PRESSEMITTEILUNG

Verwundbarkeiten in Datenbanken bedrohen die wichtigsten IT-Systeme von Unternehmen

HEILBRONN, 15. Juni 2004 – cirosec, der Spezialist im IT-Sicherheits-bereich, weist auf gravierende Sicherheitsprobleme in nahezu allen Datenbanken hin. Sowohl in ERP-Systemen als auch für Forschungsdaten werden heute kommerzielle Datenbankserver verwendet, die in der Praxis viele Angriffspunkte für Hacker bieten. Neben Buffer Overflows in den Komponenten der Datenbanken sind es häufig falsche Konfigurations-Einstellungen, die eine Manipulation der gespeicherten Daten oder einen Einbruch in den Datenbankserver ermöglichen.

Da die meisten Unternehmen in Deutschland bisher keinen gezielten Schutz für ihre Datenbanken implementiert haben, hängt die Sicherheit in diesem Bereich bisher nur davon ab, dass niemand direkten Zugriff auf den Datenbankserver bekommen kann und dass die Applikationen, die die Datenbanken nutzen, selbst keine Schwachstellen besitzen. In der Praxis ist jedoch genau das kaum gegeben. Datenbankserver sind oft im internen Netz uneingeschränkt erreichbar und durch die Anbindung an E-Business-Applikationen indirekt auch von außen erreichbar. Und das, obwohl gerade web-basierte Applikationen für ihre häufigen Verwundbarkeiten bekannt sind.

Um dieser Sicherheitsproblematik entgegen zu wirken, ist cirosec eine Partnerschaft mit dem Software-Anbieter Application Security Inc. eingegangen, dessen Technologie zum gezielten Sichern von Datenbanken verwendet werden kann. Das Unternehmen beschreitet neue Wege und bietet Lösungen in den Bereichen Verwundbarkeits-Analyse von Applikationen und Datenbanken, Intrusion Protection für Datenbanken und Datenbankverschlüsselung an.

Das Produkt „AppDetective“ ist ein Schwachstellen-Assessment-Tool, das die Sicherheit von Applikationen und speziell von Datenbanken im Netzwerk überprüft. Im Gegensatz zu klassischen Netzwerk-Scannern sucht das Produkt nicht nach offenen Ports, sondern betrachtet die Schwachstellen auf Dienstebene sowie die Tabellen, Prozeduren, Rechte und Konfigurationen innerhalb der Datenbank. Als Ergebnis bekommt der Administrator eine Liste mit Problemen und Anleitungen zur Behebung der Schwachstellen.

„AppRadar“ ist ein Intrusion-Protection-System für große Datenbanken. Es wird auf dem Datenbankserver installiert und überwacht dort die SQL-Befehle, mit denen Daten abgefragt und geändert werden. Auf diese Weise können Unternehmen ihre Datenbanken auch vor Angriffen auf unbekannte Schwachstellen und vor so genannten „Zero-Day-Attacken“ schützen. Ein weiterer Vorteil von „AppRadar“ ist, dass es nicht nach Mustern in der Netzwerkkommunikation sucht, sondern die Befehle zur Datenabfrage in der Datenbank selbst betrachtet. Das System ermöglicht einen gezielteren Schutz als ein Netzwerk-Intrusion-Protection-System, da es auf Applikationsebene und nicht auf Netzwerkebene arbeitet.

Mit dem sehr leicht zu installierenden und kostengünstigen Produkt „DbEncrypt“ lassen sich einzelne Spalten und Tabellen in Datenbanken verschlüsseln. Gerade wenn sensible personenbezogene Daten gespeichert werden, ist eine Verschlüsselung der Daten eine wichtige Ergänzung zur Authentisierung und Zugriffskontrolle.

Stefan Strobel, Geschäftsführer von cirosec, freut sich sehr über die Partnerschaft mit der Firma Application Security Inc. „Insbesondere mit AppDetective können wir unseren Kunden endlich eine kostengünstige und systematische Lösung zur Überprüfung der Sicherheit innerhalb von Datenbanken anbieten.“

„Wir freuen uns, cirosec als Partner gewonnen zu haben“, so David McNamara, Director of Indirect Sales bei AppSecInc. „Mit seiner umfassenden Kenntnis und der großen Erfahrung ist cirosec ein idealer Partner, um seinen Kunden die proaktiven Datenbank-Sicherheitslösungen von AppSecInc anzubieten.“

AppSecInc is the leading provider of database security solutions for the enterprise. AppSecInc products proactively secure enterprise applications by discovering, assessing, and protecting the database against rapidly changing security threats. By securing data at its source, we enable organizations to more confidently extend their business with customers, partners and suppliers. Our security experts, combined with our strong support team, deliver up-to-date application safeguards that minimize risk and eliminate its impact on business.

pdf-Datei

zurück