Datensicherheit clever umsetzen: Effektiv und kostengünstig

Warum die Sicherheit Ihrer Daten wichtig ist?

Wie lange könnte Ihre Firma ohne aktualisierte Daten arbeiten? Stellen Sie sich einmal vor, Sie würden Ihren Laptop einschalten und er wäre nicht in der Lage, Ihnen die Informationen der letzten sieben Tage anzuzeigen. Oder Sie beobachten, dass fälsche Informationen in allen Programmen angezeigt werden. Selbstverständlich benötigen auch die Daten Ihrer Firma ein gewisses Maß an Vertraulichkeit. Stellen Sie sich doch einmal vor, ein ehemaliger Mitarbeiter würde an seinem letzten Arbeitstag eine Liste aller Ihrer Kunden und Lieferanten an sich nehmen.

Sicherlich Sie können die Wahrscheinlichkeit des Auftretens dieser Situationen mit kostengünstigen, aber effektiven Maßnahmen vermindern können. Es ist wichtig, den Aufwand und die Kosten für Ihre Organization so gering wie möglich zu halten, amit Ihre Mitarbeiter die Maßnahmen akzeptieren.

Während der Entwicklung einer Anwendung, grundlegenden Mechanismen verwendet werden, um die absichtliche Manipulation der Daten zu unterbinden oder zu sicherstellen, dass jeder Benutzer seine Daten liest. Zum Beispiel, Programme haben eine Login-Seite, Benutzer- und Administratoren-Rollen, Prüfung der Daten, die im Browser eingeben werden. Diese Mechanismen müssen gebaut werden aber sie reichen nicht aus, die obengenannten Situationen zu identifizieren und zu vermeiden.

In den folgenden Sektionen werde ich Ihnen konkreten Empfehlungen geben, die auf meine 15-jährige Erfahrung als Entwickler, Architekt, Team Lead und Produkt Owner basierend. Sie erfüllen die Anforderungen des.

In den nächsten Abschnitten gebe ich Ihnen konkrete Tipps. Die basieren auf meiner 15-jährigen Erfahrung als Entwickler, Architekt, Team Lead und Produkt Owner. Die Anforderungen von Bausteins APP.4.3 über relationalen Datenbanken von IT-Grundschutz-Kompendium 2023 herausgegeben von BSI werden erfüllt.

Wenn Sie anderem Bedarf oder Fragen haben

Die folgenden Tipps gelten für die meisten deutschen Unternehmen, aber es kann sein, dass Ihre Daten mehr Schutz brauchen, je nachdem, welche Prozesse in Ihrem Unternehmen besonders wichtig sind. Wenn Sie weitere Maßnahmen brauchen oder Fragen zur Umsetzung haben, melden Sie gern bei mir oder kommentieren Sie auf LinkedIn .

Ziele dieser praxis-nahen Empfehlungen

• Dass, Sie Zeit sparen, weil konkrete Maßnahmen und Tools genannt werden. Es handelt sich um bewährte Verfahren, die bereits von der Mehrheit der deutschen Unternehmen seit Jahren erfolgreich implementiert werden
• Dass, Sie den IST-Zustand der Sicherheit Ihrer Daten prüfen können. Mit dieser Seite können sicherstellen, dass Ihr IT-Betrieb neue Tools, die in den letzten Jahren entwickelt wurden, auch analysiert und ggf. umgesetzt hat
• Dass, Sie die Empfehlungen am Bedarf ihrer Firma anpassen können. Sicherheit erfordert einen hohen Aufwand, der sich an der Kritikalität der zu schützenden Daten orientieren muss.

Die Umsetzung der Empfehlungen garantiert nicht, dass die Sicherheitsstandards eingehalten werden. Die Empfehlungen sind allgemein gehalten. Ich kann Ihnen kein detailliertes Datensicherheitskonzept anbieten, weil ich die Geschäftsprozesse und den Schutzbedarf Ihrer Unternehmen nicht kenne. Deshalb ist es wichtig, dass Sie die Empfehlungen an den Kontext Ihrer Organisation anpasst.

Ersten Maßnahmen, die zu Quick Wins führen

Mit wenig Aufwand führen diese direkt zur Erhöhung der Verfügbarkeit, Vertraulichkeit und Integrität Ihrer Daten.

Große Datenmengen werden nicht direkt in einer Webanwendung gespeichert und bearbeitet, sondern die Anwendungen speichern und verwalten die Daten in einer Datenbank.

1. Ändern Sie aller Passwörter aller Konten, die bei der Installation angelegt wurden. Dieses gilt auch für die Passwörter, die Sie von der Hersteller eines Systems gekommen haben. Sie müssen davon gehen, dass die Passwörter von mehreren Leuten bekannt sind
2. Monitoring des Servers, wo die Datenbank läuft: Wenn die Web-Anwendungen zu langsam laufen oder oft Fehlerseite auftreten, könnte die Ursache ein zerkleinerter Server. Um Aufwand zu sparen, ist es besser, wenn Sie eine Lösung fúr die Beobachtung von Servers wie das kostenlose Nagious (für Linux-basierte Betriebssystemen), die populäre Anwendungen beobachten kann. Damit ersetzen Sie die Alerts, die die Datenbank-Hersteller anbieten
   • Damit werden Sie sehen, ob der Server über genügend Reserven verfügt, um eine immer hoher Menge an Daten zu speichern und an Benutzer zu bedienen
   • Mit der Hilfe von der Monitoring-Tools können Sie Schwellwerte festgelegt werden und zuständigen Entwicklerteams alarmieren, wenn diese Werte überschritten werden
3. Erstellung einer Sicherheitsrichtlinie anhand von kostenlosen Benchmarks von der Center for Internet Security (CIS) für jeder Marke von Datenbanken. Ihrer Mitarbeiter können sich kostenlos bei der CIS anmelden und nach der Installations von neuen Datenbanken, diese Checklists anwenden. Wenn Sie einigen Schritten nicht relevant für ihrer Organization finden, können Sie Ihre eigene Version in Ihrem Wiki oder andere Dokumentensystem anlegen und pflegen. Aber Ihrer Mitarbeiter müssen alle sechs Monaten die Empfehlungen von CIS vergleichen und umsetzen, was sehr Aufwändig ist
   • Hier finden Sie die Einleitung für den Schutz von Oracle Datenbanken und hier für Microsoft SQL . Wenn Sie Fragen haben oder finden Sie die Benchmarks zu ausführen, könnte ich Ihnen helfen
4. Die Härtung des Datenbankmanagementsystems, Verschlüsselung der Verbindungen und die einheitliche Konfiguration erfolgen ohne Aufwand, wenn Sie die Benchmarks von CIS umsetzen
5. Regelmäßige Datensicherung von Datenbanken: Hier gibt es erprobte Einsätze, die seit Jahrzehnten verwendet werden und sie hängen davon ab, wie hoch die Schäden sind, wenn diese Daten für Ihr Geschäft nicht verfügbar sind:
   • Die Schäden oder Umsatzverluste treten schon nach wenigen Sekunden auf. Zum Beispiel, Ihr ERP-System, das die Logistik, Käufe und Kommunikation mit Kunden und Lieferanten ermöglicht oder ein Online-Shop mit einem hohen Umsatz. In der Regel, hier werden ein Paar von Datenbanken auf unterschiedlichen Maschinen verwenden. Wenn einer ausfällt, der zweite ist sofort verfügbar. Die Daten werden immer doppelte gespeichert. Außerdem müssen Sie eine Kopie der geänderten Daten stündlich und nächtlich eine vollständige Kopie machen
   • Die Schäden treten erst nach mehreren Stunden. Zum Beispiel B2B Verkauf Systemen mit geringer Umsatz, sekundäre Systemen, die Rechnung und anderen Unterlagen schicken. Hier ist ratsam eine Kopie der Änderungen der Daten alle 4 Stunden bis einmal nächtlich zu machen. Eine vollständige Kopie kann zwei-mal pro Woche gemacht werden
   • Die Schäden treten erst nach wenigen Tagen. Zum Beispiel, Systemen für die Verwaltung von Information der Filialen auf Google Business, Facebook und Yelp. Hier ist ausreichend, eine vollständige Kopie einmal pro Woche zu machen
   • Der wichtigste Punkt hier ist je mehr Aufwand in der Datensicherung zu investieren, desto kritischer die Daten für Ihr Geschäft sind. Banken können sich keinen Datenverlust leisten. Wenn Sie das Datensicherungskonzept Ihrer Systeme entwerfen und umsetzen werden Sie oder der Entwickler, sicherlich Kopien der Datenbank hinzufügen
6. Bei der Definition eines geregeltes Anlegen neuer Datenbanken, benötigen Sie lediglich zu dokumentieren, ob die Datenbank, finanziellen, Datenschutzrelevanten oder Patienten-Daten erhält. Dieses ist wichtig, zu erwägen, ob zusätzliche Maßnahmen für diese Daten erförderlich sind

Regelmäßige Audits

Wenn Sie weniger als 20 Datenbanken haben, keine vertraulichen Daten speichern, keine gesetzlichen Anforderungen an der Sicherheit wie KRITIS haben und die möglichen Schäden von einem Ausfall oder Datendiebstahl EUR 100.000 nicht übersteigt, können Sie einmal alle 6 Monate prüfen:

• ob die dokumentierten Maßnahmen richtig umgesetzt wurden
• ob es Abweichungen an der Konfiguration des Datenbankservers gibt. Mit der Hilfe von den Administratoren können Sie die Konfiguration mit den kostenlosen Benchmarks des Center for Internet Security (CIS) vergleichen
• ob die Anwendungen Konten mit eingeschränkten Rechten verwenden
• wie viele Administratorenkonten es gibt, wer sie verwendet und zu welchem Zweck
• ob sich Anfälligkeiten im Protokoll der Datenbank befinden

Bei zeitintensiven Aufgaben oder potenziell kostspieligen Schäden kann es lohnenswert sein, in ein Datenbanken-Auditing-Tool zu investieren. Die Kosten pro Datenbank-Server belaufen sich auf ca. 20.000 EUR p.a. (Stand 2025). Die angebotenen Funktionen umfassen:

• automatische Generierung von Auditing Reports, die eine Übersicht der Datenbanken, der Tabellen mit sensiblen Daten sowie der Benutzer, Administratorenkonten und Verbindungen zu den Datenbanken enthalten
• Entwicklung maßgeschneiderter Berichte zur Erfüllung der Anforderungen des Audits und gleichzeitigen Überprüfung der Umsetzung von Sicherheitsmaßnahmen. Mit dieser Funktion können Sie die Konfigurationsvorgaben überprüfen
• Unterbindung von möglichen Angriffen wie SQL-Injection oder Brute Force
• Einfache Erkennung von Anomalien in den Zugriffen zu den Daten. Bei Bedarf können Benachrichtigungen versandt werden
• Sammlung aller Zugriffe und Änderungen an den Datenstrukturen. Mit dieser Lösung können Sie alle behördlichen Anfragen beantworten. Im Falle einer Untersuchung haben Sie Beweise über die Schritte des Angreifers oder das Geschehen (Forensik-Analyse)
• Blockierung von verdächtigen Zugriffen. Dies umfasst auch Zugriffe von Administratoren
• Administratoren sind dazu angehalten, Tabellen mit finanziellen, datenschutzrelevanten Daten oder Patientendaten ausschließlich im Rahmen des Vier-Augen-Prinzips zu lesen oder zu ändern

Sollten Sie sich nicht um die Anforderungen in Bezug auf die Datensicherheit kümmern wollen, kann ich Ihnen folgende Lösung anbieten:

• Regelmäßige Auditing Ihren Datenbanken
• Prüfung der Erfüllung der gesetzlichen Anforderungen wie IT-Grundschutz und KRITIS
• Anfertigung von Berichte über die gefundenen Anfälligkeiten
• Verfolgung der Umsetzung der Korrekturen
• Unterstützung bei behördlichen Anfragen oder Untersuchungen
• Unterstützung bei einem Verdacht auf Datendiebstahl oder Datenmanipulation

Bitte kontaktieren Sie mich, wenn Sie Interesse daran haben.

Schutz von nicht relationalen Datenbanken (no-SQL)

Je nachdem, wie wichtig die Daten für Ihre Organisation sind, müssen Sie sie genauso sorgfältig behandeln wie andere Datenbanken. Das Center for Internet Security hat kostenlose Checklisten für die populärsten NoSQL-Datenbanken wie MongoDB , MariaDB and Hadoop . Damit die Datensicherung klappt, müssen Sie die Anleitung vom Hersteller durchlesen. Die Tools funktionieren bei jeder NoSQL-Datenbank anders.

Sie wollen, dass Ihre Systeme immer verfügbar sind? Dann kaufen Sie hochwertige Software!

Bei der Auswahl eines Software-Lieferanten sollten Sie darauf achten, dass die Qualität der Produkte und die Zuverlässigkeit der Leistung gewährleistet sind. Eine minderwertige Gestaltung, eine unzureichende Performance und eine schwer zu wartende Anwendung können zu späteren Ausfällen, hohen Wartungskosten für Datenbanken und Datendiebstahl führen.

Der Baustein CON.8 des IT-Grundschutz-Kompendiums umfasst den Bereich Beschaffung. Er befasst sich mit der Auswahl von Herstellern, die auf Qualität achten, sowie mit der Entwicklung von Software, die Ihren Geschäftsinteressen entspricht und eine angemessene Qualität aufweist. Dadurch können Sie den Integritätsverlust Ihrer Daten und die Einführung unsicherer Datenbank-Skripte¹ minimieren.

Die Verschlüsselung von Daten in der Datenbank bietet nur wenige Vorteile

Ich habe schon mit mehreren Systemen, die die Daten verschlüsselt auf der Datenbank speichern, gearbeitet und keine Vorteile gefunden. Grundsätzlich muss man die oben-genannten maßnahmen umsetzen, sie regelmäßig prüfen und keine Anfälligkeiten auf dem Protokoll der Datenbanken Auditing Tools finden. Danach kann man das Nutzen der Datenverschlüsselung abwägen. Andere Maßnahmen, wie die Suche nach Schwachstellen in den von den Anwendungen verwendeten Bibliotheken, sind einfacher umzusetzen und wesentlich effektiver.

In meiner beruflichen Praxis habe ich bereits mit mehreren Systemen gearbeitet, die eine verschlüsselte Speicherung von Daten in der Datenbank ermöglichen. Diese Systeme haben sich jedoch nicht als vorteilhaft erwiesen.

Die oben genannten Maßnahmen sind grundsätzlich umzusetzen und in regelmäßigen Abständen auf ihre Wirksamkeit zu prüfen. Dabei ist darauf zu achten, dass keine Anfälligkeiten auf dem Protokoll der Datenbanken-Auditing-Tools festgestellt werden. Im Anschluss kann eine sorgfältige Abwägung erfolgen, ob eine Datenverschlüsselung tatsächlich erforderlich ist. Andere Maßnahmen, wie die Suche nach Schwachstellen in den von den Anwendungen verwendeten Bibliotheken, sind einfacher umzusetzen und wesentlich effektiver.

Die Verwaltung der Schlüssel, um die Anwendungen die Daten lesen zu lassen, und der erhöhte Aufwand für die Wiederherstellung des Backups sind die Hauptnachteile. Die Effektivität der Verschlüsselung ist gewährleistet, solange die Anwendung nicht kompromittiert wurde.

Weitere Maßnahmen, die einige deutsche Firmen benötigen

1. Lange Archivierung der Daten: So ähnlich wie bei der Backup-Konzeption muss man halt auch definieren, welche Daten man aus gesetzlichen Gründen archivieren muss, wie oft, mit welchem Verfahren und welche Behaltefristen gelten. Einmal im Jahr kann die Wiederherstellung gecheckt werden
2. Sicherheitsprüfungen von Datenbanksystemen sind in der Regel nicht notwendig. Wenn Sie schon ein Auditing Tool verwenden, wird das Tool Anfälligkeiten identifizieren. Wenn es zu einem Hackerangriff kommt, muss man die Datenbankserver neu installieren
3. Wenn die Daten von woanders kommen und regelmäßig importiert werden, ist es gut, diesen Prozess zu dokumentieren und ein Zuständiger zu benennen. Das ist nicht nur wichtig für die Datensicherheit, sondern auch für zukünftige Entwicklungsprojekte. Es kann schon mal vorkommen, dass in manchen Firmen nicht klar ist, wohin die Daten aus einem System übertragen werden
4. Notfallvorsorge: Wenn die Datenbank für dein Geschäft echt kritisch ist, brauchen Sie einen Notfallplan. Darin stehen die Verantwortlichen, wie man sich meldet, was man tun muss, um den normalen Betrieb wiederherzustellen, wie lange das voraussichtlich dauert und welche Ressourcen man dafür braucht. Ich habe noch nie in einer Firma gearbeitet, die eine Notfallvorsorge braucht. Normalerweise reichen Standard-Sicherheitsmaßnahmen und ein gutes Backup-Konzept, um den Regelbetrieb schnell wiederherzustellen.
5. Federated Datenbanken: Im Fall, dass IhrerSystemen Links zwischen Datenbanken benötigen, nur bestimmten Personen müssen die Rechte haben, die Datenbanken zu verbinden

Ihre Kommentare