Experten: Datenbank-Sicherheit ist entscheidend für den Schutz von Passwörtern

Unternehmen spielen eine große Rolle beim Schutz von Benutzerkontodaten. Dazu gehört der Umgang mit Lockdown-Passwörtern und E-Mail-Adressen.

Best Practices für die Passwortverwaltung konzentrieren sich in der Regel auf den Benutzer. Doch auch Unternehmen spielen eine große und extrem wichtige Rolle, wenn es um den Schutz von Benutzerkontodaten geht. Hierzu gehört laut Sicherheitsexperten die Anwendung grundlegender Praktiken für die Datenbanksicherheit beim Umgang mit Lockdown-Passwörtern und E-Mail-Adressen.

Niemand sollte überhaupt in der Lage sein, an Passwortdaten heranzukommen. Diese Daten sollten genauso behandelt und geschützt werden wie das sehr wertvolle geistige Eigentum eines Unternehmens

Josh Shaul, CTO, Application Security Inc.

Laut Josh Shaul, Chief Technology Officer bei Application Security Inc., bedeutet dies aber nicht, dass man einen starken Hash-Algorithmus auch noch durch Salt sichern muss. Auch wenn eine Salt-Zugabe helfen würde, denn durch MD5 und SHA geschützte Passwörter können von einem entschlossenen Internet-Kriminellen in wenigen Minuten oder Stunden geknackt werden, so Shaul. Der richtige Ansatz besteht darin, die Datenbank mit zuverlässigen Schutzmechanismen zu versehen, um unerwünschte Besucher von vornherein fernzuhalten.

„Niemand sollte überhaupt in der Lage sein, an Passwortdaten heranzukommen“, so Shaul. „Diese Daten sollten genauso behandelt und geschützt werden wie das sehr wertvolle geistige Eigentum eines Unternehmens.“

Wie wichtig die Sicherheit bei Datenbanken ist, hat die Sicherheitsverletzung bei den LinkedIn-Passwörtern überdeutlich gezeigt. Das Unternehmen untersucht, wie es dazu kommen konnte, dass 6,5 Millionen Kennwörter preisgegeben und in einem russischen Hackerforum veröffentlicht wurden. Das Ausmaß dieser Sicherheitsverletzung war so groß, dass sich andere Unternehmen wie Facebook, Last.fm und eHarmony gezwungen sahen, ebenfalls Maßnahmen mit Blick auf die Sicherheit ihrer Kundenpasswörter zu ergreifen, denn viele verwenden leider oft ein und dasselbe Passwort für verschiedene Konten – eine schlechte, aber durchaus gängige Praxis.

Passwortschutz: Bestandsaufnahme für die Datenbank


Als ersten Schritt sollten Unternehmen mit einer Bestandsaufnahme die Server bestimmen, auf denen Passwortdaten gespeichert sind, sagt Johannes Ullrich, Chief Technology Officer beim SANS Internet Storm Center. Bei vielen Unternehmen sind mehrere Kontodatenbanken im Einsatz, da über die Jahre hinweg verschiedene Anwendungen bereitgestellt wurden. Manche Firmen werden dabei Dutzende von Anwendungen mit eigenem Passwort entdecken, und in einigen Fällen sind diese Daten sogar im Klartext gespeichert – ein großer Schwachpunkt, so Ullrich.

„All diese Legacy-Anwendungen in ein einziges Dateisystem zu integrieren, ist schon eine Herausforderung“, meint Ullrich. „Das geht nicht mal schnell über Nacht.“

Laut Shaul von Application Security Inc. muss dann als nächstes die Datenbankkonfiguration überprüft werden. Penetrationstester wissen, dass sie bei neun von zehn Datenbanken ein Standardpasswort oder ein schwaches Passwort finden. „Man muss sicherstellen, dass die Sicherheitseinstellungen korrekt aktiviert und nicht benötigte Funktionen entfernt wurden“, sagt Shaul.

Der von der Defense Information Systems Agency herausgegebene Leitfaden „Database Security Technical Implementation Guide” (.pdf) ist eine sehr gute Referenz für Datenbank-Administratoren, die sich über sichere Konfigurationen informieren möchten, meint Shaul. Das Center for Information Security, ein gemeinnütziges Forschungsunternehmen, liefert außerdem aktualisierte Benchmark-Berichte zu Konfigurationen für gängige Datenbank-Managementsysteme.

Passwortschutz: Bereitstellung von Datenbank-Patches


Das Datenbank-Patching erweist sich häufig als der neuralgische Punkt bei Unternehmen. Die Anbieter geben zwar regelmäßig Patches heraus, aber diese werden laut Shaul oft hinausgeschoben oder gar ignoriert, weil man eine Störung der Produktionssysteme verhindern will. Patches müssen getestet und bereitgestellt werden. Ein leistungsstarkes Patch-Programm, das die Mehrzahl der kritischsten Datenbank-Server abzudecken vermag, entscheidet in vielen Fällen darüber, dass es beim einen Unternehmen zu einer Sicherheitsverletzung bei Passwörtern kommt und bei einem anderen eben nicht, so Shaul.

„Die Anbieter geben in regelmäßigen Abständen Patches heraus. Sie müssen den Patch-Status also mindestens einmal in Monat kontrollieren und einen Prozess einrichten, der einen schnellen Rollout der Patches ermöglicht“, sagt Shaul. „Wenn Ihre Datenbank Unterstützung für eine webbasierte Anwendung bietet, sollten Sie ein Patch-Intervall von unter sieben Tagen anstreben.“

Passwortschutz: Einschränkung von Rechten und Überwachung der Datenbankaktivität


Sobald die Datenbank vor externen Angreifern geschützt ist, kann man sich mit den Bedrohungen durch Insider befassen. „Beschränken Sie die Zugriffsrechte auf diejenigen, die sie wirklich zur Erfüllung ihrer Aufgaben benötigen“, sagt Shaul. Zugriff sollten nur diejenigen Anwendungsbenutzer haben, die mit der Authentifizierung und Benutzerverwaltung sowie der Datenbankadministration (DBA) betraut sind. Kontrollieren Sie alle Benutzer, die Zugriff auf Passwortdaten haben. Entziehen Sie möglichst vielen Benutzern die entsprechenden Zugriffsrechte. „Sie müssen außerdem die administrativen Berechtigungen in der Datenbank (Systemberechtigungen) untersuchen und sicherstellen, dass diese ausschließlich gültigen DBA-Konten zugeordnet sind“, so Shaul.

Die Überwachung der Datenbankaktivität (engl. DAM, database activity monitoring) schließlich kann bei der Bestimmung, wer auf die Datenbank zugreift und wie die in ihr enthaltenen Daten manipuliert werden, sehr aufschlussreich sein. „Es könnte ja einen Datenbank-Administrator geben, der seine Rechte missbraucht und die Passwörter einsieht, oder aber einen Angreifer, der eine Schwachstelle in Ihrer Anwendung ausnutzt, um Passwörter zu lesen, beispielsweise durch SQL-Injection“, so Shaul. Eine korrekt konfigurierte DAM-Technologie kann den Administrator bereits beim ersten Anzeichen eines Problems alarmieren. So hat er eine Chance, das Problem einzugrenzen, bevor es zu einer ernsten Sicherheitsverletzung kommt.

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close