Status Datenbanksicherheit

6. März 2017

MariaDB und SAP Sybase sicherste Datenbanksysteme

MariaDB und SAP Sybase sind laut Schwachstellenanalyse 2016 der Vulnerability Labs der Firma Qualys die sichersten Datenbanken. Nur jeweils zwei Prozent der bekannt gewordenen Schwachstellen gehen auf das Konto dieser beiden Systeme. Spitzenreiter in der Anzahl entdeckter Schwachstellen war demnach MySQL mit 32%. Obwohl MariaDB und MySQL auf demselben Kern beruhen, ist die Fehleranfälligkeit von MariaDB deutlich geringer, was sicher auf intensivere Tests zurück zu führen sein dürfte, aber auch mit der Erfahrung der MariaDB-Entwickler zusammen hängt, von denen ja ein großer Teil aus dem ehemaligen MySQL-Entwicklerstamm kommt.

Wie Amol Sarwate, Director of Vulnerability Labs bei Qualys in seinem Artikel aufzeigt, können viele dieser Schwachstellen aufgrund fehlerhafter Konfiguration ausgenutzt werden. D.h., neben der Zuverlässigkeit der Software selbst spielt für das effektive Risiko, dass ein Angreifer eine der Schwachstellen nutzen kann, auch die Konfiguration des Datenbanksystems, die Sicherheit der Applikation und der sichere Datentransfer eine entscheidende Rolle.

Jedem Systemadministrator ist bewusst, dass eine unter SAP liegende Datenbank geschäftskritische Daten bereitstellt und somit entsprechend ihrer Bedeutung administriert werden muss. Allerdings finden sich gerade in Webanwendungen, die oft nicht weniger geschäftskritisch sind, sehr viele Datenbankinstallationen die schlecht bis gar nicht den Erfordernissen angemessen administriert werden. So werden z.B. in sehr vielen Anwendungen die Passwörter für die Applikationsbenutzerkennung irgendwo im Quelltext oder in "versteckten" Dateien hinterlegt, obwohl die Systeme für Applikationen bessere Authentifizierungsverfahren bieten.

Ein weiterer häufig anzutreffender Fehler ist die Anbindung von Anwendungen an den Datenbank-Server mit privilegierten Rechten, obwohl diese bestenfalls für Updates benötigt werden. Hier sind auch die Entwickler von Datenbank-basierten Lösungen gefordert. Allerdings fehlt dazu oft das notwendige vertiefte Datenbankwissen, ein Trend der durch den Einsatz von Frameworks, die die Datenbankschicht von der Anwendung abstrahieren nach meienr Beobachtung verstärkt wird.

Unternehmen, die sichere Datenbankanwendungen wollen, tun gut daran, ihre Administratoren und mehr noch ihre Entwickler in Datenbank-Knowhow zu schulen und bei der externen Beauftragung oder dem Einkauf von Software die Sicherheitskriterien der Datenbankanbindung zu hinterfragen.

 

Drucken E-Mail