4 Gründe für eine Risikoanalyse Ihrer Datenbanken

Heute sehen wir täglich in der Presse Fälle von Hacking, Datenlecks, massiver Dienstunverfügbarkeit... Gleichzeitig ist Daten mehr denn je zentral für die strategische Entwicklung und die Nachhaltigkeit von Organisationen. Diese Daten werden jedoch in Datenbanken gespeichert, die sich wiederum in komplexen IT-Infrastrukturen befinden.

Hier sind also 4 Gründe, die Sicherheitsmaßnahmen zu bewerten und eine IT-Risikoanalyse durchzuführen und warum Sie einen Fokus auf Ihre Datenbanken legen sollten. Die Datensicherheit ist für Unternehmen, unabhängig von ihrer Größe, von entscheidender Bedeutung.

Was ist die Analyse der IT-Risiken?

Die Analyse der IT-Risiken ist eine der Phasen des Risikomanagements, die durch die Norm ISO 31000 als die Gesamtheit der „koordinierten Aktivitäten zur Leitung und Steuerung einer Organisation im Hinblick auf das Risiko“ definiert wird.

Im Allgemeinen gibt es drei Hauptziele des IT-Risikomanagements:

• Bewertung der bestehenden Maßnahmen nach Ihren Sicherheitskriterien (insbesondere Verfügbarkeit, Integrität und Vertraulichkeit)
• Verbesserung der Sicherheit des Informationssystems (IS)
• Nachweis und Prüfung der Zuverlässigkeit des IS

Das Risiko wird im Allgemeinen durch die „Risikogleichung“ definiert, nämlich:

RISIKO = BEDROHUNG x VERWUNDBARKEIT x AUSWIRKUNG

In dieser Gleichung entspricht eine Bedrohung dem Ursprung des Risikos, seiner Quelle, dem potenziellen Angriff, der den Vermögenswerten schaden könnte. Die Verwundbarkeit ist eine Sicherheitslücke auf der Ebene eines Vermögenswerts. Schließlich kann die Auswirkung als ein Schweregrad definiert werden.

Um die Risiken zu reduzieren und die Vermögenswerte zu schützen, müssen Organisationen eine Risikomanagement-Politik definieren, die wiederum zur Umsetzung eines Aktionsplans zur Sicherheit der Vermögenswerte, insbesondere der Daten, führt. Dieser Aktionsplan muss auch die Wahrscheinlichkeit und die Akzeptanz der Risiken durch die Organisation berücksichtigen.

Da wir nun die Grundlagen gemeinsam überprüft haben, hier sind 4 Gründe, eine Risikoanalyse Ihres Informationssystems, insbesondere Ihrer Datenbanken, durchzuführen.

Grund Nr. 1: Ihre Daten sind kritisch und Unternehmen jeder Größe sind betroffen

Kennen Sie noch viele Unternehmen, die nur mit Papierdokumenten arbeiten?

Heute verwalten alle Unternehmen digitale Daten. Diese sind ihr Rohgold und viele Unternehmen haben dies erkannt, indem sie diese Daten in Big Data, Machine Learning oder Data Analytics-Tools einfließen lassen, um sie maximal zu nutzen und mehr Wert zu schaffen.

Darüber hinaus kann eine Organisation heute nicht mehr ohne Zugang zu ihrem Informationssystem funktionieren, da es kritische Anwendungen (Bestelllösungen, Logistik, CRM, HR, Buchhaltung, Patientenakten...) und vor allem wesentliche Daten für die Aktivitäten der Organisation enthält.

Es ist daher für diese Organisationen von entscheidender Bedeutung, ihr Informationssystem und vor allem ihre Daten zu schützen.

Im Jahr 2018 gaben laut einer Insee-Studie, die im April 2020 veröffentlicht wurde, 16% der Unternehmen mit mehr als 10 Personen an, einen IT-Sicherheitsvorfall (Nichtverfügbarkeit, Zerstörung oder Veränderung von Daten, Offenlegung vertraulicher Daten...) erlebt zu haben. Genauer gesagt, hatten 13% der kleinen Unternehmen (10 bis 19 Personen) Sicherheitsvorfälle im Vergleich zu 30% der großen Unternehmen (mehr als 250 Personen).

Die gute Nachricht ist, dass 87% der Unternehmen mit mehr als 10 Personen Maßnahmen zur Sicherheit ihres Informationssystems ergriffen haben, sei es durch Schulungen, Sicherheitstests usw.

Dieser Bericht zeigt uns auch, dass 67% der Unternehmen ihre IT-Sicherheitsaktivitäten ganz oder teilweise auslagern.

Grund Nr. 2: Es ist eine Tatsache: Datenbanken sind bevorzugte Ziele

Per Definition ist das Datenbankmanagementsystem (DBMS) unabhängig von den Anwendungen. Daher ist es möglich, auf eine Daten zuzugreifen, ohne die Anwendung oder deren Kontrollen zu durchlaufen.

Laut dem Data Breach Investigations Report 2019 von Verizon gehören Datenbankserver zu den Top 5 der von einer Datenkompromittierung betroffenen Vermögenswerte, neben E-Mail-Servern, Anwendungsservern und Arbeitsstationen.

36% der Datenkompromittierungen sind auf eine schlechte Konfiguration der Datenbanken, sowohl on-premise als auch in der Cloud, zurückzuführen. Der Bericht zeigt sogar, dass 34% der Angriffe interne Akteure betreffen. Dies sind also mindestens zwei wichtige Faktoren, die berücksichtigt werden müssen. Daher ist es für Ihre Organisation notwendig, die innerhalb Ihres Informationssystems (IS) implementierten Maßnahmen zu identifizieren und die damit verbundenen Risiken zu bewerten, um sie anschließend bewusst zu beheben oder zu akzeptieren.

Grund Nr. 3: Die neuen Nutzungen (Berufe, Cloud...) schaffen neue Sicherheitslücken

Alle Berufe in den Organisationen entwickeln sich mit der digitalen Transformation und der Wirtschaft. So entstehen neue Nutzungen:

• Die Berufe müssen den Zugang zu Daten öffnen, um den von der Organisation erzeugten Wert zu steigern;
• Die Partner und/oder B2B- oder B2C-Kunden können manchmal auf das Informationssystem (IS) der Organisation zugreifen, um Kosten und Fristen zu optimieren;
• Insbesondere die IT-Teams müssen die Datenkopien vervielfachen, um Backups, Disaster Recovery (PRA/PCA) oder Tests durchzuführen, um die Entwicklung neuer Anwendungen zu erleichtern...

Insgesamt machen diese Nutzungsänderungen das Informationssystem komplexer:

• Vervielfachung der Datenbanken und ihrer Standorte (Cloud, SaaS, Shadow IT...);
• Schnittstellen zwischen Anwendungen, Organisationen, mobilen Anwendungen...;
• Verbindung mit vielen Anwendungen, die jeweils ihre eigenen Besonderheiten haben.

Aus Sicht der Informationssicherheit verstärkt dies die Notwendigkeit, die Schwachstellen zu identifizieren, die implementierten Sicherheitsmaßnahmen zu bewerten und schließlich die spezifischen Sicherheitsrisiken des Informationssystems Ihrer Organisation zu bewerten.

Grund Nr. 4: Sie müssen regulatorische Konformität gewährleisten

Die Regulierungen, Zertifizierungen und Normen auf nationaler, europäischer (RGPD, NIS, ...), internationaler (ISO 27001, ...) oder branchenspezifischer Ebene (HDS, PCI-DSS...) entwickeln sich weiter, um die Herausforderungen der Cybersicherheit zu berücksichtigen und den Schutz der Menschen zu gewährleisten. Alle beinhalten nun das Prinzip der Risikobewertung.

Die Einhaltung der Regeln und Normen ist aus mehreren Gründen wichtig:

• Um Ihre Aktivität zu schützen und aufrechtzuerhalten, indem Sie sich an die empfohlenen Standards halten, die zum Schutz Ihres Informationssystems (IS) umgesetzt werden sollen;
• Um Ihre Vermögenswerte zu schützen und Ihren Aufsichtsbehörden, Kunden und Partnern Qualität, Vertrauen und Sicherheit zu gewährleisten;
• Um Ihre Partner dazu zu bringen, ein angemessenes Sicherheitsniveau und eine Kontinuität des Dienstes zu übernehmen.

Um stärker zu werden, muss man seine Schwächen kennen... Kennen Sie Ihre IT-Sicherheitslücken? 

Wenn Sie mehr über die Analyse der IT-Risiken und die Implementierung eines Risikomanagements erfahren möchten, sehen Sie sich die Wiederholung unseres Webinars „Wie man die Analyse und das Management der Risiken Ihrer Oracle-Datenbanken erfolgreich durchführt“ an.

Entdecken Sie auch unser Angebot zur Cyber-Resilienz.