08.09.2010

02.09.2009

Open Source Business Intelligence – Ein Sicherheitsaudit der Pentaho BI Suite

In einer Zeit der wirtschaftlichen Krise gewinnt Open Source Business Intelligence (OSBI) zunehmend an Bedeutung als Alternative zu kostenintensiven Produkten herkömmlicher Business Intelligence-Anbieter.

Die Pentaho BI Suite ist einer der wenigen Anbieter von OSBI-Komplettlösungen auf dem Markt. Deshalb gibt es bisher wenig Erfahrung mit OSBI-Software. Zwar beschäftigen sich Studien mit der Tauglichkeit und Verbreitung der OSBI-Projekte, jedoch wird dem Kriterium Sicherheit wenig Beachtung geschenkt.

Aus diesem Grund wird Im Rahmen der vorliegenden Arbeit ein Sicherheitsaudit der OSBI-Software Pentaho BI Suite zur Marktreifeanalyse durchgeführt.

Es wird nach Vorgehensweisen des Bundesamts für Sicherheit in der Informationstechnik (BSI) und dem Open Web Application Security Project (OWASP) untersucht. Die Blackbox- und Whitebox-Analyse ergeben schwere Implementierungs- und Entwurfsfehler. Beispiele sind die Ausführung von Prozessen mit uneingeschränkten Rechten durch fehlerhafte Implementierung der Acegi Domain-Autorisierung und die Umsetzung der Sicherheit auf der Basis des IP-Protokolls.

Die meisten Schwachstellen entstehen durch Konfigurationsmängel und lassen sich einfach beheben. Hierzu zählen die Speicherung der Zugangsdaten in Klartext und die unverschlüsselte Übertragung von Daten.

Die Pentaho BI Suite ist dank ihres modularen Aufbaus flexibel und bietet ein hohes Maß an Funktionalität und Komfort. Es sind hinreichend Sicherheitsmechanismen vorhanden, die für sich aber nur Teilbereiche abdecken. Wechselwirkungen zwischen den Technologien und Sicherheitskonzepten führen zur Entstehung von Schwachstellen und die Komplexität der Anwendung begünstigt eine fehlerhafte Konfiguration.

Die richtige und sichere Konfiguration ist gleichzeitig die Forderung und die Voraussetzung für den Einsatz der Pentaho BI Suite.

Autor: Jan Seebens

Erstellt: 2009

Betreut durch: Prof. Dr. Dietmar Abts, Hochschule Niederrhein