Angriffe auf Datenbanken sowie Sicherheitsverletzungen gehören inzwischen zum Alltag. 15 Prozent der Teilnehmer einer Umfrage registrierten innerhalb der letzten zwölf Monate mehrfach Missbräuche von vertraulichen Informationen in Datenbanken.
Zu diesen Ergebnissen kommt die Studie "Database Security Controls", die die Enterprise Strategy Group im Auftrag des Sicherheitsanbieters Application Security durchführte.
Angriffe auf Datenbanken steigen
41 Prozent gaben an, dass sich innerhalb des letzten Jahres ein solcher Vorfall ereignet hat. Im Vergleich zum Vorjahr, wo ein nur rund ein Drittel der Befragten Sicherheitsverletzungen bei Datenbanken beobachteten, bedeutet das eine deutliche Zunahme. Fast drei Viertel der Befragten rechnen damit, dass die Angriffe auf Datenbanken in den nächsten Jahren weiter steigen werden.
Unternehmen, die kritische Daten und vertrauliche Informationen, in Datenbanken speichern, verletzen dabei häufig Compliance-Anforderungen und sind anfällig für Datenmissbrauch und Datenklau.
Insider-Attacken am häufigsten
Als häufigstes Sicherheitsrisiko gelten Insiderattacken von Personen mit Root-Zugriff auf die Datenbank oder den Datenbank-Server. Laut Befragung gaben das 55 Prozent der Unternehmen an. 54 Prozent rechnen mit einem logischen Angriff auf eine Web-basierte Anwendung, die mit einer Datenbank verknüpft ist.
53 Prozent glauben, dass die IT-Abteilung Datenbanken mit vertraulichen Daten nur unzureichend absichert. Ebenso viele sehen Sicherheitsrisiken in einer falsch konfigurierten Datenbank. Für 51 Prozent liegen die Ursachen für einen Datenklau in nicht geschlossenen Sicherheitslücken auf der Datenbank.
Versagen bei Compliance
Doch viele Sicherheitsprobleme sind hausgemacht. 38 Prozent der befragten IT-Verantwortlichen gaben an, dass ihr Unternehmen innerhalb der letzten drei Jahre bei unternehmensweiten sowie branchenspezifischen Sicherheitsprüfungen einmal oder mehrfach versagt hat.
Zum Beispiel konnten regulatorische Vorgaben wie Sarbanes Oxley Act (SOX) und Basel II sowie Regelwerke wie der Payment Card Industry Data Security Standard (PCI DSS) für die Kreditkartenzahlung nur unzureichend erfüllt werden.
Unklare Verantwortlichkeiten
CIOs erkennen zwar die Sicherheitslücken, doch ihnen fehlen oft die finanziellen Mittel sowie die Unterstützung von Seiten des Top-Managements um diese zu schließen. Darüber hinaus mangelt es in den Mitarbeitern in IT-Abteilungen häufig an der fachlichen Kompetenz bei Fragen der Datenbanksicherheit.
54 Prozent sehen in den unklaren Verantwortlichkeiten sowie einem Mangel an internen Kontrollen ein Hauptproblem für die fehlende Effektivität bei der Datenbanksicherheit. Ein weiteres Problem sind die weitgehend manuellen Prozesse bei der Absicherung von Datenbanken. 63 Prozent der befragten Firmen sichern ihre Datenbanken entweder ausschließlich manuell ab oder teilautomatisiert mit Hilfe von Software-Werkzeugen.
Befragt: IT-Entscheider aus Nord-Amerika
Im Rahmen der Studie befragte die Enterprise Strategy Group rund 180 IT-Entscheider aus Unternehmen in Nord-Amerika mit mehr als 1.000 Mitarbeitern zum Thema Datenbank-Sicherheit. 58 Prozent der Befragten gehen davon aus, dass Datenbanken im Vergleich zu anderen Speichermöglichkeiten, wie etwa File-Servern, Web-Servern oder E-Mail-Servern, die meisten kritischen Daten beinhalten.