Infrastruktur MAG 15-11

Datendiebstahl wirksam vorbeugen

2015
Geschrieben von Christoph Kersten, Oracle

SAP mit einer Oracle-Datenbank bildet für viele Unternehmen das Rückgrat ihres Geschäfts. Entsprechend sensibel sind die Daten, die dort verarbeitet werden. Wie lassen sich Oracle-Datenbanken im SAP-Umfeld absichern? Mit einem ganzheitlichen Ansatz können auch weitere Anwendungen und die gesamte sogenannte IT-Suprastruktur geschützt werden.

Generell gibt es nicht „die“ Lösung, die alleine die vollständige Sicherheit für das gesamte SAP-System garantieren könnte. Oracle bietet (zusätzlich zu den von der SAP bereits auf Applikationsebene implementierten Funktionalitäten) selbstverständlich Lösungen im Datenbank-Bereich an, darüber hinaus aber auch Lösungen auf der Ebene der Infrastruktur – also unterhalb von Applikationen und Datenbanken – wie auch auf der Ebene der Suprastruktur – applikationen- und datenbankenübergreifend. Im Infrastruktur-Bereich sind das insbesondere sichere Betriebssysteme.

Im Suprastruktur-Bereich handelt es sich um Lösungen für die Identitäts- und Zugangsverwaltung, die einen Layer über alle Anwendungen, einschließlich SAP, legen.

Gehärtetes Betriebssystem

Mit Oracle Solaris und Oracle Linux stehen zwei Betriebssysteme zur Verfügung, die sich für den Betrieb von SAP (Application Server ebenso wie Datenbank) eignen.

Winshuttle

Beide bieten eine umfangreiche Palette an Werkzeugen und Technologien, um IT-Umgebungen zu schützen sowie Gefahren zu reduzieren, einschließlich Firewall-Kon­trolle und Sicherheitsrichtlinien für die Zugangsverwaltung.

Am Beispiel von Oracle Solaris werden im Folgenden einige Strategien und Features vorgestellt, die ein sicheres Betriebssystem ausmachen.

Mit Oracle Solaris lassen sich nicht nur Rechte für Anwender und Applikationen, sondern auch für Administratoren fein granular differenzieren. Auf diese Weise wird ausgeschlossen, dass ein Administrator alleine das gesamte Betriebssystem lahmlegen kann.

Weiterhin stellt das Betriebssystem eine sichere Authentifizierung aller aktiven Subjekte bereit und verschlüsselt die Kommunikation zwischen den Endpoints. Oracle Solaris ist außerdem mit anderen Sicherheitsarchitekturen nahtlos integrierbar.

Das System prüft darüber hinaus eigenständig seinen Sicherheitszustand und verfügt mit Oracle Solaris Zones über eine integrierte Virtualisierung.

Gutes Vertrauen, bessere Kontrolle

Beim Identity und Access Management geht es mittlerweile um weit mehr, als lediglich sicherzustellen, dass berechtigte Mitarbeiter Zugriff auf ihre Anwendungen bekommen.

Es bedarf eines umfassenden Verständnisses davon, wer physischen und logischen Zugriff auf Einrichtungen, Netzwerke und Informationen hat. Als Stichworte seien hier nur ein paar der aktuellen IT-Trends genannt: gemischte und virtualisierte Betriebssysteme, Anwendungs- und Datenbank-Installationen mit unterschiedlichen Benutzerverwaltungen, Service-orientierte Architekturen, Cloud Computing, Mobile Computing (inkl. BYOD), IT Governance, Compliance-Richtlinien und nicht zuletzt das Internet der Dinge.

All dies muss schlüssig mit einem Sicherheitsansatz für das SAP-System verbunden werden, wobei auch die Flexibilität erhalten bleiben muss, weitere Plattformen einzubinden.

Suite für Identity Management unter SAP

Die Identity Governance Suite von Oracle arbeitet beispielsweise nahtlos mit dem SAP GRC Stack zusammen. So werden Gesetze eingehalten, nach denen sensible SAP-Daten klassifiziert werden müssen.

Zugleich wird sichergestellt, dass keine Bedrohung durch ausgelaufene Rechte und unautorisierte Accounts entsteht und die Aktivitäten von Administratoren protokolliert werden.

Der in der Suite enthaltene Oracle Identity Manager unterstützt Unternehmen dabei, Identitäten zu verwalten und Anwender mit Rechten auszustatten. Er verfügt über spezielle Konnektoren zu SAP ERP (Abap und Java), unterstützt spezielle SAP-HCM-Szenarien, integriert sich in SAP BusinessObjects Access Control (V 5.3 und V10) für die SAP-spezifische Validierung der Segregation of Duty. Gleichzeitig nutzt er die SAP Org-Structures als Grundlage für die Entwicklung eines unternehmensweiten Business-Rollenmodells.

Zugriffsrechte werden über die Oracle Access Management Suite eingerichtet. Sie erfüllt alle Anforderungen, einschließlich zeitgemäßer Funktionen für die Gewährung von Zugriffen von mobilen Endgeräten aus, der User-Verwaltung über Social Networks und der Integration von Cloud- und On-premise-Anwendungen.

Speziell im SAP-Umfeld kann die Access Management Suite von Oracle als umfassende WebSSO-Lösung für SAP-Net­Weaver- Enterprise-Portale genutzt werden, die auch zusammen mit Anwendungen von Drittanbietern funktioniert.

Schutzmechanismen für die Datenbank

Zugriffs- und Zugangskontrollen werden auch deshalb wichtiger, weil im Zuge der Konsolidierung von Rechenzentren und Systemen bis hinunter auf Datenbank­ebene die Folgen eines einzelnen Datendiebstahls massiv gestiegen sind.

Zudem erhalten durch Outsourcing und externes Hosting vermehrt Personen, die nur lose oder gar nicht mehr in ein Unternehmen eingebunden sind, Zugang zu Datenbanken.

Mit Oracle Advanced Security und Oracle Database Vault als Ergänzungen zum Database-Server lässt sich das Risiko eines Datendiebstahls erheblich minimieren. Beide sind auch problemlos in SAP-Umgebungen einsetzbar.

Ihre Schutzmechanismen greifen dann, wenn Kriminelle versuchen, sich unter Umgehung der Applikationsebene direkten Zugang zur Datenbank zu verschaffen.

Kriminelle könnten zum Beispiel versuchen, sich Kopien der Datenbank-Dateien zu besorgen, etwa ein Backup, und die Inhalte auszulesen. Hier schafft eine Verschlüsselung der Daten Abhilfe.

Im Zusatzpaket Oracle Advanced Security sind dafür die Funktionen Transparent Data Encryption und Backup Set Encryption enthalten, die seit der Database-Version 11g in SAP-Umgebungen einsetzbar sind.

Privilegienverwaltung gegen Gefahr von innen

Je mehr Rechte ein Benutzer hat, desto höher auch die potenzielle Gefahr, die von ihm ausgeht. Zwar wird prinzipiell zwischen System- und Objektprivilegien unterschieden, um einem Administrator die Verwaltung der Datenbank-Objekte, nicht aber den Zugriff auf darin enthaltene Daten gestatten zu können.

Allerdings ziehen nach dem traditionellen Sicherheitskonzept einerseits hinlänglich viele Systemprivilegien implizite Objektprivilegien nach sich. Zum anderen besteht die Gefahr, dass die Vergabe von Berechtigungen nicht mehr kontrollierbar ist, weil Administratoren sich selbst bedienen können.

Mit Oracle Database Vault wird eine neue Privilegienverwaltung möglich, die eine wesentlich strengere Trennung zwischen System- und Objektprivilegien vornimmt und die Einrichtung differenzierter, über die reine Objekt-Benutzer-Zuordnung hinausgehender Zugriffsregeln gestattet.

Zugriffsrechte können demnach an IP-Adressen, Uhrzeiten oder Anwendungen gebunden werden oder sogar das Vier-Augen-Prinzip durchsetzen, indem die Zusammenarbeit mehrerer Mitarbeiter „erzwungen“ wird.

Bei Oracle Database Vault handelt es sich zunächst nur um einen „Werkzeugkasten“, mit dem Sicherheitsadministratoren Regelwerke gemäß den Anforderungen und Richtlinien ihres Unternehmens entwickeln können. Für SAP-Kunden stellt Oracle jedoch bereits eine Default-Policy zur Verfügung, die üblicherweise 70 bis 90 Prozent der Anforderungen abdeckt.

Bei den regelmäßig wiederkehrenden Meldungen über große Datendiebstähle stellt sich nachträglich immer die Frage, ob der Datenraub nicht verhinderbar gewesen wäre.

Eines ist klar: Wenn man alle sicherheitsrelevanten Komponenten des Betriebssystems nutzt, eine Identity- und Access-Management-Lösung implementiert, durchsetzt und pflegt sowie auch auf Datenbankebene Schutzmechanismen installiert, wird ein Datendiebstahl ziemlich unwahrscheinlich.

Der Schutz von Wettbewerbsvorteilen und geistigem Eigentum sollte es den Unternehmen eigentlich wert sein − ganz zu schweigen vom drohenden Imageverlust.

Über den Autor

Christoph Kersten, Oracle

Christoph Kersten ist Principal Sales Consultant Database bei Oracle. Er ist seit 1989 bei dem Unternehmen und seit 1999 im Oracle Database for SAP Global Technology Center in Walldorf.

Hinterlassen Sie einen Kommentar