Sicherheit von Datenbanken: Herausforderungen und Lösungen für Unternehmen

Die Zeit der Frage, ob Unternehmensdaten geschützt werden sollen, ist vorbei. Jetzt ist es an der Zeit zu handeln – um das zu schützen, was zu einem zentralen Vermögenswert geworden ist. Wird dieser kompromittiert, kann dies den Wert und Ruf des gesamten Unternehmens gefährden. Erläuterungen von Didier LAVOINE.

Ist die Datensicherheit im Unternehmen nicht schon ein altes Thema?

Didier Lavoine: Überraschenderweise nein… dieses Thema ist letztlich relativ neu. Früher konzentrierte sich die Sicherheit auf das gesamte Informationssystem: Infrastruktur, Architektur und Anwendungen, mit dem Hauptziel, Betriebsunterbrechungen zu vermeiden verbunden mit dem Schutz von Zugriffen und dem Perimeter des Systems.

Was sich bereits beim Wandel von der „Unternehmens-IT“ zum „Informationssystem“ abzeichnete, ist heute Realität: Wir bewegen uns in einer datengetriebenen Welt. Ob roh, verarbeitet oder flüchtig, Daten haben einen Wert. Das haben auch Hacker längst verstanden: Während es früher darum ging, IT-Systeme lahmzulegen, gehören Datendiebstahl, -manipulation und -korruption heute zu ihren wichtigsten Zielen.

Geht diese Problematik also über die IT-Abteilung hinaus?

DL: Ganz klar! Es handelt sich um eine unternehmensweite Herausforderung – insbesondere, weil für bestimmte Informationen, wie personenbezogene Daten (siehe DSGVO), rechtliche Sanktionen drohen, wenn sie unzureichend geschützt sind.

Die Datensicherheit im Unternehmen ist damit ein zentraler Aspekt der Unternehmensführung. Bei DEEP sind wir überzeugt: Die IT-Abteilung muss auf oberster Führungsebene vertreten sein, genau wie Finanzen, Vertrieb oder Operations ob in einem Vorstand, einer Geschäftsleitung oder einem Lenkungsausschuss.

Welcher Ansatz ist bei der Datensicherheit empfehlenswert?

DL: Wir empfehlen einen pragmatischen und strukturierten Ansatz, im Rahmen einer vorausschauenden Strategie. Ein Datensicherheitsplan ist nur der erste Schritt. Damit dieser langfristig wirksam bleibt, muss er gesteuert und weiterentwickelt werden.

Zunächst steht die Identifikation der kritischen Assets im Vordergrund in erster Linie Datenbanken, die am häufigsten Ziel von Angriffen sind. Hierbei müssen sowohl technische Aspekte (Hersteller, Version, Administrationsprozesse etc.) als auch die geschäftliche Relevanz (Business Impact Analysis – BIA) betrachtet werden. Dies ermöglicht eine Priorisierung nach Kritikalität.

Anschließend analysieren wir für jedes Asset die Schwachstellen, prüfen bestehende Sicherheitsmaßnahmen und entwickeln darauf aufbauend Risikoszenarien – unter Einbeziehung organisatorischer Rahmenbedingungen.

Welche Bereiche werden dabei konkret untersucht?

DL: Mit unserer Erfahrung im Bereich der Verwaltung von Datenbanken, insbesondere von Oracle-Datenbanken unabhängig von der Version, haben wir ein Referenzsystem für die Sicherheitsanalyse entwickelt, das in sieben Schlüsselbereiche unterteilt ist:

• Zugriffsverwaltung

• Datensicherheit (inkl. Verfügbarkeit)

• Infrastruktur & Architektur

• Betriebsfähigkeit und Wartung

• Lizenzen & Lieferantenverträge

• Personal & Organisation

• Physische Sicherheit

Dieses Referenzmodell führt zu einer Maßnahmenphase, in der wir auf verschiedene Oracle-Lösungen zurückgreifen, darunter:

• Data Masking & Subsetting zur Datenmaskierung

• Network & Transparent Data Encryption zur Datenverschlüsselung

• Database Lifecycle Management zur Verwaltung des Lebenszyklus

• Data Redaction zur Pseudonymisierung

• Database Firewall & Vault für fortschrittliches Zugriffsmanagement

• DBSAT & Data Safe für zentrale Sicherheitsbewertungen und Audits

Für jedes identifizierte Risiko sieht der Sicherheitsplan konkrete Maßnahmen vor, den jeweiligen Reifegrad und eine zeitliche Entwicklung. Denn: Ein Sicherheitsplan muss langfristig gepflegt werden, um dauerhaft wirksam zu bleiben.

Zur Unterstützung haben wir uns für den Einsatz eines Risk-Management-Tools zur Verwaltung von Cyber-Risiken und Compliance entschieden.

Und was ist mit regulatorischen Anforderungen?

DL: Seit etwa zwei Jahren ist das ein wichtiges Thema für Unternehmen: ITIL reicht nicht mehr aus, viele Unternehmen streben daher eine ISO 27001-Zertifizierung an. In diesem Zusammenhang sind End-to-End-Datentransparenz und ein kontinuierlicher Verbesserungsprozess unverzichtbar. Wir helfen unseren Kunden dabei, Datensicherheit nahtlos in ISO 27001 zu integrieren.

Was raten Sie für den Einstieg in die Datensicherheit?

DL: Es gibt zwar gewisse Best Practices, aber kein Patentrezept – alles hängt vom Unternehmenskontext, der Organisation, den Datentypen und -mengen ab. Klar ist: Ein Big Bang ist nicht nötig. Der Einstieg sollte mit einigen kritischen Datenbanken erfolgen – insbesondere jenen, die für die Business Continuity entscheidend sind. Und ganz gleich, womit man beginnt: Ein langfristiges Monitoring ist unerlässlich. Denn ein heute effektiver Sicherheitsplan ist es morgen meist nicht mehr!