Ein Kommentar von unserer Gastautorin Theresa Lettenmeier, Sales Manager New Business bei Paessler

[datensicherheit.de, 07.03.2026] Die Datenspeicherung hat sich in den letzten Jahren erheblich verändert. In klassischen IT-Umgebungen waren Rechenzentren voller physischer Server in Racks, die viel Platz in klimatisierten Räumen beanspruchten und rund um die Uhr von Teams aus Datenbankadministratoren überwacht wurden.
Im Fokus der aktuellen digitalen Infrastruktur steht jedoch das Management von Cloud-Datenbanken. Unternehmen verarbeiten Arbeitslasten in einem bislang unbekannten Umfang – Cloud-Datenbank-Management macht das möglich, indem es den Wartungsaufwand reduziert und zudem Flexibilität und Effizienz erhöht.

Theresa Lettenmeier, Sales Manager New Business bei Paessler, Bild: Paessler

Gleichzeitig ist auch das Monitoring ein wichtiger Bestandteil beim Management von Cloud-Datenbanken und hilft dabei, Probleme, Engpässe und Anomalien frühzeitig zu erkennen.Cloud-Datenbanken unterscheiden sich grundlegend von herkömmlichen Datenbanken. Schließlich sind sie nicht einfach lokale (On-Premises-)Datenbanken, die in die Cloud verlagert wurden. Cloud-Datenbanken laufen in virtualisierten Umgebungen, die auf der Infrastruktur und den Services von Cloud-Anbietern wie AWS, Google Cloud oder Azure basieren. Zwar erfüllen Cloud-Datenbanken weiterhin die Kernfunktionen eines Datenbankmanagementsystems (DBMS), also das Speichern, Organisieren und Abrufen von strukturierten und unstrukturierten Daten. Gleichzeitig sind sie jedoch speziell für den Betrieb in Cloud-Umgebungen konzipiert. Der administrative Aufwand für Hardware, Serverwartung sowie für Updates von Datenbank- und Infrastruktursoftware liegt in der Verantwortung der Cloud-Anbieter. Interne Teams können sich dadurch stärker auf die Anwendungsentwicklung, das Schreiben von Code und die Geschäftslogik konzentrieren. Cloud-Datenbanken ermöglichen zudem eine automatische Skalierung der Ressourcen innerhalb weniger Minuten, exakt angepasst an den tatsächlichen Bedarf.

Vorteile und Herausforderungen von Cloud-Datenbanken

Ganzheitliches Cloud-Datenbank-Management bietet zahlreiche klare Vorteile im Vergleich zu klassischen Modellen. Dazu gehören unter anderem flexible Skalierbarkeit, kosteneffizienter Betrieb, hohe Verfügbarkeit, Disaster Recovery sowie verbesserte Sicherheit und Compliance.

Gleichzeitig bringt Cloud-Datenbank-Management auch Herausforderungen mit sich, auf die Unternehmen vorbereitet sein müssen. So wird beispielsweise die Anbindung von Netzwerken häufig unterschätzt, stellt jedoch eine kritische Abhängigkeit dar. Schließlich erfolgt der Zugriff auf Cloud-Datenbanken im Gegensatz zu On-Premises-Datenbanken über das Internet. Wenn die Netzwerkverbindung abbricht, können Cloud-Datenbanken unter Umständen nicht mehr erreicht werden. Daher sollten Unternehmen redundante Internetanbindungen einrichten und hybride Architekturen in Betracht ziehen.

Migration von On-Premises-Datenbankservern in die Cloud wird oft unterschätzt

Häufig unterschätzt wird auch die Migration von On-Premises-Datenbankservern in die Cloud, weil dies viel Zeit in Anspruch nehmen kann. Die Umstellungen von Datenbankschemata, der Datentransfer, die Anpassung von Anwendungen sowie umfangreiche Tests erfordern sorgfältige Planung und kontinuierliches Monitoring. Zudem müssen Kosten genau im Blick behalten und optimiert werden. Unternehmen sollten den Ressourcenverbrauch genau beobachten und die Abfrage-Performance kontinuierlich optimieren, um die benötigte Rechenzeit zu reduzieren.

Best Practices für das Monitoring von Cloud-Datenbanken

Ein wichtiger Bestandteil des Managements von Cloud-Datenbanken ist auch das Monitoring der Datenbanken. So lassen sich Performance, Sicherheit und Zuverlässigkeit sicherstellen. Ohne ein geeignetes Monitoring können sich Performance-Probleme lange unbemerkt entwickeln, bevor sie schließlich zu Ausfällen mit schwerwiegenden Folgen führen. Als Grundlage für einen stabilen und zuverlässigen Betrieb macht Datenbank-Monitoring IT-Teams frühzeitig auf potenzielle Probleme und Anomalien aufmerksam. So können entsprechende Maßnahmen zur Behebung ergriffen werden, bevor sich die Probleme ausbreiten. Außerdem lassen sich Ressourcen effizient steuern und kostspielige Ausfallzeiten vermeiden.

Für ein ganzheitliches und zuverlässiges Monitoring von Cloud-Datenbanken sollten Sie Folgendes im Blick haben:

• Umfassende Sichtbarkeit implementieren: Beim Monitoring sollten zentrale Kennzahlen wie Abfrage-Performance, Anzahl der Verbindungen, Speicherauslastung oder Replikationsverzögerungen kontinuierlich überwacht werden. So lassen sich Probleme erkennen, bevor sie sich auf Anwender auswirken.
• Datenbankschemata optimieren: Schemata sollten konsequent an die jeweiligen Datenzugriffsmuster angepasst werden. Saubere Indizierung, Partitionierung und Normalisierung verbessern die Abfrage-Performance erheblich.
• Automatisierung nutzen: Infrastructure-as-Code-Tools ermöglichen die automatisierte Bereitstellung, Konfiguration und Skalierung von Datenbanken und reduzieren so manuelle Fehlerquellen.
• Disaster Recovery einplanen: Backup- und Wiederherstellungsprozesse sollten regelmäßig getestet werden. Für geschäftskritische Datenbanken empfiehlt sich zudem eine Replikation über mehrere Regionen hinweg.
• Zugriffe konsequent absichern: Das Prinzip der minimalen Rechtevergabe (Least Privilege) sollte konsequent umgesetzt werden. Regelmäßige Credential-Rotationen sowie Netzwerkisolation tragen zusätzlich zum Schutz sensibler Daten bei.

Fazit

Angesichts von exponentiell wachsenden Datenmengen und der Erwartungen an immer geringere Antwortzeiten von Anwendungen wird sich das Cloud-Datenbank-Management weiter rasant entwickeln. Um sicherzustellen, dass die Cloud-Datenbank jederzeit zuverlässig funktioniert, und um Probleme frühzeitig zu erkennen, sollten IT-Teams auch das Monitoring von Cloud-Datenbanken berücksichtigen. Monitoring-Tools ermöglichen die Überwachung von Performance, Konnektivität und Ressourcen-Nutzung von Cloud-Datenbanken zentral und in Echtzeit. Dies hilft dabei, Cloud-Datenbank-Infrastrukturen zu optimieren und Kosten zu senken.

Weitere Information zum Thema:

datensicherheit.de, 12.09.2025
OT-Monitoring: Die fünf größten Herausforderungen und Lösungsansätze

[datensicherheit.de, 27.06.2020] Das Forscherteam der Lucy Security AG hat nach eigenen Angaben einen Hacker-Angriff „mit globalen Ausmaßen und Millionen von potenziell betroffenen Privatpersonen“ aufgedeckt – unter den im „Darknet“ veröffentlichten Informationen seien Benutzernamen, vollständige Namen, Telefonnummern, gehashte und nicht gehashte Passwörter, IP- und E-Mail-Adressen, physische Adressen und andere Informationen zu finden.

Hacker offerieren erbeutete Datenbanken im Darkweb

„Ein Boutique-Hotel in Kathmandu, ein Tutorial-Blog über ,Raspberry Pi‘, ein Fotograf aus Chelsea oder ein EMS-Dienstleister“ – weltweit seien 945 Websites gehackt worden, darunter zahlreiche aus Europa.
Archivierte SQL-Dateien, die von diesen Websites gestohlen worden seien, würden im Darknet angeboten – „mit zig Millionen potenziellen Opfern“. Zu den sensiblen Informationen gehörten Benutzernamen, vollständige Namen, Telefonnummern, gehashte und nicht gehashte Passwörter, IP- und E-Mail-Adressen, physische Adressen und andere Informationen.

Verschiedene Hacker attackierten die betroffenen Websites

Am 1. Juni 2020 bzw. am 10. Juni 2020 wurden demnach „zwei Datenbanken mit insgesamt ca. 150 GB an entpackten SQL-Dateien veröffentlicht“. Offenbar seien alle betroffenen Websites von verschiedenen Akteuren gehackt worden.
Dies sei schon alarmierend genug, könnte aber erst der Anfang sein: „Die Entität, die die Datenbanken im Darknet zusammengetragen und veröffentlicht hat, behauptet, diese so genannten ,privaten‘ Datenbanken gesammelt zu haben, ohne selbst gehackt zu haben“ – aber sie behauptet laut Lucy Security auch, noch mehr solcher Datenbanken zu besitzen, welche sie veröffentlichen oder an den Meistbietenden verkaufen möchte.

Hacker orientierten sich am Alexa-Ranking der Websites

Die Websites seien nach ihrem „Alexa“-Ranking ins Visier genommen worden – sie hätten alle weniger als eine Million Besucher. Laut der von Lucy Security durchgeführten Analyse „handelt es sich um eine völlig neue Bedrohung“ und keine der Datenbanken sei der Öffentlichkeit zuvor bekannt gewesen.
Die durchgesickerten Datenbanken, ganze SQL-Dumps der fraglichen Websites aus der Zeit zwischen 2017 und 2020, enthielten bis zu 14 Millionen mögliche Opfer. Zu den betroffenen Websites gehörten 14 Regierungsstandorte in der Ukraine, in Israel, in Großbritannien, in Belarus, in Russland, im Libanons, in Ruanda, in Pakistan und in Kirgisistan.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet

[datensicherheit.de, 29.09.2017] Carsten J. Pinnow für datensicherheit.de (ds) im Interview mit Matt Cain, CEO von Couchbase, zur Bedeutung von NoSQL-Datenbanken als Schlüsseltechnologie der Digitalisierung.

ds: Herr Cain, seit April 2017 sind Sie CEO bei Couchbase und übernehmen das Unternehmen während einer entscheidenden Wachstumsphase. Was führt Sie zu Couchbase und macht das Thema Datenbanken aus Ihrer Sicht so spannend?

Cain: Ich habe fast meine ganze Karriere in der Technologiesektor verbracht und in den letzten Jahren den Wandel der Branche miterlebt. Genau deshalb bin ich der Meinung, dass NoSQL-Datenbanken eine Schlüsseltechnologie der Digitalisierung darstellen. Couchbase ist das führende Unternehmen in diesem Bereich und erlaubt unglaubliche Möglichkeiten zur Interaktion. Die Performance bezüglich Web-, Mobil- und IoT-Anwendungen macht unsere Datenbank zu dem führenden Engagement-Tool für Organisationen.

ds: In der Tat erlebten wir innerhalb der letzten fünf Jahre einen Boom rund um nicht-relationale Datenbanken. Worin genau besteht die Veränderung und was sollten deutsche Unternehmen beachten?

© Couchbase

Matt Cain, CEO von Couchbase

Cain: DACH ist für uns eine klare Zielregion und Unternehmen erweisen sich hier als besonders kritisch, wenn es um die Adaptierung von Innovation geht – und das aus gutem Grund. Kaum ein Land verfügt über derart wertvolle Assets. Unternehmen sollten sicher sein, dass ihr Know-how jederzeit richtig geschützt ist. Allerdings dürfen IT-Verantwortliche nicht zu lange zögern. In vielen Branchen geraten Unternehmen unter Druck, wenn sie ihre Angebote und Prozesse nicht zeitnah fit für die Digitalisierung machen.

In der Vergangenheit wurden Datenbanken nach starren Vorschriften mit Informationen gespeist. Die Folge waren langatmige Prozessketten aus Speicher-, Arbeits- und Ladevorgängen – dieses Modell gilt als überholt und passt nicht mehr ins Bild. Glasfaserausbau, mobile 5G-Netze und regionale Verfügbarkeit von Rechenzentren sorgen für eine deutliche Verbesserung der Latenzzeiten. Daher dürfen Datenbanken nicht zum Bremsklotz verkommen, auch sie müssen schneller und hochverfügbar werden.

Durch die Digitalisierung rücken Datenbanken ins Zentrum der Informationsverarbeitung, da das direkte Engagement mit den Usern immer wichtiger wird. Immer mehr Unternehmensprozesse laufen online ab, deshalb sind disk-basierte Datenbanken nicht mehr zeitgemäß. Nicht-relationale Memory-Datenbanken durchbrechen alte Schranken und sind Kernträger der Digitalisierung. Dabei sind NoSQL-Ansätze so weit entwickelt, dass sie sich an sämtliche Applikationen und verschiedene Use-Cases anpassen lassen.

ds: Allerdings ist solche Innovation nicht ausreichend erprobt, oder? Kann Couchbase Sicherheitsbedenken richtig begegnen? Wie sieht es mit der Erfüllung von Datenschutz-Vorgaben z.B. durch die der DSGVO aus?

Cain: Eine sehr gute Frage, die wir immer wieder hören. Wir sind uns der Bauchschmerzen von IT-Leitern bewusst und können gezielt auf Sicherheitsbedenken eingehen. Die Enterprise Version von Couchbase ist auf Anforderungen von Unternehmen in der Region zugeschnitten und geht weit über die Fähigkeiten anderen Datenbanken hinaus. Die neuen Versionen 5.0 des Couchbase Servers und 2.0 der Mobile-Datenbank schaffen neue Meilensteine für Engagement, Performance und Security.

Das Thema Sicherheit sollte man in drei Bereiche unterteilen, die sich durch verschiedene einzelne Mechanismen richtig absichern lassen:

Zum Einen geht es um das Thema Schutz vor Cyberangriffen, also dem Schutz vor ungewolltem Zugriff externer Dritter, die mutwillig Daten illegal kopieren oder einsehen möchten. Unsere Ansätze sind von Haus aus auf Sicherheit ausgerichtet und Datenschutz nimmt bei jedem Prozess einen hohen Stellenwert ein. Natürlich unterstützen wir auch verschiedene Verschlüsselungsmechanismen. Wir verfügen über eine eigene Lösung, arbeiten aber auch mit mehreren namenhaften Technologiepartnern wie Gemalto oder Vormetric zusammen. Durch unsere Beratung und die Integration von verschiedenen Sicherheitstools von führenden Herstellern sind sämtliche Informationen jederzeit geschützt.

Dann gibt es die sichere Verfügbarkeit von Daten, auch hier bieten wir mehrere Innovationen, um Informationen immer sicher und verfügbar zu halten. Mit unserer XDCR-Cross Data Center-Replikation sind Daten global verfügbar und vor Ausfällen geschützt. Weiter haben wir Tools zur Disaster Recovery und können durch Rackzone Awarness granulare Sicherheitspolicies ausführen. Auf Wunsch kann der Kunde beispielsweise die Anzahl und Location der Replikas indiviudell anpassen. Zudem haben wir erfahrene Security-Consultants an Bord, die Kunden je nach ihre Bedürfnissen beraten und anleiten. Im Fall der Fälle haben wir mit VStore die Möglichkeit, ausgefallene Konten automatisch wiederherzustellen. Dadurch kommt es zu keiner Unterbrechnung und durch die Automatic Restore-Funktion hat der User nur minimalen Aufwand beim Wiedereinsetzen eines Knotens.

Und schließlich geht es um die Umsetzung von rechtlichen Vorgaben und Compliance. Dies steht natürlich in engem Zusammenhang mit den ersten beiden Bereichen, sollte aber wegen den aktuellen Anpassungen als gesonderter Bereich behandelt werden. Für uns gelten dabei die Vorgaben der EU-Datenschutzgrundverordnung: Security-by-Default und Security-by-Design werden von Couchbase erfüllt.

ds: Das klingt spannend. Wo genau sehen Sie in Deutschland Ihre Zielgruppe? Ihre Produkte scheinen auf App-Entwickler zugeschnitten. Oder gibt es noch andere Einsatzmöglichkeiten?

Cain: Unsere Produkte sind bereits weit entwickelt und dementsprechend groß gestaltet sich unser Kundenstamm in verschiedenen Branchen. Grundlage ist immer die richtige Mischung aus Performance, Verfügbarkeit und Sicherheit – sie zeichnet uns aus und daher sind wir für Unternehmen jeglicher Größe in der Region interessant.

Im Grunde können wir jeder Organisation helfen, die die Vorteile von digitalen Angeboten Nutzen möchte. Da wäre zuerst einmal die Hochverfügbarkeit von Informationen. Denn bei Online-Katalogen oder anderen Suchanfragen müssen Daten schnell einsehbar sein. Gerade Themen wie Personalisierung und Profilmanagment sind eine wichtige Funktion in fast allen Sektoren.

Ein weiterer Fokus liegt auf IoT-Applikationen, denn im Internet of Everything geht es um die schnelle Verarbeitung von Informationen unterschiedlichster Sensoren: Temperatur, Audiodaten und Bewegung sind nur einige Beispiele, deren Inhalte umgehend korreliert werden müssen.

Ein weniger in der Öffentlichkeit wahrgenommenes Feld ist das Profil-Management. Social-Media-Portale oder andere Nutzerportale brauchen Lösungen, die eine schnelle Authentifizierung und Anpassung über verschiedene Kanäle unterstützen.

Um dem Big-Data-Trend gerecht zu werden, integriert Couchbase Daten in Hadoop, und über gängiger Connectorden wie Spark Kafka Storm und ermöglicht so die Analyse von großen Datenmengen in Echtzeit. Und last but not least bleibt noch der Schwerpunkt „Content Management“ – Inhalte jeder Art lassen sich ohne festes Datenmodell pflegen.

In Bezug auf Mobilgeräte haben wir mit der Version 2.0 von Couchbase Mobile ein eigenes Produkt entwickelt. Einerseits erlaubt dies die Abbildung von Offline-Szenarien mit späterer Synchronisierung. Man denke hier an Google Maps mit der Online-Kalkulation der Route, Offline-Streckennavigation und Online-Auswertung bei erneutem Netzzugang zu einem späteren Zeitpunkt. Andererseits ermöglichen wir die Synchronisierung mit anderen Endpunkten ohne direkten Internetzugang über P2P-Kommunikation.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2013
Sicherheit und Nachvollziehbarkeit bei den Themen Administration, Datenbanken und Cloud Services

[datensicherheit.de, 15.04.2013] cirosec veranstaltet im Juni 2013 eine Workshop-Reihe zur Sicherheit und Nachvollziehbarkeit in den Bereichen Administration, Datenbanken sowie Cloud Services.
Die Workshop finden in Köln (10. Juni 2013), Frankfurt (11. Juni 2013), Stuttgart (12. Juni 2013) und München (13. Juni 2013) statt. Die Teilnahme ist kostenlos.

Im Eingangsreferat präsentiert Stefan Strobel, Geschäftsführer der cirosec GmbH, aktuelle Trends und Innovationen in der IT-Sicherheit. Er geht in seinem Vortrag auf Innovationen und neue Produkte ein, die in jüngster Zeit auf internationalen IT-Sicherheitsmessen vorgestellt wurden und ordnet sie in den Gesamtkontext IT-Sicherheit ein.

Im Anschluß werden drei Hersteller ihre Produkte präsentieren:

• Cyber-Ark: Nachvollziehbarkeit in der Administration
  Shared Accounts sind die mit Abstand am schlechtest verwalteten Benutzerkonten im Unternehmen und das, obwohl von ihnen das größte Gefahrenpotential ausgeht. Ob Root, Sys, Enable, Administrator oder SAP, diese hochprivilegierten Konten können nicht einem einzigen Nutzer zugeordnet werden. Im Falle eines Schadens ist dann nicht klar erkennbar, welcher Nutzer verantwortlich ist. Cyber-Ark’s Privileged Identity Management Suite verwaltet Shared Accounts im Einklang mit den Unternehmens-Policies und ermöglicht eine durchgängige Nachvollziehbarkeit der Nutzung dieser Konten bis auf Personenebene.
• Imperva: Nachvollziehbarkeit bei Datenbanken
  Die Lösung SecureSphere Database Security gewährleistet die Sicherheit von in Datenbanken gespeicherten Daten. SecureSphere bietet vollständigen Einblick in die Datenverwendung, Schwachstellen und Zugriffsrechte. Die Lösung ermöglicht es Sicherheits-, Prüf- und Risikofachkräften, die Datensicherheit zu verbessern und Compliance-Anforderungen gerecht zu werden.
• Skyhigh Networks: Nachvollziehbarkeit in der Cloud
  Viele Unternehmen kennen das Problem: Die Nutzung von Diensten in der Cloud ist eine einfache Antwort auf viele Probleme. Allerdings stellen sich hier die Fragen nach Risiko, Compliance, Governance und auch Managebarkeit. Die Lösung von Skyhigh Networks ermöglicht eine vollständige Sichtbarkeit und Kontrolle sämtlicher vom Unternehmen genutzter Cloud Services und der damit verbundenen Risiken.

Weitere Informationen, die Agenda und eine Anmeldemöglichkeit finden Interessierte unter www.cirosec.de.

[datensicherheit.de, 22.08.2011] Kurz nach den Anschlägen des 11. September 2001 machte eine Idee Karriere, die Vertreter der Sicherheitsbehörden schon länger wälzten – biometrische Merkmale sollten in Identitätspapiere aufgenommen werden, damit niemand mehr unter falscher Identität oder mit ge- beziehungsweise verfälschten Papieren reisen kann:
Einen brennenden Befürworter der Idee hätten die US-Vertreter im damaligen deutschen Innenminister Otto Schily gefunden, ruft Peter Schaar in Erinnerung. Schily habe höchstpersönlich durchgesetzt, dass in den EU-Reisepässen nicht nur ein digitales Passfoto, sondern auch ein digitalisierter Fingerabdruck gespeichert werden müsse. Dies sei ohne parlamentarische Zustimmung geschehen. Die Innenminister der EU-Staaten hätten eine entsprechende Verordnung beschlossen, wobei der Einwand des Europäischen Parlaments gegen den Fingerabdruck als Pflichtmerkmal in den Wind geschlagen worden sei. Auch die nationalen Parlamente hätten eine Statistenrolle zugeteilt bekommen, da eine von den Regierungsvertretern beschlossene EU-Verordnung – im Gegensatz zu einer „Richtlinie“ – in den Mitgliedstaaten unmittelbar geltendes Recht sei.
Insbesondere in der Folge von „9/11“ seien vielfältige biometrische Datenbanken entstanden, die alles überträfen, was man bis dahin kannte – so würden europaweit Asylantragsteller mit digitalem Fingerabdruck und Passbild registriert. Bei jeder Ein- und Ausreise in die USA würden die Reisenden fotografiert und müssten Abdrücke aller zehn Finger abgeben. Diese Daten landeten in Datenbanken zur jahrzehntelangen Aufbewahrung.
Die zunehmende Verwendung von Fingerabdrücken und anderen biometrischen Merkmalen sei laut Schaar mit Gefahren für den Datenschutz verbunden, denn biometrische Daten enthielten automatisiert auswertbare Zusatzinformationen über die Betroffenen, die Rückschlüsse auf deren ethnische Herkunft, Lebenswandel und Gesundheitszustand ermöglichten.
Zudem dürfe nicht vergessen werden, dass Fingerabdrücke und andere biometrische Merkmale eben doch keine zweifelsfreie Identifizierung ermöglichten, warnt Schaar. Auch diese könnten nämlich gefälscht, kopiert oder manipuliert werden. Dem biometrischen Pässen und Personalausweisen entgegengebrachten Vertrauen stehe entgegen, dass auch Unberechtigte mit solchen Dokumenten unterwegs sein könnten.

Weitere Informationen zum Thema:

Datenschutz FORUM, 18.08.2011
9/11-Blog – Folge 3: Biometrie – Schweizer Taschenmesser der Sicherheitsbehörden?

[datensicherheit.de, 13.07.2011] Die cirosec GmbH warnt aktuell vor gravierenden Datenschutz- und Sicherheitsproblemen in weltweiten IT-Systemen zahlreicher Hotels im 3- bis 5-Sterne-Bereich:
Anonyme Angreifer könnten vertrauliche Daten wie Ausweisdaten, angesehene Filme und weitere sensible, personenbezogene Details der letzten Jahre auslesen. Im Rahmen von Sicherheitsanalysen seien Standard-IT-Produkte vorgefunden worden, die über ungesicherte WLAN-Zugänge den Zugriff auf interne Datenbanken erlaubten. Durch eine SQL-Injection-Schwachstelle in der WLAN-Anmeldemaske erlange ein Angreifer Zugriff auf die Datenbank zur Verwaltung von IPTV- und Wireless-LAN-Zugängen des Hotels. Bei den dort gespeicherten Daten handele es sich beispielsweise um die Namen der Hotelgäste der letzen Jahre inklusive ihrer kompletten Postanschriften, E-Mail-Adressen, Telefon-, Handy- und Personalausweisnummern sowie die erhaltenen persönlichen Nachrichten.
Des Weiteren sei es möglich, die Konfiguration der TV-Geräte in den Hotelzimmern auszulesen und zu manipulieren. Dadurch könnte man beispielsweise gezielt Gäste mit Falschmeldungen versorgen, die von fingierten Nachrichten bis zum hotelweiten „Feueralarm“ reichten. In der Konfiguration seien zudem die ausgeliehenen Filme gespeichert. Außerdem würden innerhalb der Applikation Kreditkartennummer inklusive Verifikationscode und Gültigkeitsdatum unverschlüsselt übertragen.

Weitere Informationen zum Thema:

cirosec
Willkommen bei cirosec – Kompetente IT-Sicherheit aus einer Hand

[datensicherheit.de, 16.06.2011] Zur Feier des fünfjährigen Bestehens des Masterstudiengangs „Security Management“ hebt die Fachhochschule Brandenburg (FHB) eine außergewöhnliche Weiterbildungsveranstaltung im Bereich IT-Forensik aus der Taufe – den „Forensik-Day 2011“.
Ab dem Sommersemester 2011 wird die FHB jedes Jahr eine Weiterbildungsveranstaltung zur IT-Forensik veranstalten. Zum ersten Mal findet diese ganztägige Veranstaltung am 22. Juli 2011 in der Zeit von 9 bis 16 Uhr zum Thema „IT-Forensik bei Datenbanken“ statt.

Abbildung: FH Brandenburg

22. Juli 2011: 1. „Forensik-Day“

Diese Veranstaltung ist für die Teilnehmer unentgeltlich und wird von Alexander Kornbrust, Geschäftsführer der Red Databases Security GmbH und Spezialist für Datenbank-Forensik, durchgeführt. Sie ist für Personen gedacht, die im Forensik-Bereich arbeiten und/oder entsprechende Grundkenntnisse haben. Folgende Themenbereiche werden behandelt:

• Einführung und Grundlagen Oracle (Architektur, Installation, Vergleiche zu anderen DBMS)
• Angreifer und deren Spuren in der Datenbank (Externe Hacker, Geheimdienste, Spurenerkennung)
• Datenbank-Forensik (Ansätze, Analysen, Datensicherung)
• Oracle-Forensik (Besonderheiten, Tools)
• Einführung Repscan als Forensik-Werkzeug (Konfiguration, Einsatz, Datenanalyse, Dokumentation)
• Einführung in der Testumgebung
• Forensik-Fälle (Shared Accounts, SQL Injections, Manipulation, Hintertüren)

Zum Abschluss werden mögliche Lösungen und ein Ausblick geboten. Für diese Veranstaltung stehen nur 20 Plätze zur Verfügung, die nach Eingang aller Anmeldungen unter Ausschluss des Rechtswegs vergeben werden. Interessenten können sich über das Anmeldeformular auf der Website bis zum 1. Juli 2011 anmelden.

Weitere Informationen zum Thema:

Masterstudiengang Security Management an der FH Brandenburg
Anmeldung zum Forensik Day am 22.07.2011