1 Einführung
Datenbanken sind wohl immer noch die am weitesten verbreitete Technologie zur Speicherung und Verwaltung geschäftskritischer digitaler Informationen. Fertigungsprozessparameter, vertrauliche finanzielle Transaktionen oder vertrauliche Kundendatensätze - all diese wertvollen Unternehmensdaten müssen vor einer Kompromittierung ihrer Integrität und Vertraulichkeit geschützt werden, ohne ihre Verfügbarkeit für Geschäftsprozesse zu beeinträchtigen.
Während sich immer mehr Unternehmen für die digitale Transformation entscheiden, werden die Herausforderungen für die sichere Speicherung, Verarbeitung und den Austausch digitaler Daten immer größer. Mit durchschnittlichen Kosten von bis zu 4 Mio. US-Dollar für eine Datenschutzverletzung können allein die direkten finanziellen Verluste für viele Unternehmen katastrophal sein, ganz zu schweigen von den indirekten Imageschäden. Aufsehenerregende “Mega-Breaches”, bei denen Millionen von vertraulichen Datensätzen offengelegt werden, können diese Kosten leicht auf Hunderte von Millionen von Dollar in die Höhe treiben, aber auch die Opfer kleinerer solcher Vorfälle müssen mit immer härteren Compliance-Bußgeldern rechnen.
Heutzutage verwenden die meisten Unternehmen letztendlich verschiedene Arten von Datenbanken und anderen Datenspeichern für strukturierte und unstrukturierte Informationen, je nach ihren Geschäftsanforderungen. Kürzlich eingeführte Datenschutzbestimmungen wie die GDPR der Europäischen Union oder das kürzlich verabschiedete CPRA von Kalifornien (der neue Privacy Rights Act wird die kalifornische Legislation viel näher an ein Äquivalent zur GDPR bringen) machen keinen Unterschied zwischen relationalen Datenbanken, Data Lakes oder Dateispeichern - alle Daten sind gleichermaßen vertraulich, unabhängig vom zugrunde liegenden Technologie-Stack. Allein den Überblick über all die digitalen Informationen zu behalten, ist schon ein großes Problem. Aber zu verstehen, welche Daten gemäß verschiedener Richtlinien und Vorschriften besonders vertraulich sind, und dann die notwendigen Datenschutz- und Governance-Funktionen auszuwählen und durchzusetzen, ist selbst für die größten Unternehmen schon zu viel.
Der Bereich der Datenbanksicherheit umfasst verschiedene Sicherheitskontrollen für die in Datenbanksystemen gespeicherten und verarbeiteten Informationen selbst, die zugrunde liegenden Rechen- und Netzwerkinfrastrukturen sowie die Anwendungen, die auf die Daten zugreifen. Dazu gehören unter anderem Datenschutzfunktionen, differenzierte Zugriffskontrollen, Aktivitätsmonitoring, Audit- und Compliance-Funktionen sowie andere Maßnahmen, die für einen umfassenden mehrschichtigen Schutz vor externen und internen Gefahren erforderlich sind. Da die Menge und Vielfalt der von Unternehmen verwalteten digitalen Informationen weiter zunimmt, wächst auch die Komplexität der IT-Infrastruktur, die zur Unterstützung dieser digitalen Transformation benötigt wird.
Zu den Sicherheitsrisiken, denen Datenbanken jeglicher Art potenziell ausgesetzt sind, gehören die folgenden:
- Denial-of-Service-Angriffe, die zur Störung des legitimen Zugriffs auf Daten führen.
- Datenkorruption oder -verlust durch menschliche Fehler, Programmierfehler oder Sabotage.
- Unsachgemäßer Zugriff auf vertrauliche Daten durch Administratoren oder andere Konten mit übermäßigen Berechtigungen.
- Malware, Phishing und andere Arten von Cyberangriffen, die legitime Benutzerkonten kompromittieren.
- Nicht behobene Sicherheitslücken oder Konfigurationsprobleme in der Datenbanksoftware, die zu Datenverlust oder Verfügbarkeitsproblemen führen können.
- Angriffe, die speziell auf Datenbanken über Anwendungsschnittstellen oder APIs abzielen, wie SQL-Injections für relationale Datenbanken und ähnliche Exploits für NoSQL- und Big Data-Lösungen.
- Offenlegung vertraulicher Daten durch mangelhaftes Lifecycle-Management von Daten. Dazu gehören unsachgemäß geschützte Backups, Test- oder Analysedaten ohne angemessene Maskierung, usw.
- Unbefugter Zugriff auf verschlüsselte vertrauliche Daten aufgrund unsachgemäßer Schlüsselverwaltung - dies ist besonders kritisch für Cloud-Umgebungen, in denen die Verschlüsselung oft vom Cloud-Service-Anbieter verwaltet wird.
- Unzureichendes Monitoring und Audit - diese stellen nicht nur ein erhebliches Risiko für Compliance-Verstöße dar, sondern das Fehlen eines manipulationssicheren Audit Trails erschwert auch forensische Untersuchungen und die Reaktionsfähigkeit auf Sicherheitsvorfälle erheblich.
Folglich wurden verschiedenste Technologien und Lösungen entwickelt, um diesen Risiken zu begegnen und ein besseres Aktivitätsmonitoring und Gefahrenerkennung zu ermöglichen. Sie alle in nur einer Produktbewertung abzudecken, wäre ziemlich schwierig. Darüber hinaus hat KuppingerCole seit langem die Wichtigkeit eines strategischen Ansatzes für die Informationssicherheit betont.
Daher werden Kunden ermutigt, Datenbank- und Big-Data-Sicherheitsprodukte nicht als isolierte Einzellösungen zu betrachten, sondern als Teil einer Gesamtsicherheitsstrategie des Unternehmens, die auf einer mehrschichtigen Architektur basiert und durch zentralisierte Verwaltung, Governance und Analytik vereinheitlicht wird.
1.1 Marktsegment
Aufgrund des breiten Spektrums an Technologien, die an der Gewährleistung eines umfassenden Datenschutzes beteiligt sind, ist der Umfang dieses Marktsegments nicht so einfach eindeutig zu definieren. Nur die größten Anbieter können es sich leisten, genügend Ressourcen für die Entwicklung einer Lösung aufzuwenden, die alle oder zumindest mehrere Funktionsbereiche abdeckt - die meisten in diesem Leadership Compass genannten Produkte konzentrieren sich eher auf einen Hauptaspekt der Datenbanksicherheit wie Datenverschlüsselung, Access Management oder Monitoring und Audit.
Die naheliegende Konsequenz daraus ist, dass Sie sich bei der Auswahl der besten Lösung für Ihre Anforderungen nicht auf die Spitzenreiter unserer Bewertung beschränken sollten - tatsächlich kann ein kleinerer Anbieter mit einer nicht zu umfangreichen, aber flexiblen, skalierbaren und agilen Lösung, die schnell ein bestimmtes Geschäftsproblem lösen kann, passender sein. Andererseits muss man immer abwägen zwischen einer gut integrierten Suite eines einzelnen Anbieters und mehreren erstklassigen Einzeltools, die nur mit zusätzlichem Aufwand zusammengeführt werden können. Die individuellen Bewertungskriterien, die in den KuppingerCole Leadership Compassen verwendet werden, bieten Ihnen eine weitere Orientierungshilfe in diesem Prozess.
Um Ihnen die Auswahl noch leichter zu machen, konzentrieren wir uns in erster Linie auf Sicherheitslösungen zum Schutz strukturierter und halbstrukturierter Daten, die in relationalen oder NoSQL-Datenbanken sowie in Big-Data-Speichern gespeichert sind. Zweitens gehen wir explizit nicht auf verschiedene allgemeine Aspekte der Netzwerk- oder physischen Serversicherheit, des Identity & Access Managements oder anderer Bereiche der Informationssicherheit ein, die nicht spezifisch für Datenbanken sind, obwohl die Bereitstellung dieser Funktionen oder von Integrationen mit anderen Sicherheitsprodukten unsere Bewertungen beeinflussen können.
Dennoch legen wir einen starken Fokus auf die Integration in bestehende Sicherheitsinfrastrukturen, um konsolidiertes Monitoring, Analytik, Governance oder Compliance über mehrere Arten von Informationsspeichern und Anwendungen hinweg zu ermöglichen. Dazu gehören vor allem Integrationen mit SIEM/SoC-Lösungen, bestehenden Identity & Access Management-Systemen und Informationssicherheits-Governance-Technologien.
Lösungen, die Unterstützung für mehrere Datenbanktypen bieten und deren Anwendungsbereich auch auf andere Arten digitaler Informationen ausgedehnt werden kann, werden voraussichtlich bessere Bewertungen erhalten als Lösungen, die nur eng an eine bestimmte Datenbank gekoppelt sind (auch wenn wir durchaus einige Vorteile einer solchen engen Integration sehen). Das Gleiche gilt für Produkte, die mehrere Deployment-Szenarien unterstützen, insbesondere in Cloud-basierten und hybriden (gemischte On-Premises- und Cloud-) Infrastrukturen.
Ein weiterer wichtiger Bereich, den es zu berücksichtigen gilt, ist die Entwicklung von Anwendungen, die auf den Prinzipien von "Security and Privacy by Design" basieren, und seit Kurzem durch die EU-Datenschutzgrundverordnung (GDPR, General Data Protection Regulation) und ähnliche Vorschriften in anderen Regionen gesetzlich vorgeschrieben sind. Datenbank- und Big-Data-Sicherheitslösungen können eine wichtige Rolle dabei spielen, Entwickler dabei zu unterstützen, umfassende Sicherheits- und datenschutzfördernde Maßnahmen direkt in ihre Anwendungen einzubauen.
Solche Maßnahmen können unter anderem transparente Datenverschlüsselung und -maskierung, feinkörniges dynamisches Access Management und einheitliche Sicherheitsrichtlinien über verschiedene Umgebungen hinweg umfassen. Wir berücksichtigen diese Funktionen auch bei der Berechnung der Anbieterbewertungen für diesen Bericht.