Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Für die Einrichtung von Benutzern/Benutzergruppen in einer Datenbank bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten (siehe M 2.129 Zugriffskontrolle einer Datenbank) und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs. Im allgemeinen erhält dazu jeder Datenbankbenutzer eine interne Datenbankkennung, über die ihn das Datenbanksystem identifiziert. Damit können nur autorisierte Personen auf die Datenbank zugreifen.
In Anlehnung an M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen sollte ein Formblatt existieren, um von jedem Benutzer bzw. für jede Benutzergruppe zunächst die erforderlichen Daten abzufragen:
Es sollte eine begrenzte Anzahl von Rechteprofilen festgelegt werden. Ein neuer Benutzer wird dann einem oder mehreren Profilen zugeordnet und erhält damit genau die für seine Tätigkeit erforderlichen Rechte. Dabei sind die datenbankspezifischen Möglichkeiten bei der Einrichtung von Benutzern und Gruppen zu beachten. Es ist sinnvoll, Namenskonventionen für die Benutzer- und Gruppenkennungen festzulegen (z. B. Benutzer-ID = Kürzel Organisationseinheit || lfd. Nummer).
Dabei können Benutzer-, Rollen- und Gruppenprofile benutzt werden. Soweit möglich, sollten jedoch keine benutzerspezifischen Profile verwendet werden, da dies bei einer großen Anzahl von Benutzern zu einem hohen administrativen Aufwand führt. Bei der Definition von Gruppenprofilen muß man zwischen restriktiven und großzügigen Berechtigungsprofilen abwägen. Werden die Gruppenprofile zu restriktiv gehandhabt, muß eine große Anzahl von Gruppen verwaltet werden, was zu einem hohen administrativen Aufwand führt. Werden die Gruppenprofile dagegen zu großzügig definiert, kann es zu Redundanzen zwischen verschiedenen Gruppen kommen oder zur Einräumung von unnötig umfangreichen Rechten, was wiederum zur Verletzung der Vertraulichkeit von Daten führen kann.
In der Regel muß jedem Benutzer eine eigene Datenbankkennung zugeordnet sein, es dürfen nicht mehrere Benutzer unter derselben Kennung arbeiten.
Normalerweise besteht zwischen der Datenbankkennung und der Benutzerkennung des zugrundeliegenden Betriebssystems keine Verbindung. Einige Hersteller bieten in ihrer Datenbank-Software jedoch die Möglichkeit an, die Betriebssystemkennung in das Datenbanksystem zu übernehmen. Dies erspart den Anwendern eine Paßwortabfrage für den Zugang zur Datenbank, falls diese sich bereits mit Ihrer eigenen Betriebssystemkennung angemeldet haben.
So können beispielsweise unter Oracle sogenannte OPS$-Kennungen verwendet werden. Eine solche Kennung setzt sich aus dem Präfix "OPS$" und der Betriebssystemkennung des Anwenders zusammen. Nur wenn sich ein Anwender mit seiner Betriebssystemkennung am Datenbanksystem anmeldet, wird kein Paßwort vom DBMS abgefragt. Meldet sich der Anwender dagegen unter einer anderen Kennung an, so erfolgt eine Paßwortabfrage.
Diese Möglichkeit beinhaltet allerdings die Gefahr, daß bei einer Schutzverletzung auf Betriebssystemebene (z. B. das Knacken des entsprechenden Paßwortes) der Zugriff auf die Datenbank nicht mehr verhindert werden kann. Der Schutz der Datenbank ist demnach stark von der Sicherheit des zugrundeliegenden Betriebssystems abhängig. Dabei handelt es sich im allgemeinen nicht um das üblicherweise sichere Betriebssystem des Datenbank-Servers, sondern um das eines Clients, der unter Umständen wesentlich schwächer geschützt ist. Deshalb wird von der Verwendung dieser Möglichkeit abgeraten, statt dessen sollte bei der Forderung nach einer einfachen Handhabung für die Benutzer (Stichwort Single-Sign-On) der Einsatz eines Zusatzproduktes zur zentralen Benutzerverwaltung für den gesamten IT-Betrieb erwogen werden (z. B. ISM Access Master von Bull). Aber auch hier müssen die konkreten Sicherheitsanforderungen mit dem entsprechenden Zusatzprodukt abgeglichen werden.
Ergänzende Kontrollfragen:
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000