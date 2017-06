Mit dem Start des neuen Service „Advanced Database Security – Powered by McAfee“ weitet Rimini Street, ein auch in Deutschland aktiver US-Anbieter von Services und Support für Oracle- und SAP-Software, den Datenbank-Support über die bisher unterstützten Produkte SAP Hana und Oracle DB hinaus auf ein breites Portfolio von Datenbank-Plattformen aus – inklusive DB2 auf dem Power System i. Das Service ist bereits erhältlich und basiert auf der Technologie von McAfee, einem auf Cybersicherheit spezialisierten Unternehmen mit AS/400-Know-how.

Rimini Street spricht bei dem neuen Service von der „nächsten Generation für Datenbanksicherheit“, die Datenbanken der Hersteller Oracle, SAP, IBM und Microsoft durch Überwachung und Analyse des Kommunikationsverkehrs und Blockieren versuchter Angriffe vor Erreichen der Datenbank über „virtuelles Patching“ vor bekannten und unbekannten Anfälligkeiten schützt. Durch virtuelles Patching wird die Einrichtung von Schutzmaßnahmen für Datenbanknutzer im Vergleich zu herkömmlichem Softwarehändler-Patching der Datenbanken schneller. Unterstützt werden neben Hana und Oracle jetzt auch alle DB2-Varianten – neben DB2 for i auch die Mainframe-Version DB2 for z/OS sowie DB2 for Linux, Unix & Windows („LUW”) sowie der SQL Server von Microsoft und die Sybase-Datenbank SAP.

Support auch für IBM i möglich

Für Unternehmen, die den Hardware- und Software-Support für das Power-System i nicht komplett von IBM beziehen (wollen), bietet Rimini Street zusätzlich auch Support für das Betriebssystem IBM i an. Das kann insbesondere dann für den IT-Chef interessant sein, wenn er auf älteren Releases bleiben will oder muss, für die IBM keinen Standard-Support mehr anbietet. Rimini Street verspricht aber auch sonst Mehrwert gegenüber dem Standardsupport der IBM für DB2 for i, zum Beispiel mit Blick auf Interoperabilität oder Performance-Tuning.

Rimini Street hat hier durchaus Erfahrung, wurde das Unternehmen doch vor zwölf Jahren von Seth Ravin mit der Idee der Fremdwartung für das aus der AS/400-Welt stammende ERP-System JD Edwards von Oracle gegründet. Unternehmen, die SAP oder JD Edwards auf der Plattform IBM i einsetzen, bietet Rimini Street sogar einen Komplett-Support an, so dass diese auf den IBM-Support ganz verzichten könnten. Ob diese Option realistisch ist, wird aber erst die Zukunft weisen; ähnliche Angebote von anderen Service-Providern gehen nicht weit über das hinaus, was auch die eigenen Systemadministratoren – Zeit und Know-how vorausgesetzt – leisten könnten.

Virtuelles Patching

Herkömmliches Händler-Patching ist aufgrund der späten Patch-Bereitstellung, der Komplexität der Anwendung dieser „Code-Patches“ und des Aufwands durch Regressionstests vorhandener Codes häufig ineffektiv. Virtuelles Patching, manchmal auch „externes Patching“ oder „Abschirmung von Schwachstellen“ genannt, verwendet ein schützendes Gateway für die Durchsetzung von Richtlinien, das sich außerhalb der geschützten Ressource befindet. Dieses Gateway erkennte versuchte Exploits von Schwachstellen und unterbunden diese, bevor sie ihr Ziel erreichen.

Weitere Vorteile: Bei virtuellem Patching sind direkte Modifikationen der geschützten Ressource nicht erforderlich – und Updates können automatisch erfolgen und an ständig neu entstehende Bedrohungen angepasst werden. Und: Wird ein Vektorangriff auf die Sicherheit mittels virtueller Patching-Lösungen blockiert, dann kann herkömmliches Händler-Software-Patching überflüssig oder irrelevant werden.

Virtuelles Patching ist daher häufig umfangreicher, effektiver, schneller, sicherer und leichter anzuwenden als herkömmliches Händler-Patching. Es ermöglicht feine kosteneffektivere und schnellere Einrichtung von Schutzmaßnahmen ohne Beeinträchtigungen der Produktionssysteme. Anders bei herkömmlichem Sicherheits-Patching des Herstellers; damit ist das Risiko verbunden, dass Code-Patches neue, unvorhergesehene Probleme für zentrale Unternehmenssysteme mit sich bringen. Für virtuelles Patching sind die umfassenden, zeit- und kostenaufwendigen Regressionstests nicht erforderlich, die für jede Instanz und jede Freigabestufe und für jeden Code-Patch durchgeführt werden müssen, der in auftragsentscheidende Produktionssysteme eingeführt wird.

Der Niedergang des herkömmlichen Sicherheits-Patching

Laut Rimini Street sind Modelle des herkömmlichen Sicherheits-Patching vom Hersteller bereits überkommen, denn sie würden aufgrund der späten Bereitstellung der Patches, der Komplexität der Anwendung der Patches und der Kosten für Regressionstests keinen effektiven Sicherheitsschutz bieten. Die Systeme von Unternehmen können damit monate- oder gar jahrelang anfällig sein.

Tatsächlich wenden viele Unternehmen aufgrund der signifikanten Ausfallzeiten und des hohen Aufwands – wenn überhaupt – nur einmal im Jahr Sicherheits-Patches an. Angesichts einer Halbwertszeit von Schwachstellen von weniger als 30 Tagen erfolgt die Mehrzahl der Cyberangriffe, bevor der Datenbank-Softwarehersteller einen Patch herausbringt. Informationen der Aberdeen Group besagen:

Es gibt häufig signifikante Verzögerungszeiten zwischen der öffentlichen Bekanntgabe einer Schwachstelle und der Verfügbarkeit eines Patches vom Händler. Daher können viele Unternehmenssysteme monatelang anfällig sein.

42 Prozent der bekannten Datenbank-Schwachstellen werden nicht innerhalb eines Jahres durch Händler-Patching behoben.

Zusätzlich zu der verzögerten Veröffentlichung von Patches gibt es aufgrund der benötigten Zeit und der Störungen des Betriebs, die durch die Anwendung von vom Händler bereitgestellten Patches entstehen, bei vielen Firmen Verzögerungen bei der Anwendung dieser Patches – oder sie verzichten ganz darauf.

Die mit der Anwendung der Patches in ihrer Datenbank-Umgebung verbundenen Kosten sind ebenfalls ein hemmender Faktor.

Forschungsdaten legen nahe, dass das Modell des herkömmlichen Sicherheits-Patching vom Hersteller bei einem mittelgroßen Unternehmen mit 100 Datenbankinstanzen für durchschnittlich rund 4 Mio. Dollar Kosten sorgt.

Fallstricke des Sicherheits-Patching umgehen

Josh Sosnin, Chef der 2015 ins Leben gerufenen Rimini Street Global Security Services (GSS), will auf diesem Weg die Schwächen, Schwierigkeiten und Fallstricke des herkömmlichen Sicherheits-Patching umgehen. „Rimini Street liefert Support für einige der größten Unternehmen der Welt, die einige der global umfangreichsten und komplexesten IT-Infrastrukturen betreiben – einschließlich Tausender von Datenbankinstanzen“ sagte Sosnin.

Zum 31. März meldete Rimini Street auf das Jahr hochgerechnete Umsätze von mehr als 196 Mio. Dollar und erzielte seit 2014 ein durchschnittliches jährliches Umsatzwachstum von 37 Prozent. Das Unternehmen beschäftigt in den 13 Ländern, in denen es tätig ist, ca. 900 Fachkräfte und betreut derzeit mehr als 1.200 Kunden – darunter fast 100 der Fortune 500 und Global 100. Erst im Mai hatte Rimini Street durch die Fusion mit der GP Investments Acquisition Corp. zusätzliches Wachstumskapital in Höhe von 172,5 Mio. Dollar für die Erweiterung seiner Serviceangebote und -kapazitäten, zur Stärkung der Bilanz und zur Finanzierung potenzieller Übernahmen erhalten.

Finanzspritze durch Fusion mit GP Investments

Der erwartete anfängliche Unternehmenswert liegt demnach bei ca. 837 Mio. Dollar, was auf ein 2,8-Faches der Umsatzprognose für 2018 von 295 Mio. Dollar bei einem Eigenkapitalwert nach Abschluss von 854 Mio. Dollar bei 10,00 Dollar pro Aktie schließen lässt. Vorbehaltlich des Erhalts dieser Genehmigungen der Aktionäre, staatlicher Genehmigungen und der Erfüllung aller Abschlussbedingungen soll die Transaktion im dritten Quartal 2017 abgeschlossen werden.

Bildquelle: Thinkstock/ iStock