Fachartikel

Fünf To-dos für sichere MySQL-8.0-Datenbanken

Einbrüche in Datenbanken und der damit einhergehende Informationsklau gehören fast schon zur Normalität. Oft profitieren Angreifer dabei von einer unterlassenen Sicherheitskonfiguration. Der Beitrag legt dar, dass Datenbankupdates wie MySQL 8.0 zwar Verbesserungen hinsichtlich Security bringen, aber von Seiten der IT-Administration ein paar wichtige Anpassungen benötigen.
Der Schutz von Datenbanken bedarf bei IT-Verantwortlichen ganz besonderer Aufmerksamkeit.
Falsche oder unsichere Einstellungen in Datenbanken bergen ein hohes Risiko: Niedrige Security-Standards machen es Angreifern leicht, Passwörter zu knacken und Unternehmensdaten abzuschöpfen. Regelmäßige Datenbankupdates und Plug-ins sorgen für Abhilfe – sie schließen Sicherheitslücken und schützen vor unbefugtem Zugriff. Version 8.0 von MySQL bietet wichtige Neuerungen zur Verbesserung der Sicherheit. Im Fokus stehen vor allem die Absicherung von User-Accounts, die Verwaltung von Passwörtern und Zugriffsrechten sowie die Datenverschlüsselung.

  • Passwortänderungen reglementieren: Passwörter in Nutzerkonten lassen sich relativ einfach ändern, sofern die E-Mail-Adresse des Nutzers bekannt ist. Sicherer wird ein Nutzerkonto, wenn bei jeder Passwortänderung das aktuelle Passwort angegeben werden muss. So hindern IT-Verantwortliche Angreifer daran, die Datenbanksitzung mithilfe einer Web-Shell im Hintergrund zu übernehmen und Anwender durch eine Passwortänderung auszusperren. Darüber hinaus lässt sich festlegen, in welchem Zeitraum Anwender ältere Passwörter erneut verwenden dürfen. Dabei kann sowohl die Anzahl der zurückliegenden Passwörter als auch der Nutzungszeitraum hinterlegt werden. Ebenso kann Nutzern untersagt werden, alte Passwörter erneut verwenden zu dürfen
  • SHA-256-Algorithmen nutzen: Ältere MySQL-Versionen nutzten zur Authentifizierung von Usern SHA1-Algorithmen. Allerdings sind diese anfällig gegenüber Cyberangriffen, weil sich der Hash-Wert mit SHA1 ausschließlich aus dem Passwort des Anwenders errechnet. Nutzen also zwei User dasselbe Passwort, wird ihnen im System auch der gleiche Hash-Wert zugeordnet. Die Generierung eines Hash-Werts unter SHA1 macht es Angreifern leicht, Zugriff zum Hash-Wert und Datenbankzugang des Nutzers zu erlangen und mithilfe einer Rainbow Table das Passwort zu entschlüsseln. Mit MySQL 8.0 wurden hingegen SHA-256-Algorithmen als Standard-Authentifizierungs-Plug-in eingeführt. SHA-256 nutzt 5000 Transformationsrunden eines Salted Passwords (Kombination eines Passworts mit einem zufälligen Datensatz). Das macht es nahezu unmöglich, das Passwort eines anderen Nutzers über Rainbow Tables zu ermitteln und zurückzusetzen.
  • Rollenkonzepte für Zugriffsrechte verwenden: Ebenfalls wichtig in Sachen Sicherheit von Datenbanken sind die Zugriffsrechte für einzelne Anwender. Nicht jeder Mitarbeiter benötigt einen vollen Zugriff auf alle Daten und Unternehmensbereiche. Schränkt die IT-Abteilung den Datenzugriff durch ein Rollenkonzept ein, sind auch Angreifern die Hände gebunden. Ein Rollenkonzept ist wichtig, wie der Verizon Data Breach Investigations Report 2018 zeigt: So standen im vergangenen Jahr mehr als 200 von 2216 Datenlecks im Zusammenhang mit der Ausnutzung von Datenbank-Zugriffsrechten. Um Regularien wie DSGVO, DISA und CIS einhalten zu können, sind rollenbasierte Zugriffsrechte zudem essenziell.
  • Dynamische Berechtigungen einsetzen: Eine weitere Möglichkeit zur Einschränkung von Zugriffsrechten bieten dynamische Berechtigungen. Dabei verknüpft der Administrator das Zugriffsrecht eines Mitarbeiters beispielsweise mit dem Ort oder dem Zeitpunkt des Zugriffs. Loggt sich also ein User von einem anderen Computer ein, bleibt ihm der Zugriff verwehrt. Möglich wird dies dadurch, dass der Server bei jeder Verbindung die Parameter prüft, die für eine Benutzerberechtigung gültig sind. Viele Datenbankanbieter setzen mittlerweile auf rollenbasierte Nutzerprofile in Kombination mit dynamischen Berechtigungen und verzichten auf Super-Privilegien. Das gilt auch für MySQL 8.0.
  • Integrierte Verschlüsselung nutzen: Durch die Verschlüsselung der Daten selbst erlangen Dritte keine Einsicht in Unternehmensdaten. MySQL 8.0 bietet hier den FIPS-Modus und die Überwachung von Schreibprozessen über Redo- und Undo-Daten. Beim FIPS-Modus handelt es sich um einen Verschlüsselungsalgorithmus. Er nutzt Master-/Slave-Replikationen, Gruppenreplikationen und das X-Plug-in. Die verwendeten Algorithmen und Protokolle sind durch die US-amerikanischen Federal Information Processing Standards (FIPS) reglementiert und sorgen für eine chiffrierte Client-Server-Verbindung. Redo-Log und Undo-Log hingegen verschlüsseln und sichern die Vorgänge in einer Datenbank. Sie sind aktiv, sobald ein Mitarbeiter auf die Informationen der Datenbank zugreift, diese verändert, löscht oder neue hinzufügt. Eine Verschlüsselung der Daten ist selbst im Ruhezustand sehr wichtig für die Sicherheit der Datenbank.
27.03.2019/ln/Avidan Reich, Security Research Engineer bei Imperva

Nachrichten

Angreifer manipulieren DNS-Einträge bei Registraren [18.04.2019]

Cisco Talos hat eine neue Angriffsmethode entdeckt. So spionierten Cyberkriminelle Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen konnten sie dann Attacken gegen staatliche Organisationen und andere Ziele ausführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. [mehr]

IT-Dienstleister gehackt, Zugriff auf Kundensysteme [17.04.2019]

Der drittgrößte indische IT-Outsourcer Wipro ist offenbar erfolgreich gehackt worden. Laut dem Security-Blog KrebsOnSecurity konnten sich Unbekannte Zugang zu den Konten von Angestellten des indischen IT-Dienstleisters verschaffen und sollen bereits seit mehreren Monaten Zugriff auf das System haben. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen