Nils Majewski
Bachelor Thesis, Hochschule Wismar, September 2023
Autor: Nils Majewski
Titel: Sicherheitsanalyse von Microsoft Access
Abstrakt
Microsoft Access, ein dateibasiertes Datenbanksystem, ist Teil der weitverbreiteten Microsoft 365-Suite und unter den Top 10 der weltweit beliebtesten Datenbanksysteme vertreten. Aufgrund der Beliebtheit von Access ist neben einer Bestandsaufnahme in Sachen Sicherheit auch wichtig zu wissen, ob und, gegebenenfalls wann Access eine Alternative zu „professionellen“ Datenbanksystemen sein kann. Zur Beantwortung der Fragen und zur Identifikation potenzieller Handlungsempfehlun- gen zur Verbesserung der IT-Sicherheit wurde eine Sicherheitsanalyse auf Basis von Anforderungen aus dem Kredit- und Finanzdienstleistungswesen, als Vertreter kritischer Infrastruktur, durchgeführt. Beim methodischen Vorgehen wurden neben Empfehlungen von Microsoft aktuelle (regulatorische) Anforderungen der Aufsichtsbehörden und gängige Sicherheitsstandards in Form von Bausteinen aus dem IT-Grundschutz, technische Sicherheits- anforderungen der Telekom AG und Cheat Sheets des Open Web Application Security Project berücksichtigt. Außerdem floss die Vision Banking 4.0 sowie die Schnittstelle zu Excel in die Analyse mit ein und es fand ein Vergleich mit der Microsoft Azure SQL-DB statt. Mit der Forensik-Plattform Autopsy wurde die Auffindbarkeit von Access-Dateien bestätigt. Im Ergebnis wurden in Access massive Sicherheitslücken und technologische Nachteile gefunden. Auch das Azure-Cloud-Umfeld ist derzeit kein Garant für Sicherheit, wobei der Ansatz und Funktionsumfang durchweg überzeugend sind. Diese Ausarbeitung zeigt zudem, dass in der Regel Alternativen zu Access zu suchen sind, die als Synergieeffekt neben der Erhöhung der Sicherheit auch den technologischen Wandel und die Zentralisierung der Datenhaltung unterstützen.
Abstract
Microsoft Access, a file-based database system, constitutes a component of the widely pervasive Microsoft 365 Suite and is featured among the top 10 globally acclaimed data- base systems. Given the prevalence of Access, it becomes imperative, in addition to conducting a comprehensive security assessment, to ascertain whether and, if applicable, when Access could serve as an alternative to „professional“ database systems. To address these inquiries and discern potential recommendations for enhancing IT security, a security analysis was conducted, grounded in requisites drawn from the realm of credit and financial services, representative of critical infrastructure. The methodological approach considered not only Microsoft's recommendations but also contemporary (regulatory) mandates from supervisory authorities and prevailing security standards, embodied as elements derived from the „IT-Grundschutz“ framework, technical security requisites from Telekom, or Cheat Sheets provided by the Open Web Application Security Project. Furthermore, the vision of Banking 4.0 and the interface with Excel were incorporated into the analysis, and a comparison with the Microsoft Azure SQL-DB was undertaken. The Autopsy forensic platform validated the traceability of Access files. As a result, substantial security vulnerabilities and technological drawbacks were identified within Access, and it is noteworthy that the Azure cloud environment presently does not guarantee security. Nonetheless, the approach and functional scope remain consistently compelling. This exposition also elucidates that it is generally advisable to explore alternatives to Access, which, as a synergistic effect, not only heighten security but also support technological advancement and centralized data management.
