Risiko Mitarbeiter – 10 Tipps für mehr Datensicherheit
Tipp 5 – Eine IP-Adresse haftet nicht für Datenverlust
08.02.2010 | Autor / Redakteur: Brian Contos / Stephan Augsten
Mit technischen Maßnahmen zur Überwachung sensibler Daten und kritischer Zugriffe haben wir uns in vorangegangenen Tipps dieser Reihe bereits beschäftigt. Doch manchmal ist es nicht so einfach, eindeutig den Verantwortlichen für eine Aktion zu.bestimmen. Dabei ist dies bei einigen Compliance-Vorgaben unumstößlich festgeschrieben.
Viele moderne Anwendungen nutzen das sogenannte Connection Pooling. Anstatt für jeden Nutzer eine Datenbank-Verbindung zu öffnen, werden dabei offene Datenbank-Verbindungen wiederbenutzt. Dadurch gewinnen die Applikationen deutlich an Performance.
Leider lassen sich die Datenbank-Abfragen durch das Connection Pooling nicht explizit einem Nutzer zuordnen. Beispielsweise sind aber Unternehmen mit amerikanischer Börsennotierung aufgrund des Sarbanes Oxley Act (SOX) dazu verpflichtet, für Änderungen an Finanzdaten einen Verantwortlichen benennen zu können. Und auch der Payment Card Industry Data Security Standard (PCI DSS) bedarf der Identifikation spezifischer User und zugehöriger Aktionen.
Doch welche Möglichkeiten haben Organisationen, um das Problem Connection Pooling zu umgehen? Sicherlich könnte man zumindest die eigens entwickelten Anwendungen neuschreiben oder überarbeiten. Doch ein solcher Prozess ist teuer und muss für jede Version einer Software oder Datenbank vorgenommen werden. Darüber hinaus birgt jedes neue Codesegment auch die Gefahr einer neuen Schwachstelle.
Der Abgleich der Aktivitäten innerhalb von Web-Anwendungen und Datenbanken sollte außerhalb der jeweiligen Systeme mit einer Hersteller-unabhängigen Lösung erfolgen. Damit kann man eine bessere Kontrolle über das Session-Tracking, ohne zusätzlichen Entwicklungsaufwand in die Web- und Datenbank-Anwendungen zu investieren oder Entwicklungsressourcen aus anderen Projekten freizustellen.
Anwender-Aktivitäten wie Datenbank-Abfragen und die daraus resultierenden Daten können somit über alle Systeme hinweg miteinander in Beziehung gebracht werden. Am wichtigsten ist jedoch, dass Organisationen empirisch bestimmen können, wer der verantwortliche Nutzer ist.
Brian Contos ist Chief Security Strategist bei Imperva.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2043267)
