IT-GSHB 2000 - Erstellung eines Datenbanksicherheitskonzeptes

M 2.126 Erstellung eines Datenbanksicherheitskonzeptes

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement

Da eine zentrale Datenhaltung über einen längeren Zeitraum hinweg einen zentralen und kritischen Aspekt des Informationsmanagements einer Behörde bzw. eines Unternehmens darstellt, kommt der Erstellung eines Datenbankkonzeptes eine besondere Bedeutung zu. Ein Datenbankkonzept beschäftigt sich mit den notwendigen Vorarbeiten zum eigentlichen Betrieb der Datenbank und sollte deshalb immer ein Datenbanksicherheitskonzept enthalten, welches auch den laufenden Betrieb untersucht.

Werden die Daten nicht ausreichend geschützt, kann es zu einem Verlust der Vertraulichkeit, Verfügbarkeit oder der Integrität kommen. Um diesem vorzubeugen, ist es unumgänglich, ein schlüssiges Datenbanksicherheitskonzept zu erstellen.

Um die Sicherheit einer Datenbank zu gewährleisten, muß ein geeignetes Datenbankmanagementsystem (DBMS) eingesetzt werden. Damit ein DBMS effektiven Schutz bieten kann, müssen folgende grundlegende Bedingungen erfüllt sein. Das DBMS muß

auf einer umfassenden Sicherheitspolitik aufsetzen,
im IT-Sicherheitskonzept der Organisation eingebettet sein,
korrekt installiert und
korrekt administriert werden.

Direkte Zugriffe auf die Datenbank (z. B. über SQL-Interpreter wie SQL*Plus) dürfen nur für administrative Nutzer zugelassen werden, um Manipulationen an den Daten bzw. Datenbankobjekten (z. B. Tabellen und Indizes) zu verhindern. Datenbankobjekte dürfen ausschließlich über spezielle Kennungen kontrolliert modifiziert werden. Dementsprechend muß das DBMS über ein geeignetes Zugriffs- und Zugangskonzept verfügen (siehe M 2.129 Zugriffskontrolle einer Datenbank und M 2.128 Zugangskontrolle einer Datenbank). Benutzer-Kennungen, die nur über eine Anwendung Datenmodifikationen durchführen können, dürfen keinen direkten Zugang zur Datenbank erhalten, während Kennungen zur Verwaltung der Datenbankobjekte der kontrollierte direkte Zugriff erlaubt sein muß.

Weiterhin müssen folgende wichtige Aspekte in einem Datenbanksicherheitskonzept geregelt werden:

Die physische Speicherung bzw. Spiegelung der Datenbankdateien (z. B. der DBMS-Software, der Datenbank an sich oder der Protokolldateien) sowie deren Verteilung ist festzulegen, um z. B. die Verfügbarkeit und Ausfallsicherheit zu erhöhen. Aus Sicherheitsgründen sollten gespiegelte Kontrolldateien beispielsweise auf verschiedenen Festplatten abgelegt sein. Der Ausfall einer Platte bedeutet dann nicht gleichzeitig den Verlust aller Kontrolldateien. Falls die Datenbankobjekte einer Anwendung in eigenen Datendateien abgelegt werden, so sollte man bei der Verteilung der Datendateien darauf achten, daß bei einem Ausfall einer Festplatte nicht alle Anwendungen betroffen sind.
Beispiel:

Eine Datenbank verwaltet die Daten zweier Anwendungen, mit jeweils einer Datendatei für die Tabellen und Indizes. Die Datendateien können beliebig auf vier Festplatten verteilt werden.

Eine ungünstige Verteilung der Datendateien sieht folgendermaßen aus:

Festplatte 1: Ablage der Datendateien für die Indizes beider Anwendungen
Festplatte 2: Ablage der Datendateien für die Tabellen der ersten Anwendung
Festplatte 3: Ablage der Datendateien für die Tabellen der zweiten Anwendung
Festplatte 4: -

Bei einem Ausfall der ersten Festplatte wären somit beide Anwendungen betroffen und könnten nicht mehr genutzt werden.

Eine günstigere Verteilung der Datendateien erhält man dagegen so:

Festplatte 1: Ablage der Datendateien für die Indizes der ersten Anwendung
Festplatte 2: Ablage der Datendateien für die Tabellen der ersten Anwendung
Festplatte 3: Ablage der Datendateien für die Indizes der zweiten Anwendung
Festplatte 4: Ablage der Datendateien für die Tabellen der zweiten Anwendung

Bei einem Ausfall einer beliebigen Festplatte wäre immer nur eine Anwendung betroffen.
Es muß eine regelmäßige Prüfung des tatsächlich anfallenden Datenvolumens bzw. des Zuwachses des Datenvolumens im späteren laufenden Betrieb durchgeführt werden, um den benötigten Speicherplatz auch für zukünftige Bedürfnisse geeignet dimensionieren zu können.
Geeignete Mechanismen zur Datensicherung müssen angewendet werden (siehe M 6.49 Datensicherung einer Datenbank).
Der Einsatz von Überwachungs- und Kontrollmechanismen ist festzulegen, d. h. ob und in welchem Umfang Datenbankaktivitäten protokolliert werden sollen. Hier stellt sich u. a. die Frage, ob beispielsweise nur der Zeitpunkt einer Datenmodifikation festgehalten wird, oder ob auch die Modifikation selbst protokolliert werden soll (siehe M 2.133 Kontrolle der Protokolldateien eines Datenbanksystems).

Für die Konzeption und den Betrieb eines Datenbanksystems muß geeignetes Personal zur Verfügung stehen. Der zeitliche Aufwand für den Betrieb eines Datenbanksystems darf nicht unterschätzt werden. Alleine die Auswertung der angefallenen Protokolldaten nimmt erfahrungsgemäß viel Zeit in Anspruch. Ein Datenbank-Administrator muß fundierte Kenntnisse über die eingesetzte DBMS-Software besitzen und auch entsprechend geschult werden.

Ergänzende Kontrollfragen:

Wurden die Sicherheitsziele für den Einsatz eines Datenbanksystems formuliert und dokumentiert?
Ist ein direkter Zugriff auf die Datenbanken über eine interaktive Abfragesprache ausgeschlossen?