{"id":28933,"date":"2022-06-29T21:38:43","date_gmt":"2022-06-29T19:38:43","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28933"},"modified":"2022-06-29T21:38:43","modified_gmt":"2022-06-29T19:38:43","slug":"mongodb-queryable-encryption","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/mongodb-queryable-encryption\/28933\/","title":{"rendered":"Verschl\u00fcsselung von Datenbanken: Im Kampf gegen Datenlecks"},"content":{"rendered":"<p>Datenlecks sind in letzter Zeit erschreckend h\u00e4ufig geworden. Cyberkriminelle verwenden allerlei Tricks, um sich Zugang zu Datenbanken und den dort gespeicherten Informationen zu verschaffen. Der wahrscheinlich logischste Weg, Datenbanken zu sch\u00fctzen, w\u00e4re der Einsatz von Verschl\u00fcsselung. Leider ist dieser Ansatz viel zu oft sehr unpraktisch. Denn je \u00f6fter ein Dienst auf eine Datenbank zugreifen muss, desto langsamer reagiert er. Wenn die fragliche Datenbank dar\u00fcber hinaus auch noch verschl\u00fcsselt ist, kann die Antwortzeit sogar noch l\u00e4nger sein. Einer <a href=\"https:\/\/www.ics.uci.edu\/~ronen\/Site\/Research_files\/p29.surveys.shmueli.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Studie<\/a> aus dem Jahr 2009 zu den Hauptproblemen der Datenbankverschl\u00fcsselung zufolge ist das aber noch l\u00e4ngst nicht alles. Werfen wir nun einen Blick auf die Aktualit\u00e4t: Im Juni dieses Jahres haben die Entwickler des Datenbankmanagementsystems (DBMS) MongoDB einen Durchbruch f\u00fcr ihre neueste Version <a href=\"https:\/\/www.mongodb.com\/blog\/post\/mongodb-releases-queryable-encryption-preview\" target=\"_blank\" rel=\"noopener nofollow\">angek\u00fcndigt<\/a>: den Support von Queryable Encryption. Queryable Encryption ist eine M\u00f6glichkeit, Daten in verschl\u00fcsselter Form mit zeitlich akzeptablen Anfragebeantwortungen zu speichern.<\/p>\n<p>\u00a0<\/p>\n<h3>Leistung in der realen Welt<\/h3>\n<p>Hinter dieser neuen Technologie steckt <a href=\"http:\/\/cs.brown.edu\/~seny\/\" target=\"_blank\" rel=\"noopener nofollow\">Seny Kamara<\/a>, <em>Au\u00dferordentlicher Professor f\u00fcr Informatik<\/em> an der Brown University (in Providence, Rhode Island, USA), der sich intensiv mit der Anwendung zuverl\u00e4ssiger Verschl\u00fcsselung in der realen Welt besch\u00e4ftigt hat. Als sein Startup von MongoDB \u00fcbernommen wurde, konzentrierte sich seine Forschung auf die Entwicklung einer zuverl\u00e4ssigen Methode zum Schutz von Datenbanken ohne Leistungseinbu\u00dfen.<\/p>\n<p>Es ist kein Geheimnis, dass Datenbankentwickler und -betreiber Geschwindigkeit und Zuverl\u00e4ssigkeit schon immer der Sicherheit vorgezogen haben. F\u00fcr Verschl\u00fcsselungsexperten hingegen steht das Verhindern einer Datenentschl\u00fcsselung an erster Stelle, w\u00e4hrend die Bequemlichkeit nur zweitrangig ist. Aus diesem Grund gab es bei fr\u00fcheren L\u00f6sungen meist nur zwei Extreme: eine schnelle, daf\u00fcr aber unzuverl\u00e4ssige Datenverschl\u00fcsselung; oder aber eine sichere, aber daf\u00fcr qu\u00e4lend langsame Datenverschl\u00fcsselung. Kamara kombiniert einen <a href=\"https:\/\/www.cidrdb.org\/cidr2021\/papers\/cidr2021_paper23.pdf\" target=\"_blank\" rel=\"noopener nofollow\">wissenschaftlichen Ansatz<\/a> (d. h. starke Verschl\u00fcsselung) mit den Bed\u00fcrfnissen echter Nutzer (d. h. schnelle Antwortzeiten). So sieht dies im Falle von MongoDB aus:<\/p>\n<div id=\"attachment_28934\" style=\"width: 2714px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-28934\" class=\"size-full wp-image-28934\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2022\/06\/29213435\/mongodb-queryable-encryption-system.png\" alt=\"\" width=\"2704\" height=\"1300\"><p id=\"caption-attachment-28934\" class=\"wp-caption-text\">System f\u00fcr verschl\u00fcsselten Datenbankzugriff. Quelle.<\/p><\/div>\n<p>\u00a0<\/p>\n<p>Angenommen, wir m\u00fcssen Daten \u00fcber einen Benutzer basierend auf seiner Sozialversicherungsnummer abrufen. Wir verschl\u00fcsseln die Sozialversicherungsnummer und senden sie als Teil der Anfrage an die Datenbank. Als Antwort erhalten wir von der Datenbank andere Informationen \u00fcber den Benutzer: Name, Telefonnummer, E-Mail-Adresse etc. Dabei findet auf Seite der Datenbank \u00fcberhaupt keine Entschl\u00fcsselung statt. Die Anfrage enth\u00e4lt ebenso wie die Antwort nur verschl\u00fcsselte Daten. Wichtig ist, dass die geheimen Schl\u00fcssel zum Entschl\u00fcsseln der Daten weder auf dem Datenbankserver noch auf dem Client gespeichert werden. Das bedeutet, dass Nutzer auch dann gesch\u00fctzt sind, wenn Angreifer Zugriff auf die Datenbank erhalten.<\/p>\n<h3>Eine hoffentlich erfolgreiche Zukunft<\/h3>\n<p>Nun fragen Sie sich wahrscheinlich, warum es bisher keine L\u00f6sungen zur Verschl\u00fcsselung von Datenbanken gab, wenn dies ein so gro\u00dfes Problem ist. Tats\u00e4chlich gibt es einige solcher L\u00f6sungen, aber diese waren bislang meist leistungsorientiert und die Verschl\u00fcsselung nur Nebensache \u2013 beispielsweise, um den Aufsichtsbeh\u00f6rden zu demonstrieren, dass der Schutz nicht v\u00f6llig vernachl\u00e4ssigt wurde. Daher weisen bestehende L\u00f6sungen eine Reihe von Schwachstellen auf. Insbesondere wurde festgestellt, dass die meisten Inhalte <a href=\"https:\/\/www.cs.cornell.edu\/~shmat\/shmat_hotos17.pdf\" target=\"_blank\" rel=\"noopener nofollow\">entschl\u00fcsselt<\/a> werden k\u00f6nnen, wenn eine gesamte CryptDB-verschl\u00fcsselte Datenbank kompromittiert wird. Mit anderen Worten ist eine solche Verschl\u00fcsselung Cyberkriminellen lediglich ein Dorn im Auge, mehr nicht.<\/p>\n<p>Das ist ein h\u00e4ufiges Problem der praktischen Kryptografie \u2013 wenn sich die Entwickler eines Informationssystems gezwungen f\u00fchlen, etwas intern zu entwickeln, das ihren eigenen Anforderungen an die Datenverschl\u00fcsselung entspricht, entpuppt sich dieses \u201eEtwas\u201c h\u00e4ufig als unsicher, weil die neuesten wissenschaftlichen Erkenntnisse bei der Entwicklung nicht ber\u00fccksichtigt wurden. Meist kann die Existenz von Schwachstellen nur durch die Analyse des Algorithmus und Vorhersage seiner Funktionsweise festgestellt werden. Das Ergebnis? Ihre Daten sind theoretisch verschl\u00fcsselt, in der Praxis werden sie aber l\u00e4ngst auf dem Schwarzmarkt .<\/p>\n<p>In puncto Funktionalit\u00e4t liegt die Queryable Encryption in MongoDB an der Schnittstelle zwischen Wissenschaft und Business. Das neue Verschl\u00fcsselungsverfahren muss nur noch ein formelles Audit bestehen, um die Sicherheit der Daten nachzuweisen (das derzeit noch vorl\u00e4ufige Feedback ist jedoch bereits jetzt \u00fcberw\u00e4ltigend <a href=\"https:\/\/www.wired.com\/story\/mongodb-queryable-encryption-databases\/\" target=\"_blank\" rel=\"noopener nofollow\">positiv<\/a>). Auch gew\u00f6hnliche Nutzer sollten ihre Meinung kundtun: Beeintr\u00e4chtigt die Verschl\u00fcsselung die Leistung auf irgendeine Art und Weise? Dar\u00fcber hinaus w\u00e4re es toll, wenn ein weiteres Konkurrenz-System auftauchen w\u00fcrde, das auf \u00e4hnlichen Prinzipien basiert: Gesunder Wettbewerb ist schlie\u00dflich der Schl\u00fcssel zum Fortschritt und Erfolg.<\/p>\n<p>\u00a0<\/p>\n<h3>Also, wie geht es weiter? \u2026<\/h3>\n<p>In Unternehmen, denen Kundendaten wichtig sind, wird sowieso fast alles verschl\u00fcsselt: Back-ups, E-Mails, Kommunikation zwischen Ger\u00e4ten und dem Unternehmensnetzwerk. Datenbanken sind also m\u00f6glicherweise die letzte Hochburg wichtiger Informationen, die im Klartext gespeichert werden. Zwar sind solche Datenbanken maximal vor externen Eindringlingen gesch\u00fctzt, aber sie sind noch immer anf\u00e4llig. Hoffen wir also, dass die erfolgreiche Einf\u00fchrung verschl\u00fcsselter Datenbankverwaltungssysteme dazu beitragen wird, den Diebstahl von Benutzerdaten im gro\u00dfen Stil zu verhindern. Nat\u00fcrlich k\u00f6nnen noch immer einzelne Benutzer angegriffen oder offene Daten gesammelt werden, die per Definition online verf\u00fcgbar sind. Aber der Diebstahl von Millionen von Konten auf einen Streich d\u00fcrfte durch Fortschritte in der Datenbankverschl\u00fcsselung so gut wie unm\u00f6glich werden.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>Wie die Queryable Encryption im MongoDB-Datenbankmanagementsystem den Datenschutz verbessern kann.<\/p>\n","protected":false},"author":665,"featured_media":28935,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[3963,1525,3258],"class_list":{"0":"post-28933","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-datenbanken","11":"tag-datenlecks","12":"tag-leaks"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/mongodb-queryable-encryption\/28933\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/mongodb-queryable-encryption\/24297\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/mongodb-queryable-encryption\/19765\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/mongodb-queryable-encryption\/26650\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/mongodb-queryable-encryption\/24594\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/mongodb-queryable-encryption\/24968\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/mongodb-queryable-encryption\/33348\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/mongodb-queryable-encryption\/10792\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/mongodb-queryable-encryption\/44680\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/mongodb-queryable-encryption\/19072\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/mongodb-queryable-encryption\/25132\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/mongodb-queryable-encryption\/30664\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/mongodb-queryable-encryption\/30413\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/leaks\/","name":"Leaks"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28933","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=28933"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28933\/revisions"}],"predecessor-version":[{"id":28938,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28933\/revisions\/28938"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/28935"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=28933"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=28933"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=28933"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}