Ein langjähriger Kunde von ITGAIN bietet IT-Dienstleistungen im Versicherungsumfeld an. Im Rahmen eines Self-Audits überprüfte dieses Unternehmen unter Nutzung eines extern bereitgestellten Fragenkatalogs die Sicherheit seiner IBM Db2-Datenbanksysteme. „Dabei wurden Feststellungen gemacht, die teilweise mit einem hohen Risiko bewertet wurden“, erklärt Daniel Mußmann, der Sicherheitsexperte bei ITGAIN. Bis zu dem Audit hat ITGAIN das Unternehmen beim Betrieb der Datenbanken unterstützt, man kannte sich also. Doch dieses Mal engagiert der Kunde, Mußmann und sein Team, um ein Sicherheitskonzept zu erstellen, das die Anforderungen an die Informationssicherheit für Db2-Datenbanksysteme erfüllt, und die identifizierten Feststellungen zu beseitigen.
Mußmann ist seit 13 Jahren bei ITGAIN und mit seinen Kollegen für die Themen Informationssicherheit und Business Continuity Management verantwortlich. In diesem Fall ist aber zunächst seine Expertise als „Übersetzer“ gefragt. „Aus den abstrakten, allgemein gehaltenen internen Sicherheitsvorgaben und den Ergebnissen aus dem Audit mussten wir erst einmal einen Anforderungskatalog erstellen, den die Datenbankadministratoren auch verstehen.“ Der Katalog enthält daher verständliche datenbankspezifische Umsetzungsvorgaben. Ziel ist es, nicht nur die aktuellen Feststellungen zu beseitigen. „Es ging auch darum, eine Lösung bereitzustellen, die ein angemessenes Sicherheitsniveau der Db2-Datenbanksysteme nachhaltig sicherstellt“, erklärt Mußmann.
Vom Schutzbedarf zum Soll
IT-Security ist für den Kunden bis dahin kein priorisiertes Thema im Datenbankbetrieb, und den Datenbankadministratoren fehlt es am notwendigen Know-how. Mußmanns Aufgabe: Erklären, was zu tun ist und warum. Mit seinem Team erstellt er den Anforderungskatalog und legt damit abhängig vom Schutzbedarf die Soll-Anforderungen an ein Datenbanksystem fest. Welche konkreten Anforderungen für das jeweilige Datenbanksystem gelten, hängt von der jeweiligen Schutzbedarfskategorie (SBK) der Daten ab, die reichen von SBK1 „niedrig“ bis zu SBK4 „sehr hoch“. „Die konkrete Kategorie leitet sich dann nach dem Vererbungsprinzip aus der Schutzbedarfskategorie der Anwendungen ab, die die Datenbank nutzen“, erklärt Mußmann. Das Sicherheitskonzept berücksichtigt daher alle Anforderungen aus dem Anforderungskatalog bis hin zur jeweiligen SBK. Eine Datenbank mit SBK2 muss zum Beispiel die Anforderungen der Kategorien SBK1 und SBK2 erfüllen.
Mußmann und sein Team gestalten den Katalog so, dass die Anforderungen nicht nur auf den auditierten Datenbanktyp passen, sondern auch auf andere Systeme wie Oracle oder Microsoft SQL Server angewendet werden können. Die Anforderungen decken die gesamte Bandbreite sicherheitsrelevanter Themen ab, darunter zum Beispiel Berechtigungen, Protokollierung, Datensicherungen oder Patch- und Schwachstellenmanagement. Um konkrete Umsetzungsvorgaben herzuleiten, haben die Spezialisten von ITGAIN zum einen die internen Sicherheitsvorgaben und die Audit-Feststellungen des Auftraggebers berücksichtigt. Zum anderen haben sie Best-Practice-Beispiele aus dem Security- und Db2-Umfeld herangezogen: besonders CIS Benchmarks, den BSI IT-Grundschutz und die vom Hersteller bereitgestellten Db2 Security Guides. Und selbstverständlich können die Sicherheitsexperten auf ihr breites Know-how aus anderen Kundenprojekten in der Finanzbranche zurückgreifen. „Auf Basis des Anforderungskatalogs konnten wir nun die entsprechenden Sicherheitskonzepte für die Datenbanken erstellen“, erklärt Mußmann. Der Soll-Zustand war damit klar.
Es geht auch darum, dazuzulernen und die Sicherheit bedarfsgerecht weiterzuentwickeln."
DANIEL MUSSMANN, SICHERHEITSEXPERTE BEI ITGAIN.
Vom Soll zum Ist
Als nächster Schritt folgt ein Soll-Ist-Vergleich: Mittels einer sogenannten Gap-Analyse ermitteln der Sicherheitsexperte und sein Team die Abweichungen des Ist-Zustands vom geforderten. Dazu prüfen sie die Datenbanken erneut, nur dieses Mal unter Berücksichtigung der bereits bekannten Self Audit-Feststellungen und gegen die neu erstellten und mit der Informationssicherheit abgestimmten Sicherheitskonzepte. Für die festgestellten Abweichungen definiert Mußmann jetzt gemeinsam mit den Datenbankadministratoren entsprechende Maßnahmen und überführt sie in einen Plan zur Nachverfolgung. Darin sind zum Beispiel die Erstellung und Umsetzung von Berechtigungskonzepten, Härtungskonzepten oder die angemessene Verschlüsselung von hochsensiblen Daten aufgeführt. Dabei berücksichtigen sie auch die Wirtschaftlichkeit von Sicherheitsmaßnahmen. „Je höher der Schutzbedarf, desto aufwendiger und kostspieliger sind in der Regel die umzusetzenden Maßnahmen“, so Mußmann.
Schließlich bewertet Mußmann den Plan gemeinsam mit dem Kunden, um zu entscheiden, welche Maßnahmen mit welcher Priorität umgesetzt werden und welches Risiko akzeptabel ist, weil zum Beispiel der Aufwand für eine Behebung in keinem wirtschaftlichen Verhältnis zum Risiko stünde.
Wieder von vorne
In der letzten Phase geht es schließlich darum, die abgestimmten Maßnahmen umzusetzen. Doch damit ist die Aufgabe keineswegs abgeschlossen: „Wir haben mit unserer Arbeit lediglich den Startschuss gegeben“, erklärt Mußmann. Denn Sicherheit ist ein sich ständig wiederholender Prozess. Deshalb haben Mußmann und sein Team unter anderem Automatisierungen über Skripte implementiert, um künftige Aufwände zu reduzieren, zum Beispiel für regelmäßige Soll-Ist-Vergleiche der Berechtigungen oder der gehärteten Standard-Konfiguration des Datenbanksystems. Dank des Sicherheitskonzepts von ITGAIN und dieser regelmäßigen Gap-Analyse kann der Kunde das Sicherheitsniveau der Datenbanksysteme jederzeit überprüfen, nachbessern und insbesondere nachweisen. „Es geht auch darum, dazuzulernen und die Sicherheit bedarfsgerecht weiterzuentwickeln“, erklärt Mußmann. „Plan, do, check, act – und dann wieder von vorne.“