass Richtlinien nicht mehr eingehalten werden können. Oftmals werden für unterschiedliche Applikationen Passwörter vergeben, die sich der Anwender nicht merken kann, und häufig werden die Passwörter auf einem Zettel am Bildschirm notiert.

Vielen Unternehmen ist bewusst geworden, dass Missbrauch, Datendiebstahl und Attacken nicht nur von außen, sondern auch von innen kommen können. Die Gründe sind unterschiedlicher Natur: unzufriedene Mitarbeiter, mangelndes Sicherheitsbewusstsein, menschliche Schwächen wie Unkenntnis und Geltungssucht, keine Sensibilisierung, keine Informationen und Einbindung der Mitarbeiter zum Know-how-Schutz (Awareness). Vor einiger Zeit ist ein Fall bekannt geworden, dass sogar im Bundeskanzleramt ein Trojaner über einen USB-Stick eingeschleppt worden, der jedoch erkannt wurde.

Um kritische Unternehmensdaten wie HR-Daten, Finanz- und ERP-Informationen, Konstruktionspläne, Forschungsergebnisse, Patente oder Rezepturen besser absichern zu können, sind herkömmliche Methoden nicht mehr ausreichend. Ein weiterer Aspekt ist die Zunahme an Datenbanken und Daten (Big Data). Eine zuverlässige Überwachung ist damit nur unzureichend möglich. Die Antwort auf dieses Dilemma ist eine robuste, ganzheitliche, zentrale Lösung für den Schutz der Datenbankenumgebung.

Es sind Systeme erforderlich die nur eine einmalige Anmeldung des Anwenders erfordern (Single Sign-on) und die automatisch die Zugriffe auf hochsensible Daten prüfen beziehungsweise überwachen. Diese Systeme

Anzeige

  • lösen bei nicht autorisierten Zugriffen Alarme aus und blockieren sie in Echtzeit,
  • entdecken Schwachstellen (Vulnerabilities) und patchen diese virtuell,
  • spüren nicht plausible Benutzerberechtigungen auf und
  • entdecken Benutzer, die nicht mehr aktiv sind.

Somit wird eine umfassende Übersicht erzeugt, um ein straffes Berechtigungsprofil gestalten und überwachen zu können. Es gilt, unbekannte Datenlecks zu entdecken und nicht autorisierte SQL-Transaktionen, sogenannte SQL Injections, aufzuspüren, zu melden und zu blockieren; dabei ist es unerheblich, ob diese von einem User oder durch eine Batch-Applikation ausgelöst wurden. Transaktionen sind in Echtzeit zu monitoren – die Voraussetzung dafür, Eindringversuche oder Missbrauch sofort zu erkennen und entsprechend zu handeln.

Datenbankaktivitäten müssen in Echtzeit fälschungssicher aufgezeichnet werden; es muss klar werden, welche Transaktionen durch wen, wann, wo und wie durchgeführt wurden und wie sie für ein Audit zur Verfügung zu gestellt werden.

Durch entsprechendes Reporting können dem Auditor die Protokolle in Echtzeit auf Knopfdruck zur Verfügung gestellt werden. Verschlüsselung macht sensible Daten auf dem Transport wie im Speicher unlesbar.

Im Rahmen des Security Vendor Benchmarks 2015, den Experton Group Anfang dieses Jahres vorstellte, wurde u.a. auch der Markt für Database Security untersucht.

Zentrale Bewertungskriterien der Database-Security-Anbieter waren dabei:

  • Mechanismen zur Identifikation und Authentifizierung der Benutzer
  • Zwei-Faktoren-Authentifizierung für Administratoren
  • Remote-Zugänge lassen sich beschränken und absichern
  • Detailliertes Berechtigungssystem
  • Manipulationssichere Protokollierung/Auditierung
  • Möglichkeit zur Verschlüsselung der Nutzdaten
  • Funktion für Datenbank-Backup
  • Funktion für Datenbank-Restore
  • Automatisierte Überwachung der Datenbankaktivitäten
  • Sicherstellung der Ausfallsicherheit

Bewertung einzelner Anbieter

Im Bereich Database Security wurden acht Anbieter als relevante Database-Security-Anbieter auf dem deutschen Markt klassifiziert. Betrachtet wurden die folgenden Anbieter mit ihrem zum Zeitpunkt des Researchs aktuellen Offering (in alphabetischer Reihenfolge):

  • Atos
  • CA
  • Computacenter
  • Fortinet
  • IBM
  • Imperva
  • NetIQ
  • Wipro

Von den bewerteten Anbietern dieser Kategorie konnten sich sechs im Leader-Quadranten platzieren.

 

grafik experton database security vendor benchmark

Abbildung: Positionierung der Anbieter von Database Security in Deutschland. Quelle: Experton Group AG, 2015.

Atos hat 2010 die IT-Dienstleistungssparte SIS von Siemens übernommen. Mit dieser Übernahme kam das Produkt DirX, ein IAM (Identity-und-Access-Management-System) in den Besitz von Atos. Mit DirX werden umfangreiche Überwachungsmechanismen und Auswertungen angeboten. Die Produktfamilie besteht aus mehreren Modulen und kann auf die Unternehmensbedürfnisse zugeschnitten werden. Die Lösung ist On-premise oder in der Cloud einsetzbar. Es wird zudem eine Managed-Service-Lösung angeboten. Die zentrale Benutzer- und Zugriffsverwaltung adressiert die Anforderung, über eine leistungsfähige Rollenverwaltung Benutzer und Sicherheitsrichtlinien über alle Datenbanken hinweg für jeden einzelnen User zu verwalten. Auditfunktionen erfassen automatisch die einzelnen Transaktionen und speichern diese fälschungssicher ab. Bei einem Audit können die Informationen am Monitor angezeigt oder ausgedruckt werden. Gesetzliche und Unternehmensrichtlinien können durch Echtzeit-Monitoring überwacht werden und zeigen Abweichungen auf. Die Benutzeroberfläche kann auf die Bedürfnisse des Users beziehungsweise der Administratoren angepasst werden – ein ergonomisches Highlight, das den Benutzer erfreuen wird und gleichzeitig hochverfügbar ist. Daten können auf Festplatten, USB oder DVD verschlüsselt abgelegt werden. DirX bietet umfangreiche SAP-Anbindungen wie beispielsweise Web-Single-Sign-on-Integration mit dem NetWeaver Portal, Business Object und SAP ECC. Auch mit anderen Web-Portalen ist eine Integration möglich. Die Datenbanksicherheit kann mit weiteren Produkten erweitert werden, beispielsweise Malware Detection oder Database Encryption für die Datenspeicherung auf Disk, USB, CD und DVD. Atos bietet mit DirX eine ausgereifte und weit verbreitete Lösung an. Es können viele Datenbanken überwacht werden, jedoch keine NoSQL-, In-Memory- und Hadoop-Datenbanken, und SQL Injections werden nicht erkannt.

CA ist mit IT-Sicherheitsprodukten schon sehr lange am Markt; sie werden von zahlreichen Großkunden weltweit eingesetzt. Die aktuelle Produktfamilie CA ControlMinder Version 12.8 besteht aus mehreren Modulen, die nahtlos integriert werden können. Zum Schutz der Datenbanken wird ein ausgefeiltes System angeboten, das den Aufwand für das Einrichten von privilegierten Zugriffsberechtigungen beträchtlich reduziert und vereinfacht. Mit dem Modul Warning Mode kann analysiert werden, ob die Sicherheitsrichtlinien zu streng oder zu großzügig eingerichtet sind. Eine strenge Authentifizierung kann mit RSA SecureID Token erreicht werden. Mit dem zentralen Web-Portal, das für den globalen Einsatz konzipiert ist, werden lokale und örtlich entfernte Datenbanken überwacht und administriert. Bei Sicherheitsereignissen werden in Echtzeit Alarme ausgegeben; sie können auf der Konsole oder dem Pager angezeigt werden. Der ControlMinder bietet auch die Möglichkeit, Produkte anderer Hersteller zu integrieren. Eine robuste Umgebung sorgt dafür, dass gesetzliche Vorschriften und Richtlinien eingehalten werden, unter anderem auch Basel II und ISO 27001. Die Protokolle können nicht manipuliert werden. Das umfangreiche betrugssichere Reporting- Tool kann auf Knopfdruck proaktive Berichte erstellen, um den aktuellen Richtlinienstatus anzeigen zu können. Der ControlMinder verwaltet und schützt alle IT-Umgebungen, von physischen über virtuelle bis hin zu Cloud-Systemen. Es werden alle gängigen Virtualisierungsoberflächen inkl. des Mainframes unterstützt.

Computacenter hat ein klares Konzept für die Datenbankabsicherung und den Vorteil, die Datenbanksicherheitslösung herstellerneutral anbieten zu können, und zwar auf Basis namhafter Produkte, die die hohen Anforderungen an eine sichere Datenbank erfüllen können. Einige dieser Anbieter sind im Leader-Quadranten positioniert. Computacenter hat als Systemhaus eine gute Sicht auf beziehungsweise fundierte Kenntnisse über die gesamte IT-Landschaft eines Kunden und damit eine Basis für eine optimale Beratung. Das heißt, es wird festgestellt, was am besten in die bestehende IT-Infrastruktur passt, was der Kunde wirklich braucht, um seine Datenbanken wirkungsvoll absichern zu können, und was notwendig ist, um die Compliance-Anforderungen zu erfüllen.

IBM bietet mit der Produktfamilie IBM InfoSphere Guardium eine umfassende, einfach zu bedienende und robuste Plattform an, um Datenbanken zu schützen. InfoSphere bietet eine Vielzahl von Funktionen zur Absicherung von Datenbanken. Differenzierte Zugriffsregelungen werden zentral festgelegt und verwaltet. Es können auch begrenzte Zugriffsregelungen festgelegt werden, beispielsweise für eine Tabelle, eine Anwendung, eine bestimmte Uhrzeit oder nur Leserecht. Gesetzliche und unternehmerische Richtlinien für die Datenbanksicherheit und Änderungen werden überwacht, unberechtigte oder verdächtigte Aktivitäten werden aufgespürt und Alarme ausgelöst. Es werden zudem Anwender entdeckt, die auf Datenbanken zugreifen und unerlaubte Änderungen an Anwendungen vornehmen. Die Datenbanken werden permanent in Echtzeit überwacht und Auffälligkeiten werden fälschungssicher protokolliert und gespeichert. Der Compliance- sowie Audit-Prozess ist automatisiert; Berichte werden generiert und zur Verfügung gestellt. Das Active Monitoring mit einer grafischen Web-Oberfläche macht es dem Administrator leicht, die Transaktionen zu überwachen. Es werden alle gängigen Datenbanken und Betriebssysteme überwacht und zahlreiche Unternehmensanwendungen unterstützt. Weitere Plattformen, die in das Monitoring eingebunden werden können, sind Big-Data-Plattformen wie NoSQL, Teradata, Hadoop, Hortonworks und SAP HANA. Strukturierte und unstrukturierte Daten können verschlüsselt abgelegt werden.

IBM InfoSphere Guardium wird als Bundle mit der Hardware Appliance X3064 und einem Linux-Kernel ausgeliefert. Alternativ wird die Software beim Kunden in der virtuellen Umgebung als Virtual Appliance installiert.

Imperva hat mit der Produktfamilie Imperva SecureSphere Database Security ein beeindruckendes und umfassendes Portfolio zum Schutz von Daten beziehungsweise Datenbanken, gleichgültig ob sie sich im physischen Datacenter oder in der Cloud befinden. Mit der Benutzerberechtigungsverwaltung ist es möglich, automatische Vorgänge für die Prüfung der Zugriffsvorgänge einzurichten sowie übermäßige Benutzerrechte und nicht mehr genutzte Konten zu erkennen – ein wichtiger Aspekt, um dem Anwender nur die Zugriffsrechte einzuräumen, die er auch tatsächlich braucht. Die Benutzeraktivitäten können vollkommen transparent gemacht und kontrolliert werden. SecureSphere überwacht alle Transaktionen in Echtzeit und stellt die Protokolle einem detaillierten Audit Trail zur Verfügung. Es werden sowohl die privilegierten wie auch nichtprivilegierten User überwacht, die über verschiedene Applikationen auf die Datenbank zugreifen. Auch die Antworten der Datenbanken werden überwacht, um Datenlecks bei sensiblen Daten zu melden oder zu stoppen. Nicht autorisierte SQL-Zugriffe (SQL Injections) werden aufgespürt, der Angriff wird gemeldet und es kann eingerichtet werden, dass Attacken blockiert beziehungsweise in Quarantäne gestellt werden. SQL Injection bedeutet das böswillige Ausnutzen von Sicherheitslücken. Der Angreifer versucht, über die Applikation eigene Datenbankbefehle einzubringen mit dem Ziel, Daten auszuspähen und in seinem Sinne zu verändern. Eine vollständige Zusammenstellung an vordefinierten und anpassbaren Sicherheits-und Audit-Richtlinien ist Bestandteil von SecureSphere. Auffälligkeiten werden an ein Alarmsystem gesendet. Das Alarmsystem kann auch ein Produkt von Drittanbietern sein. Schwachstellen oder fehlerhafte Konfigurationen in der Datenbanksoftware werden erkannt. Mit der Database Firewall werden Angriffe und interne Bedrohungen erkannt und blockiert und Schwachstellen durch virtuelle Patches geschlossen. Durch Database Activity Monitoring (DAM) werden die Aktivitäten überwacht.

Imperva bietet SecureSphere auch mit den entsprechenden Modulen für den Schutz von Files an. Nur ein System, das alle Möglichkeiten der Datenbanksicherheit abdeckt und eine umfassende permanente Überwachung aller Aktivitäten bietet, ohne die Performance oder Verfügbarkeit zu beeinträchtigen, hilft, ein hohes Maß an Datenbanksicherheit zu gewährleisten. Imperva bietet zudem Auswertungen mit schnell erfassbaren Ergebnissen, eine wichtige Anforderung an solche Lösungen. Das Produkt ist als Bundle, Hardware Appliance und Software oder als virtuelle Appliance-Lösung verfügbar. Imperva bietet seine Produkte direkt oder über ausgewählte kompetente Channel-Partner an. Bedeutende Technologieanbieter arbeiten mit Imperva zusammen.

Wipro Technologies ist einer der größten IT-Dienstleister aus Indien und beschäftigt weltweit mehr als 140.000 Mitarbeiter. Der Schwerpunkt ist das Outsourcing. In Meerbusch bei Düsseldorf unterhält das Unternehmen ein großes Datacenter. In Deutschland beschäftigt Wipro etwa 350 IT-Sicherheitsspezialisten. Der Kunde wird umfassend beraten; als Ergebnis werden Konzepte entwickelt, die aufzeigen, was für den Kunden wichtig ist, um die Datenbanken optimal absichern zu können und die Compliance-Anforderungen zu erfüllen. Als Beratungshaus arbeitet Wipro mit zahlreichen Vendoren zusammen und kann somit aus einem breiten Portfolio herstellerneutral Produkte anbieten, die für die jeweilige Umgebung geeignet sind. Die Sicherheitslösungen werden von Wipro auch as a Service angeboten.

Wolfgang Heinhaus