Tausende Datenbank-Server ohne Firewall

Der Sicherheitsexperte David Litchfield hat untersucht, wie sicher an das Internet angeschlossene Datenbank-Server sind.

Litchfield zog dazu eine Million IP-Adressen heran, die er per Zufallsprinzip auswählte. Er prüfte, ob er sich über IP-Ports einen Zugang auf Microsoft SQL Server oder Oracle-Datenbank-Server verschaffen konnte.

Nach Lichtfields Angaben gelang das bei 157 Microsoft-SQL-Servern und 53 Oracle-Datenbank-Servern. Diese Zahlen nutzte der Experte, um die absolute Anzahl der über das Internet verletzbaren Microsoft SQL Server und Oracle-Datenbank-Server zu schätzen. Demnach gibt es ungefähr 368.000 Microsoft SQL Server und 124.000 Oracle-Datenbank-Server, die über das Web zugänglich sind.

Litchfield ist Managing Director der Sicherheitsfirma NGSSoftware. Die Ergebnisse seiner Untersuchung ‘Database Exposure Survey’ wird er am 19. November online veröffentlichen – einer Untersuchung, die er im Jahr 2005 zum ersten Mal durchführte.

Im Vergleich zum Jahr 2005 ist die Anzahl der undichten Oracle-Datenbank-Server zurückgegangen (2005: 140.000), während die Menge der verletzbaren Microsoft SQL Server gestiegen ist (2005: 210. 000).

Woran das liege, könne er nicht genau sagen, sagte Litchfield dem Branchendienst Infoworld. Die Microsoft-Technik sei einfacher zu installieren. “Vielleicht ist der Anstieg bei den Microsoft SQL Servern eine Folge davon.”