IT-Sicherheit ist ein unverzichtbares Thema – sowohl für Unternehmen als auch für private Nutzer. Die immer häufigen auftretenden Nachrichten über Datenlecks und Hackerangriffe verdeutlichen, dass Sicherheitslücken allgegenwärtig sind. Aber wie entstehen solche Schwachstellen, und was lässt sich dagegen unternehmen? Dieser Artikel beleuchtet zentrale Risiken wie schwache Passwörter, offene Ports und besonders die unsichere Verschlüsselung von Oracle Data Pump Dump-Dateien. Erfahren Sie praxisnahe Tipps zur Sicherung Ihrer Daten sowie bewährte Standards des Center for Internet Security (CIS) und des Bundesamts für Sicherheit in der Informationstechnik (BSI).  

Passwörter: Die erste Verteidigungslinie​

Passwörter sind oft die erste Hürde, die Angreifer überwinden müssen. Schwache Passwörter wie „123456" oder „password" sind leicht zu erraten und können durch Brute-Force-Angriffe innerhalb kürzester Zeit geknackt werden. Ein starkes Passwort ist daher entscheidend, um unberechtigten Zugriff zu verhindern.

Was macht ein starkes Passwort aus?

• Länge von mindestens 12-16 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

• Vermeidung von persönlichen Infos und offensichtlichen Wörtern.
  
  

Empfehlungen:

• Passwort-Manager helfen, komplexe Passwörter sicher zu speichern.

• Zwei-Faktor-Authentifizierung (2FA) erhöht die Sicherheit zusätzlich, da ein Code benötigt wird, der an ein mobiles Endgerät gesendet wird.

Passwörter in Skripten vermeiden

In vielen Skripten werden Passwörter direkt gespeichert, um automatisierte Prozesse, etwa Datenbankzugriffe, auszuführen. Diese Praxis stellt ein erhebliches Sicherheitsrisiko dar, da jeder mit Zugriff auf das Skript das Passwort einsehen kann. Hier ein Beispiel: Ein Skript, das zur Verbindung mit einer Datenbank verwendet wird, könnte das Passwort im Klartext enthalten. Wenn ein Angreifer Zugang zu diesem Skript erhält, kann er sich ohne weitere Sicherheitsüberprüfung in die Datenbank einloggen.

Sichere Methoden zur Verwaltung von Passwörtern in Skripten:

• Oracle Wallet nutzen: Oracle Wallet gibt es seit Oracle Database 10g und stellt eine sichere Methode zur Speicherung von Passwörtern und anderen Anmeldedaten bereit. Mit Wallets können Passwörter außerhalb von Skripten aufbewahrt werden, was das Risiko verringert, dass sie im Klartext sichtbar werden. Die Informationen werden verschlüsselt gespeichert und sind nur für autorisierte Anwendungen zugänglich

• Spezialisierte Tools wie HashiCorp Vault nutzen, um Zugangsdaten sicher zu speichern.
  
  

Oracle Data Pump: Risiken durch unsichere Verschlüsselung

Ein essenzielles Thema der Datenbanksicherheit ist Oracle Data Pump – ein Werkzeug zur Migration und Sicherung von Datenbanken. Data Pump erzeugt sogenannte „Dump-Dateien", die oft sensible Daten enthalten und deshalb besonders geschützt werden müssen. Bei unzureichender oder fehlender Verschlüsselung können jedoch erhebliche Sicherheitslücken entstehen.

Sicherheitsrisiko: Unverschlüsselte oder schwach verschlüsselte Dateien

Oracle Data Pump bietet mit der Option ENCRYPTION=ALL die Möglichkeit, Dump-Dateien vollständig zu verschlüsseln. Dennoch bleibt diese Funktion häufig deaktiviert, wodurch sensible Daten ungesichert und leicht zugänglich bleiben. Besonders riskant ist es, schwache Passwörter oder Klartext-Passwörter in Skripten zu verwenden. Solche Schwächen können die Datensicherheit erheblich gefährden, da sie leicht durch Brute-Force-Angriffe oder einfache Abfragen offengelegt werden können.

Empfohlene Sicherheitsmaßnahmen zur Sicherung von Dump-Dateien

• Vollständige Verschlüsselung aktivieren: Nutzen Sie die ENCRYPTION=ALL-Option, um Dump-Dateien vollständig zu verschlüsseln. Dies schützt vor unbefugtem Zugriff und bewahrt die Vertraulichkeit der Daten. (Zur Info: Um diese Funktion zu nutzen, benötigen Sie die Oracle Advanced Security Option (ASO), die nur in der Oracle Enterprise Edition verfügbar ist.)

• Sichere Passwortwahl: Wählen Sie ein starkes Passwort, das aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht. Ein komplexes Passwort erschwert das Knacken durch Angreifer erheblich.

• Verschlüsselte Übertragungsprotokolle verwenden: Dump-Dateien sollten stets über sichere Kanäle wie SFTP oder SCP übertragen werden. Dies schützt die Daten während der Übertragung vor unberechtigtem Zugriff.

• Geschützte Ablage und sichere Löschung: Speichern Sie Dump-Dateien ausschließlich auf gesicherten Servern und löschen Sie diese nach Gebrauch zuverlässig, um das Risiko unbefugter Zugriffe weiter zu minimieren.
  
  

Oracle Data Pump ist ein mächtiges Tool, doch ohne adäquate Sicherheitsvorkehrungen birgt es potenzielle Gefahren. Durch konsequente Verschlüsselung, sichere Passwortwahl und eine geschützte Speicherung lässt sich die Sicherheit der Daten effektiv steigern.

Offene Ports und „Listener": Reduzierung der Angriffsflächen

Dienste wie SSH (Secure Shell) und Webserver sind unverzichtbar für den Zugriff auf Systeme. Allerdings können sie ein Sicherheitsrisiko darstellen, wenn sie über offene oder ungesicherte Ports erreichbar sind. Angreifer nutzen oft diese Schwachstellen, um unbefugten Zugriff zu erlangen oder Angriffe durchzuführen.

Sicherheitsmaßnahmen:

• Zwei-Faktor-Authentifizierung (2FA): Implementieren Sie eine Zwei-Faktor-Authentifizierung für SSH-Zugriffe, um einen zusätzlichen Schutz gegen unbefugten Zugriff zu bieten.
• Public Key-Authentifizierung verwenden: Diese Methode ist sicherer als Passwort Logins, da sie Brute-Force-Angriffe verhindert und keine Passwörter überträgt, die abgefangen werden könnten.

• Firewall konfigurieren: Die Firewall sollte so eingestellt werden, dass nur bestimmten, vertrauenswürdigen IP-Adressen der Zugang zu den Diensten erlaubt ist. Dies reduziert die Angriffsfläche und schützt vor unerwünschtem Zugriff.

Crontab und Automatisierungen: Vorteile mit Risiken

Die Automatisierung von Aufgaben mithilfe von Crontab ist für Systemadministratoren ein nützliches Werkzeug, um regelmäßig wiederkehrende Prozesse effizient zu steuern. Allerdings kann dies auch Gefahren mit sich bringen, besonders wenn bösartige Skripte in die Crontab eingeschleust werden. Ein konkretes Risiko besteht darin, dass ein Angreifer ein schädliches Skript platziert, das regelmäßig auf eine Datenbank zugreift, um dort Daten zu manipulieren oder sogar zu löschen. Solche Eingriffe können gravierende Auswirkungen haben, indem sie nicht nur zu Datenverlust führen, sondern auch die Integrität der gesamten Datenbank in Frage stellen und somit das Vertrauen der Nutzer in die Systeme gefährden.

Sicherheitsmaßnahmen:

• Regelmäßig die in Crontab hinterlegten Skripte und die entsprechenden Zugriffsrechte prüfen.

• Stellen Sie sicher, dass nur berechtigte Benutzer Zugriff auf CronJobs haben, indem Sie die cron.allow Datei nutzen, während Sie nicht autorisierte Benutzer in der cron.deny Datei führen, um potenziellen Missbrauch zu verhindern.

• Cron deaktivieren und einen alternativen Job-Scheduler nutzen: Verwenden Sie einen Zeitplaner, der integrierte Protokollierung und Zugriffskontrolle bietet, wie etwa Systemd-Timer. Diese Optionen sind bereits im System vorhanden und erfordern keine zusätzliche Installation. Sie verbessern die Sicherheit durch eine bessere Nachverfolgbarkeit der Aufgaben und bieten praktische Funktionen, die die Verwaltung von Aufgaben erleichtern.

Richtlinien und Standards: CIS und BSI als Sicherheitsleitlinien

CIS bietet umfassende Kontrollen, die Organisationen dabei helfen, ihre Systeme effektiv zu schützen. Dazu gehören grundlegende Maßnahmen wie die Einführung von Firewalls, regelmäßige Sicherheitsupdates und die Überwachung von Benutzeraktivitäten in Echtzeit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt spezifische Empfehlungen für den deutschen Markt bereit. Dazu zählen unter anderem regelmäßige Backups, die offline gespeichert werden sollten, um sie vor Ransomware-Angriffen zu schützen. Diese Maßnahmen sind entscheidend, um die Integrität und Vertraulichkeit sensibler Daten zu gewährleisten und potenzielle Sicherheitslücken zu schließen. ​

Fazit:

Die IT-Sicherheit ist ein zentraler Bestandteil jeder IT-Landschaft und sollte stets höchste Priorität haben. Die in diesem Artikel behandelten Themen – von schwachen Passwörtern und offenen Ports bis hin zur unsicheren Verschlüsselung – zeigen deutlich, dass bereits kleine Sicherheitslücken erhebliche Folgen haben können. Durch die Implementierung bewährter Sicherheitsmaßnahmen und die Orientierung an Richtlinien des Center for Internet Security (CIS) sowie des Bundesamts für Sicherheit in der Informationstechnik (BSI) können Unternehmen und private Nutzer ihre Systeme erheblich besser schützen. Letztlich ist kontinuierliche Aufmerksamkeit der beste Schutz.

Haben wir Ihr Interesse geweckt? Dann sind Sie herzlich eingeladen, im Rahmen der DOAG Konferenz teilzunehmen. Alle weiteren Infos finden Sie unter

Hier zum CTF anmelden

Unsere Vorträge auf der DOAG Konferenz + Ausstellung 2024