IT-GSHB 2000 - Aufteilung von Administrationstätigkeiten bei Datenbanksystemen

M 2.131 Aufteilung von Administrationstätigkeiten bei Datenbanksystemen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator

Um einen geordneten Betrieb von Datenbanksystemen zu ermöglichen, sind Administratoren zu bestimmen. Diesen obliegt neben allgemeinen Administrationsarbeiten insbesondere die Benutzerverwaltung einschließlich der Verwaltung der Zugriffsrechte. Zusätzlich sind sie für die Sicherheitsbelange der betreuten Datenbanksysteme zuständig.

Neben den in M 2.26 Ernennung eines Administrators und eines Vertreters und M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters genannten Maßnahmen sind speziell für Datenbanksysteme folgende Dinge zu beachten.

Es sollten grundsätzlich zwei verschiedene Administrator-Rollen unterschieden werden:

die fachlich übergreifende Administration der Datenbank-Software und
die Administration der anwendungsspezifischen Belange.

Diese beiden Aufgaben sollten von verschiedenen Personen durchgeführt werden, um eine Trennung der anwendungsspezifischen und fachlich übergreifenden Administration einer Datenbank zu erreichen.

Der grundsätzliche Betrieb des DBMS, die Durchführung der Datensicherungen oder die Archivierung von Datenbeständen sind beispielsweise Bestandteil der fachlich übergreifenden Datenbankadministration.

Bei der anwendungsspezifischen Administration werden dagegen die Erfordernisse der einzelnen Anwendungen an die Datenbank bearbeitet. Dies kann z. B. die Verwaltung der zugehörigen Datenbankobjekte, die Unterstützung der Benutzer bei Problemen bzw. Fragen oder die Verwaltung der entsprechenden Datenbankkennungen beinhalten. Letzteres ist allerdings nur dann möglich, wenn die Verwaltung der Datenbankennungen je Anwendung über ein entsprechendes Berechtigungskonzept durch die Datenbank-Software unterstützt wird, also von den fachlich übergreifenden Berechtigungen getrennt werden kann.

Der fachlich übergreifende Administrator richtet die für die anwendungsspezifischen Belange zuständigen Administratorkennungen mit den zugehörigen Berechtigungen ein. Dazu gehört insbesondere das Recht, Datenbanken anzulegen. Die Rechtevergabe für die einzelnen Benutzer sollte dagegen für jede anwendungsspezifische Datenbank getrennt durchgeführt werden und zwar vom jeweils zuständigen anwendungsspezifischen Administrator-

Ergänzende Kontrollfragen:

Sind die Administrator-Rollen getrennt worden?
Welche Administratoren sind für die fachlich übergreifende Administration der Datenbank-Software und welche für die Administration der anwendungsspezifischen Belange benannt worden?
Wie ist die Zusammenarbeit zwischen den Administratoren geregelt? Sind deren Aufgaben und Zuständigkeitsbereiche schriftlich fixiert?