Datenbanken verschlüsseln? Aber sicher!

Als das Team von Protegrity Inc. letztens bei ZDNet anrief, um über ihre Software zur Verschlüsselung von Datenbanken Secure.Data zu informieren, war die erste Reaktion: „Wer braucht denn so was?“ Denn schließlich sollten die eigenen Datenbanken für die Außenwelt unzugänglich sein. Und wenn keiner an die Datenbanken rankommt, warum sollte man sie dann verschlüsseln?

Dass tatsächlich ein Bedarf für solche Produkte besteht, wurde schon ein paar Tage später deutlich, als die Washington Post meldete, dass Hacker in eine Reihe von Computern der US-Armee und der NASA eingedrungen waren. Einige dieser Computer enthielten vertrauliche Informationen – davon einige, die dem Datenschutz unterlagen, und einige, die so sensibel waren, dass sie in den Händen von Terroristen und anderen Übeltätern großen Schaden anrichten könnten. In einem Fall wurde die Datenbank mit den Routen der Kuriere geknackt, die geheime Informationen von grosser Bedeutung persönlich überbringen.

Aber was die Sache noch schlimmer macht: Es waren keine Profi-Hacker oder Spione, die in die Militär-Computer eindrangen, sondern Angestellte eines Consulting-Unternehmens, die keinerlei Erfahrung als Hacker mitbrachten. Sie benutzten einfach Tools, die problemlos im Internet zu finden sind. Die Consultants fanden heraus, dass trotz eindeutiger entsprechender Richtlinien, die so etwas untersagten, die Computer der Armee und der NASA nur schwache Passwörter besaßen. Manchmal fehlten die Passwörter sogar ganz. Außerdem gab es keine externen Sicherheitsmaßnahmen. So wie es aussah, gingen die Regierungsangestellten ihrer Arbeit unbekümmert von irgendwelchen Richtlinien nach – sie hielten sich einfach nicht daran.

Die Consultants fanden heraus, dass sie manchmal bereits mit der Eingabetaste oder „password“ als Passwort in einen Computer des militärischen Netzwerks eindringen konnten. Von dort aus gelangten sie an die Namen und Adressen weiterer Computer. Sie konnten ebenfalls Datenbank-Dateien sowie E-Mails öffnen und lesen. Und sie konnten sich über die bereits geknackten Computer zu weiteren Computern Zugriff verschaffen.

Diesen Gedankengang muss man nur ein wenig weiterspinnen: Wenn Ihre Daten so ungeschützt sind, dass schon Hobby-Hacker ohne Probleme einbrechen und diese lesen können, wie ist das dann erst mit Ihren eigenen Mitarbeitern? Immerhin wissen diese bereits eine ganze Menge über die Firma, wodurch sie leichter herausfinden, wo sie nach interessanten Informationen suchen müssen. Sicherlich sollten Ihre Mitarbeiter mit Firmen-Informationen umgehen dürfen, aber nicht jeder sollte Zugriff auf alle Daten haben. Stellen Sie sich z.B. vor, jemand gelangt an Ihre Gehaltsabrechnungen und erfährt so, was jeder in der Firma verdient…

Genauso wahrscheinlich ist es, dass in den gegenwärtig wirtschaftlich unsicheren Zeiten ein Mitarbeiter auf die Idee kommen könnte, sich plötzlichen Reichtum zu verschaffen, indem er Informationen an die Konkurrenz verkauft. Die Kundenliste? Kein Problem – einfach die Datenbank anzapfen.

Da haben Sie also den Grund, warum Sie Ihre Daten mit einem Produkt wie Protegrity’s Secure.Data verschlüsseln sollten. Denn Vorsichtsmaßnahmen nach Ermessen reichen nicht aus, um jemanden zu stoppen, der sich vorgenommen hat, an sensible Daten in Ihrem Netzwerk zu gelangen. Wie ich bereits gesagt habe: Ihr Netzwerk sollte eigentlich vor Eindringlingen geschützt sein und Ihre Mitarbeiter im höchsten Maße loyal. Aber bis diese beiden Wünsche in Erfüllung gehen, sollte jedes Unternehmen im eigenen Interesse auf die Verschlüsselung von Daten im Netzwerk zurückgreifen.