Gerade im Umfeld kritischer Infrastruktureinrichtungen (KRITIS) - wie Strom- und Wasserwirtschaft, Finanzwesen oder Ernährungswirtschaft - hätte ein Versagen oder eine Verschlechterung der Versorgungsleistungen drastische Auswirkungen auf Deutschland. Daher spielen die Erreichbarkeit und die Sicherung von IT-Systemen gerade im Umfeld kritischer Strukturen eine große und entscheidende Bedeutung.
Daher finden neben den oben genannten Beteiligten individuelle Bestimmungen des IT-Sicherheitsgesetzes auch auf Anbieter von gewerblichen Websites Anwendung, die höheren Ansprüchen an ihre IT-Systeme genügen müssen. Mit Wirkung vom 05.05.2016 ist der erste Teil der BSI-Kritikverordnung ( 10 BSI-Gesetz) zur Durchführung des IT-Sicherheitsgesetzes in Kraft gesetzt worden. Die betroffenen Firmen aus den Bereichen der Energiewirtschaft, Informationstechnologie und der Telekommunikationsbranche sowie der Wasserwirtschaft und Lebensmittelindustrie können eine Anlaufstelle nach § 8b BSI-Gesetz bestimmen.
Die erste Änderungsverordnung zur BSI-Kritikverordnung, die am 30.06.2017 wirksam wurde, erweitert die Bereiche Finanzen und Versicherungen, Gesundheitswesen und Transportwesen.
"Oh, ich denke es ist lustig, dass du in dein Benutzerprofil Datensicherheit schreibst. "Mein Verstand sprudelt und ich wundere mich, was ein WAF mit der Sicherheit von Datenbanken zu tun hat.... Aber obwohl Sie dieses Werkzeug verwenden, müssen Sie immer noch über die Sicherheit der Datenbanken denken. Schließlich werden die sensiblen Informationen in einer Datenbasis gespeichert, die über einen Schutzmechanismus verfügt.
Diese müssen genutzt werden, um die Betriebssicherheit zu steigern. In diesem Beitrag wird beschrieben, woher das gesamte Sicherheitsproblem kommt und wo es endet, in diesem Falle auf der technischen Seite der Datenbasis. Sensible Information wie Firmendaten und persönliche Angaben werden in großer Zahl elektronisch bearbeitet, gespeichert oder bei anderen Anbietern bereitgestellt.
Hackern bieten sich mehr Möglichkeiten, von außen und drinnen auf Informationen zuzugreifen, was das Schadensrisiko für Firmen und Behörden erhöht. Dies erhöht auch den Zwang zur Umsetzung von Informationssicherheitsmaßnahmen. Dabei handelt es sich in der Regel um die so genannten Sicherheitsziele der Datensicherheit - Diskretion, Unversehrtheit und Sichtbarkeit.
Unversehrtheit gewährleistet die Unversehrtheit einer Meldung und den wirksamen Widerstand gegen unbefugte Manipulation. Immer häufiger fordern die Behörden und Verbraucher Datensicherheit. Hierfür gibt es rechtliche Bestimmungen, die dies unmittelbar oder mittelbar vorgeben. Zudem sind die rechtlichen Voraussetzungen für die Einhaltung und Offenlegung im Finanz- und Rechnungswesen gestiegen (nach dem skandalösen Enron-Buchungsbetrug im Jahr 2001).
Deshalb muss die Sicherheit der Informationen in jedem Betrieb höchste Priorität haben. Für den gefahrlosen Betrieb von Daten- und Informationsverarbeitungssystemen ist es notwendig, Sicherheitsnormen gemäß dem entsprechenden Risiko zu erarbeiten und einhalten. Dies auch auf Datenbank-Ebene. Rechtliche Anforderungen, die einen entscheidenden Einfluss auf das IT-Managementsystem des Unternehmens haben. Im Mittelpunkt steht das Gesetz zur Überwachung und Offenlegung von Risiken in Betrieben (KonTraG).
Sie zielt auf die Verbesserung des Managements in Deutschland. Hierauf aufbauend müssen Gefahren beurteilt und vernünftige Massnahmen erarbeitet werden. Das Gesetz sieht in 91 Abs. 2 des Aktiengesetzes buchstäblich eine Neuregelung vor, wonach der Aufsichtsrat dazu angehalten ist, "geeignete Vorkehrungen, vor allem zur Einrichtung eines Überwachungssystems, zu ergreifen, damit bestandsgefährdende Vorgänge frühzeitig erkennbar werden".
Zunehmend wertvoller werden die persönlichen oder persönlichen Angaben wie z. B. Namen, Lebensalter, Familienstand, aber auch die persönlichen Angaben wie IP-Adresse oder Personennummer. Es ist daher von Bedeutung, dass auch der Datenschutz rechtlich verankert ist. Darin werden die zu ergreifenden Rechte, Verpflichtungen und Massnahmen detailliert dargestellt. Hierzu zählen die Ernennung eines Beauftragten für den Datenschutz bei Unternehmen einer bestimmten Größe und die Vereinbarung über die Vertragsdatenverarbeitung zwischen den Vertragsparteien.
Dies gilt nicht, wenn persönliche Informationen im Namen und im Auftrage der zuständigen Behörde erfasst, bearbeitet oder verwendet werden. Dies sind nur einige der gesetzlichen Anforderungen. Es gibt Überschneidungen, aber im Wesentlichen geht es immer darum, Gefahren zu identifizieren und durch geeignete Massnahmen zu verhindern oder zu reduzieren.
Künftig werden die Vorschriften noch strenger oder es kommen neue hinzu. Es wird an einer EU-weiten Direktive zur Netz- und Datensicherheit gefeilt. Ziel dieses Gesetzes ist der Schutz so genannter kritischer Infrastruktureinrichtungen (KRITIS), die für das Wirken unserer Gemeinschaft von zentraler Bedeutung sind. Weil IT-Sicherheitsstandards je nach Firma, Industrie oder externem Zwang sehr verschieden oder gar nicht implementiert werden, soll dieses Gesetz zu einer Verbesserung führen.
Wesentliche IT-Sicherheitsvorfälle sind dem BSI (Bundesamt für Sicherheit der Informationstechnologie) zu melden. Aus heutiger Sicht haben die Firmen zwei Jahre Zeit, um die Forderungen zu befriedigen. Die Kabinettsentscheidung ist vollzogen, nun wird das Gesetz voraussichtlich im zweiten Vierteljahr 2015 vom Parlament beschlossen. Eine gesetzliche Verordnung (einschließlich der Bestimmung der betreffenden Unternehmen) ist voraussichtlich zu Beginn des Jahres 2016 zu erwarten.
Aus heutiger Sicht haben die Gesellschaften, wie in der Verordnung festgelegt, zwei Jahre Zeit, um die Voraussetzungen zu schaffen. Welcher oder welche Standards das Untenehmen für seine eigenen Interessen einzuhalten hat, hängt von der Natur des eigenen Geschäftmodells, der Industrie, in der es tätig ist, und den Bedürfnissen Dritter ab.
Papiersicherheit heißt für mich, dass auf dem Papier alles für die Geborgenheit ist. Es gibt keine 100-prozentige Absicherung, aber mit 80-prozentigem Erfolg können Sie eine gute Grundlage haben. Wie viel Geborgenheit muss ich haben, um die Bilanz zwischen Preis, Leistung und Gewinn zu ziehen. Es gibt keine 100-prozentige Absicherung.
Aber mit 80-prozentiger Gewissheit können Sie eine gute Grundlage haben. Steht ein Täter nun vor der Tür der Datenbank und muss nur noch klopfen, wird er so genannte Angriffe für seine Ziele nutzen. Ausbeutung ist eine Sicherheitslücke oder Schwachstelle im Programm-Code der Datenbank-Software. Bei besonders sensiblen Datenbeständen ist es wichtig, die wichtigen Patch-Updates, d.h. die sicherheitsrelevanten Patchs, umgehend zu installieren.
Mit jeder neuen Version der Datenbanksoftware gibt es daher neue Ansätze, um diese zu vermeiden. Im Datenbestand befinden sich Java-Pakete/Funktionen (DBMS_JAVA_TEST und DBMS_JAVA), die von jedem beliebigen Anwender aufrufbar sind. Umgekehrt muss ich als Datenbankverwalter diese Rechte (zu den "unsicheren" Paketen) ausdrücklich von der Public-Rolle zurückziehen.
Wenn ich das ignorieren sollte, kann ein Anwender mit Hilfe der Packages und der Verwendung des SQL-Codes viel mehr Rechte bekommen und die Schuld auf sich nehmen, z.B. Sichten und Ändern von Dateien, Erstellen oder Ändern neuer Nutzer, Zuweisen und Löschen von Rechten, Abdecken von Leiterbahnen, usw.? Die SQL-Injektion ist immer noch der grösste Angreifer für Datenbestände in der Welt der Webanwendungen.
Das heißt, dass SQL-Code über Input-Felder in eine Web-Anwendung eingefügt wird und somit Informationen über Dateiformate, Inhalte und Strukturen gewonnen werden. Das Ergebnis ist nicht nur Spionage, sondern auch die Änderung der Informationen. Dazu ist es notwendig, die Rechte des in der Datenbasis handelnden Benutzers nach dem Grundsatz "So wenig wie möglich und so viel wie nötig" zu beschränken.
Applikationsentwickler müssen dieses Problem ebenfalls angehen und entsprechende Massnahmen treffen, wie z.B. die Einschränkung von Benutzerfeldeinträgen und die Übergabe der Übertragungswerte über vorbereitete Anweisungen. Dann werden die gesammelten Informationen nicht ausgewertet und eine SQL-Injektion wird somit unterdrückt. Sind diese nicht änderbar, ist es notwendig, beim Datenbankzugriff Massnahmen zu treffen.
Diese Anlagen werden oft mit realen Werten verwendet und sollten daher immer in den Prüfumfang und damit in die Aushärtung der Schutzmaßnahmen einbezogen werden. So wirken sich seit Jahren nicht gelöste Sicherheitslücken und öffentlicher Zwang bisweilen positiv auf die Datenbanksicherheit aus. Natürlich ist es empfehlenswert, diese Kommunikations-Verschlüsselung zwischen Kunde und Datenbasis zu verwenden.
Das Härten einer einmal implementierten Datenbasis ist sehr gut. Zudem ändern sich die Ansprüche an Normen, Sicherheitsstandards und Standardsoftware. Sie bleiben nie auf dem selben Niveau und entwickeln sich ständig weiter. Wir müssen uns nur darüber im Klaren sein oder werden, dass Datensicherheit ein sehr wichtiger Aspekt ist.