Wären Datenbankadministratoren nachlässig? Indem sie Sicherheitspatches nicht schnell genug anwenden, spielen sie den Angreifern in die Hände. Ein magerer Baum, der den wachsenden Wald technischer Komplexität und eines Sicherheitsbudgets, das immer wieder heruntergefahren wird, verdeckt.
Ernüchternde Feststellung aus Frankreich
Niemand ist naiv. Der Staat hat eine umfassende Untersuchung zur Cybersicherheit durchgeführt, die in dem senatorialen Bericht vom 10. Juni 2021 mit dem Titel „Cybersicherheit der Unternehmen – Vorbeugen und Heilen: Welche Heilmittel gegen Cyberviren?“ mündete.
Dieser Bericht zeigt, dass unsere zunehmend digitalisierten Unternehmen selbstverständlich auch immer mehr Cyberangriffen ausgesetzt sind, dass Cyberrisiken für Unternehmen tödlich sein können und dass das Bewusstsein dafür ungleich verteilt ist. Es wird ein Mangel an menschlichen Ressourcen festgestellt, ein offensichtlicher Mangel an Sicherheitsbewusstsein bei den Mitarbeitenden und unterausgestattete KMUs, die der Bedrohung nicht gewachsen sind. Der Bericht bedauert zudem das Fehlen eines echten Cybersicherheits-Ökosystems, geeigneter Werkzeuge je nach Unternehmensgröße und die Entwicklungshemmnisse, die das aktuelle Vergaberecht mit sich bringt. Es ist wahr, dass es oft heißt, die Franzosen seien hervorragende Ingenieure, aber schlechte Kaufleute und dass der freie Wettbewerb ihnen nicht gerade das Leben erleichtert. Doch es geht nicht nur darum.
Was alle Datenbankadministratoren exasperiert
Unter den vielen Fällen von Kompromittierungen gelten Datenbanken, die die sensibelsten bis hin zu den operationellsten Daten beherbergen, selbstverständlich als das ultimative Ziel für Angreifer. Sie stellen zudem einen etwas speziellen Fall in einem IT-System dar: Da sie in der Regel auf Systemen mit eingeschränktem Zugang basieren – zumindest unter Unix – vermitteln sie ein Gefühl der Sicherheit, das jedoch durch jahrelange, teils unangemessene Gewohnheiten, die in Zeiten entstanden sind, als Cyberrisiken entweder selten oder wenig sichtbar waren, untergraben wird.
In den letzten Jahren haben mehrere Artikel über Schwachstellen in vor Ort betriebenen Datenbanken berichtet und erinnern daran, dass die sorgfältige Anwendung von Sicherheitspatches ein allgemeines Sicherheitsprinzip ist. Die Reaktionen darauf waren nicht lange auf sich warten, und es wurde oft ein Argument der Anbieter zurückgewiesen, das als zu einfach angesehen wurde.
Ein Datenbankadministrator dürfte bei der Lektüre dieser Artikel sicherlich frustriert sein. Als einer der Garanten einer immer komplexeren Sicherheitslandschaft muss er zudem Assets verwalten und schützen, deren Kompromittierung ebenso schwerwiegende wie gefährliche Schäden nach sich ziehen kann. Er muss mit zunehmend strengen Vorschriften in einem Rahmen jonglieren, der den neuen Anforderungen nicht mehr gerecht wird.
Von Nachlässigkeit zu sprechen, bedeutet, die praktischen Zwänge zu vergessen
Die Sicherheit von Datenbanken betrifft nicht nur böswillige externe Angriffe. Eine Kompromittierung kann jederzeit auch intern erfolgen, oft aus persönlichen Interessen. Die Administratoren selbst sind häufig Ziel von Phishing-Versuchen und müssen besonders aufmerksam auf die hochentwickelten Phishing-Mails reagieren, die sie erhalten.
Sie wissen, dass sie den Zugang zu den Datenbanken einschränken müssen, doch die Agilitätsanforderungen des Unternehmens treiben sie dazu, im Laufe der Zeit immer mehr Zugriffsrechte zu gewähren, um Software implementieren und weiterentwickeln zu können sowie notwendige Betriebs- und Produktionsabläufe durchführen zu können.
Viele Administratoren erben außerdem Systeme, die seit Jahren bestehen und für die es keine Audits gibt. Glauben Sie nicht, dass das Fehlen von Informationen eine Nachlässigkeit widerspiegelt. Der Wille, den Zugang besser zu kontrollieren und die Anzahl der Zugriffsrechte zu begrenzen, wird schließlich unweigerlich auf die Realität eines außergewöhnlich aufwändigen Projekts treffen, das zu teuer und vor allem zu zeitintensiv ist, um Priorität zu haben. Wie viele haben es bei einer Versionserneuerung versucht und sind dann wieder abgebrochen?
Und all das geschieht im Kontext eines Informationssystems, das auf all diesen Softwarepaketen basiert, ohne die das Unternehmen nicht mehr funktionieren würde, deren spezifischer Aktualisierungs- und Entwicklungszyklus jedoch nur selten mit dem der Datenbanken übereinstimmt. Wer pflegt heute noch nicht unterstützte Versionen, die für eine Anwendung erforderlich sind, die sich nicht mehr weiterentwickelt? So viele? Das ist die Realität eines Unternehmens.
Der Preis der Hygienemaßnahmen
Ja, das Anwenden von Patches, soweit es möglich ist, ist erforderlich. Aber seien wir ehrlich: Es gibt viele andere Methoden, wie ein Angreifer in eine Datenbank eindringen kann. Ganz wie der senatorialen Bericht andeutet, gibt es im Inneren des Unternehmens eine Verweigerung, das volle Ausmaß des Risikos zu erkennen und entsprechend zu investieren.
Die Frustration ist greifbar und verständlich. Die Systeme werden immer komplexer, jedes Element bringt seine eigene Verwundbarkeit mit sich. Die Schwierigkeit heute besteht darin, pragmatisch zu bleiben, eine angemessene Vorsicht zu wahren, ohne in eine Paranoia zu verfallen, zu der uns die aktuellen Ereignisse jedoch einladen, zusammen mit der langen Liste von Strafen, die aufgrund der ständig wachsenden Vorschriften verhängt werden.
Das Fehlen einer Kontrolle des IT-Systems kann den Administratoren das unangenehme Gefühl vermitteln, jederzeit angreifbar zu sein, während weiterhin der Fokus auf der Funktionsweise der Dienste und deren Weiterentwicklung liegt. Nichts wird sich ändern, solange die Administratoren keine mehr Zeit haben als heute, um sich den Patches zu widmen, aber auch einer Reihe von unterstützenden Maßnahmen. Die Priorisierung, die Datenverschlüsselung, die Zugangskontrolle und die Prüfung zu wenig sicherer Lösungen, von denen sich das Unternehmen langfristig trennen muss, sind alles Hygienemaßnahmen des IT-Systems, die zwar ressourcenintensiv sind (Menschen, Zeit, Budget), aber ein starkes Vertrauen in das Unternehmen senden, das sich ihnen unterwirft.
Wenn es Nachlässigkeit gibt, dann beginnt sie ganz oben, wo die Budgets verweigert werden. Der Verband der Unternehmen der digitalen Wirtschaft NUMEUM schlägt vor, dass das Sicherheitsbudget je nach Sektor 5 bis 20 % des IT-Budgets ausmacht, damit es wirksam ist und aus dem Sicherheitsteam sowie den Administratoren keine Sündenböcke gemacht werden. Auch dies ist ein Punkt, den man überprüfen sollte, und ein guter Rat, den man jedem Ingenieur geben sollte, der sich um eine Position in der digitalen Sicherheit bewirbt.
