{"id":1520,"date":"2022-05-12T07:15:00","date_gmt":"2022-05-12T05:15:00","guid":{"rendered":"https:\/\/promatis.com\/ch\/sensible-daten-schlechter-schutz-kann-teuer-werden\/"},"modified":"2023-04-20T10:04:52","modified_gmt":"2023-04-20T08:04:52","slug":"sensible-daten-schlechter-schutz-kann-teuer-werden","status":"publish","type":"post","link":"https:\/\/promatis-test.de\/ch\/sensible-daten-schlechter-schutz-kann-teuer-werden\/","title":{"rendered":"Sensible Daten? Schlechter Schutz kann teuer werden!"},"content":{"rendered":"

[et_pb_section fb_built=\"1\" _builder_version=\"4.16\" _module_preset=\"default\" global_colors_info=\"{}\" theme_builder_area=\"post_content\"][et_pb_row use_custom_gutter=\"on\" _builder_version=\"4.17.3\" _module_preset=\"default\" custom_padding=\"0px||0px||true|false\" global_colors_info=\"{}\" theme_builder_area=\"post_content\"][et_pb_column type=\"4_4\" _builder_version=\"4.16\" _module_preset=\"default\" global_colors_info=\"{}\" theme_builder_area=\"post_content\"][et_pb_text _builder_version=\"4.19.5\" _module_preset=\"default\" background_enable_color=\"off\" hover_enabled=\"0\" global_colors_info=\"{%22gcid-32812186-bc94-4de4-814c-2bf202477fd5%22:%91%22header_text_color%22,%22header_2_text_color%22,%22header_3_text_color%22%93,%22gcid-0becd5ff-19fc-4653-a221-c8c75771a987%22:%91%22background_color%22%93}\" theme_builder_area=\"post_content\" sticky_enabled=\"0\"]<\/p>\n

\n
\n
\n
Der Verlust oder Diebstahl von kritischen Daten kostet Unternehmen weltweit Millionen. Je l\u00e4nger es dauert, um einen IT-Sicherheitsvorfall aufzudecken und zu beheben, desto teurer wird es f\u00fcr die Betroffenen. Der durchschnittliche Schaden pro Leck wird auf 6,32 Million Euro beziffert. Von den irreversiblen Sch\u00e4den (f\u00fcr Opfer, Marke und Unternehmen) ganz zu schweigen.<\/div>\n<\/div>\n<\/div>\n<\/article>\n
\n
\n
\n
\n
\n
\n
\n
\n

Datenbanken sollten ja grunds\u00e4tzlich so konfiguriert werden, dass sie ausschlie\u00dflich nur Funktionen zulassen, die f\u00fcr den Betrieb der Anwendungen beziehungsweise der Verfahren notwendig sind. F\u00fcr jedes Datenbanksystem, welches personenbezogene Daten verarbeitet, muss ein Grundschutz implementiert werden. Insbesondere das seit Mai 2018 in Kraft getretene EU-Datenschutzgesetz (DSGVO) stellt h\u00f6here Anforderungen an die Sicherheit bei der Verarbeitung personenbezogener Daten.<\/p>\n

H\u00e4ufig gehen Angreifer bei ihrem Handeln sehr kreativ vor und verbringen viel Zeit damit, das Angriffsziel zu verstehen. Sie verwenden mitunter illegale Werkzeuge zur Informationsgewinnung und halten sich nicht an Gesetze und Regeln. Diese Werkzeuge nutzen u.a. Sicherheitsl\u00fccken und Fehlkonfigurationen ihrer Angriffsziele aus, um die besten Angriffsvektoren zu erhalten. Haben die Angreifer gen\u00fcgend Informationen gesammelt, beginnen sie meist sehr diskret mit dem eigentlichen Angriff und gelangen so \u2013 viel zu oft \u2013 an sensible Daten. Als Eigent\u00fcmer, Verantwortlicher oder Verarbeiter von Daten hilft es \u00e4hnlich zu denken wie ein Angreifer, aber mit dem Ziel die Sicherheitslage so zu verbessern, dass ein Angreifer sein Ziel nicht erreicht.<\/p>\n

Die L\u00f6sung: Das Werkzeug zur Erkennung von Sicherheits- und Datenschutzrisiken<\/h3>\n

Oracle hilft bei der Umsetzung notwendiger Datensicherheitsma\u00dfnahmen und bietet ein Werkzeug zur Erkennung potenzieller Sicherheitsrisiken f\u00fcr Oracle Datenbanken. Das Oracle Database Security Assessment Tool (DBSAT) \u00fcberpr\u00fcft bis zu 71 Datenbankkonfigurationen und Sicherheitsempfehlungen gem\u00e4\u00df Oracle Datenbanksicherheit Best Practices. Die hiermit aufgezeigten potenziellen Sicherheitsrisiken werden dokumentiert und k\u00f6nnen bei Bedarf und Notwendigkeit vom Datenbankadministrator behoben werden.<\/p>\n

So dient das DBSAT in erster Linie zur kurzfristigen Erkennung und Behebung allgemeiner Risiken und unterst\u00fctzt bei der Umsetzung einer umfassenden Sicherheitsstrategie. F\u00fcr einen dauerhaft sicheren Betrieb sollte aber ein entsprechender Prozess und ein automatisiertes Monitoring etabliert sein, um die Datenbank hinsichtlich Konfiguration, Patching und Nutzung zu \u00fcberwachen. Dies ist beispielsweise mit dem Lifecycle Management Pack von Oracle Enterprise Manager m\u00f6glich.<\/p>\n

Im Wesentlichen besteht das Werkzeug aus drei Komponenten:<\/p>\n

    \n
  • NEU: DBSAT Discoverer (Aufsp\u00fcren sensitiver Daten)<\/li>\n
  • DBSAT Collector (Sammeln von Konfigurations-Informationen)<\/li>\n
  • DBSAT Reporter (Erstellung des DBSAT Berichts)<\/li>\n<\/ul>\n

    Der DBSAT Collector f\u00fchrt Tests in Form von SQL-Abfragen (nur gegen das Oracle Datenbank Dictionary) und Betriebssystembefehle (f\u00fcr Listener-Konfiguration, SQLNET.ORA usw.) aus, um die notwendigen Informationen aus dem System zu sammeln. Diese Daten werden in eine \u2013 durch ein Passwort verschl\u00fcsselte \u2013 JSON-Datei geschrieben und im Anschluss von dem DBSAT Reporter, w\u00e4hrend der Analysephase, verwendet.<\/p>\n

    Mit dem Oracle Database Security Assessment Tool werden Tests in folgenden Kategorien durchgef\u00fchrt:<\/p>\n

      \n
    • Benutzerkonten, Privilegien und Rollen<\/li>\n
    • Berechtigungskontrolle<\/li>\n
    • Datenverschl\u00fcsselung<\/li>\n
    • Zugriffskontrolle<\/li>\n
    • Passwortrichtlinien<\/li>\n
    • Datenbank-Konfiguration<\/li>\n
    • Listener-Konfiguration<\/li>\n
    • Betriebssystem-Dateiberechtigungen<\/li>\n<\/ul>\n

      Wir bei PROMATIS haben das DBSAT auf Herz und Nieren gepr\u00fcft und mit Hilfe einer Testdatenbank aufgesetzt. Die Installation und Konfiguration der Tool-Komponenten wurde dabei in wenigen Stunden erfolgreich durchgef\u00fchrt. Der Gesamtablauf ist in Abb.1 dargestellt. Richtig spannend wird es eigentlich erst, nachdem DBSAT seine Analysen durchgef\u00fchrt hat: n\u00e4mlich in der Identifikation und Durchf\u00fchrung von n\u00f6tigen Ma\u00dfnahmen.<\/p>\n

      \"\"Abb. 1.: Einsatz von DBSAT<\/em><\/p>\n

      Mein Fazit zum Oracle Database Security Assessment Tool:<\/strong><\/h4>\n
        \n
      • Analysiert schnell den aktuellen Sicherheitsstatus einer Datenbank<\/li>\n
      • Identifiziert sensible Daten, um Risiken und angemessene Sicherheitskontrollen zu ermitteln<\/li>\n
      • Reduziert Risikobelastung mithilfe bew\u00e4hrter Best Practices<\/li>\n
      • Beschleunigt die Einhaltung der EU-DSGVO und anderer Vorschriften<\/li>\n
      • Unterst\u00fctzt Oracle Database 10g, 11g, 12c und 18c<\/li>\n
      • Kostenfrei f\u00fcr Oracle-Kunden<\/li>\n
      • Schnelle Bereitstellung und Verwendung<\/li>\n<\/ul>\n


        Autor: Michael Pergande<\/em><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/section>\n

        [\/et_pb_text][et_pb_text _builder_version=\"4.17.6\" _module_preset=\"default\" text_font=\"Open Sans||on||||||\" text_font_size_last_edited=\"off|desktop\" custom_css_main_element=\"font-size:14px!important;\" global_colors_info=\"{}\" theme_builder_area=\"post_content\"]<\/p>\n

        Bildquelle: \u00a9 Vertigo3d\/istockphoto.com<\/p>\n

        [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"

        Der Verlust oder Diebstahl von kritischen Daten kostet Unternehmen weltweit Millionen. Je l\u00e4nger es dauert, um einen IT-Sicherheitsvorfall aufzudecken und zu beheben, desto teurer wird es f\u00fcr die Betroffenen. Der durchschnittliche Schaden pro Leck wird auf 6,32 Million Euro beziffert. Von den irreversiblen Sch\u00e4den (f\u00fcr Opfer, Marke und Unternehmen) ganz zu schweigen. Datenbanken sollten ja […]<\/p>\n","protected":false},"author":1,"featured_media":1521,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"2880","footnotes":""},"categories":[513],"tags":[],"dipi_cpt_category":[],"class_list":["post-1520","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog"],"_links":{"self":[{"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/posts\/1520"}],"collection":[{"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/comments?post=1520"}],"version-history":[{"count":0,"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/posts\/1520\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/media\/1521"}],"wp:attachment":[{"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/media?parent=1520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/categories?post=1520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/tags?post=1520"},{"taxonomy":"dipi_cpt_category","embeddable":true,"href":"https:\/\/promatis-test.de\/ch\/wp-json\/wp\/v2\/dipi_cpt_category?post=1520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}