{"id":183,"date":"2021-08-19T14:44:55","date_gmt":"2021-08-19T12:44:55","guid":{"rendered":"https:\/\/www.edilog.de\/network\/?p=183"},"modified":"2025-09-29T13:49:53","modified_gmt":"2025-09-29T11:49:53","slug":"umfang-der-datenbanksicherheit","status":"publish","type":"post","link":"https:\/\/www.edilog.de\/network\/2021\/08\/19\/umfang-der-datenbanksicherheit\/","title":{"rendered":"Umfang der Datenbanksicherheit"},"content":{"rendered":"<p><strong>Hintergr\u00fcnde zu Pro und Contra von Ma\u00dfnahmen zur Datenbanksicherheit<\/strong><\/p>\n<p>Debatten zur Sicherheit und Standardisierung werden schon immer gef\u00fchrt und dienen auch der Eind\u00e4mmung des Wildwuchses. Leider werden diese Themen innerhalb der Unternehmen oft mit Einschr\u00e4nkungen und Behinderungen in Verbindung gebracht. In der Diskussion um Cloud- und Mobile-Computing r\u00fcckt neben der Standardisierungsdebatte auch das Thema Sicherheit wieder in den Mittelpunkt.<\/p>\n<p>Obwohl Sicherheit in den meisten Unternehmen intensiv diskutiert wird, hapert es immer noch an der Umsetzung und der nachfolgenden \u00dcberpr\u00fcfung. Selten werden als notwendig erachtete Anforderungen konsequent durch Ma\u00dfnahmen umgesetzt, obwohl die Realisierung eines entsprechenden Sicherheitskonzeptes von allen Verantwortlichen grunds\u00e4tzlich bef\u00fcrwortet wird.<\/p>\n<p><strong>Die wesentlichen Ursachen der z\u00f6gerlichen Implementierung von Datenbanksicherheit lauten:<\/strong><\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Relevante Vorschriften und Regularien sowie die daraus resultierenden Anforderungen an die Datenbanksicherheit sind h\u00e4ufig nicht bekannt.<\/li>\n<li>Dem mit den Sicherheitsma\u00dfnahmen einher gehende finanzielle und personelle Aufwand stehen keine direkten Einsparungen oder Verbesserungen im Betrieb gegen\u00fcber und ein Return-on-Investment ist kaum berechenbar. Somit sind die anfallenden Kosten sehr schwer zu rechtfertigen.<\/li>\n<li>H\u00e4ufig sind Sicherheitsma\u00dfnahmen mit Einschr\u00e4nkungen bei der Nutzung und Administration verbunden mit der Folge, dass bei vielen konkreten Ma\u00dfnahmen die Akzeptanz der betroffenen Personen fehlt.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>Grunds\u00e4tzlich beginnen Sicherheitsanforderungen und Schutzbed\u00fcrfnis bei den Daten<\/strong><\/p>\n<p>Obwohl Datenbankadministratoren und Applikationsverantwortliche die Notwendigkeit von Sicher\u00adheitsma\u00dfnahmen nie grunds\u00e4tzlich verneinen werden und in allgemeinen Diskussionen sogar oft sehr hohe Anforderungen an die Datenbanksicherheit stellen, reduzieren sie doch ihre Anforderungen sp\u00e4testens dann, wenn Aufw\u00e4nde und Kosten thematisiert werden.<\/p>\n<p>Zur Umsetzung einen sinnvollen Sicherheitsniveaus ist zu allererst eine Aufstellung erforderlich, welche Daten in welchen Systemen \u00fcberhaupt vorhanden sind und welche Schutzbed\u00fcrfnisse mit der Verarbeitung und Speicherung dieser Daten verbunden sind. Relevante Gesetze und Regularien (z.B. f\u00fcr personenbezogenen Daten\u00a0<a href=\"https:\/\/www.gesetze-im-internet.de\/bdsg_2018\/index.html\">Bundesdatenschutzgesetz (BDSG)<\/a>\u00a0und\u00a0<a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/DE\/TXT\/?uri=CELEX:02016R0679-20160504\" target=\"_blank\" rel=\"noopener\">Datenschutzgrundverordnung (DSGVO)<\/a>, f\u00fcr Kreditdaten\u00a0<a href=\"https:\/\/www.pcisecuritystandards.org\/security_standards\/documents.php?document=pci_dss_v2-0#pci_dss_v2-0\">PCI-DSS<\/a>, f\u00fcr Banken und Finanzinstitute\u00a0<a href=\"https:\/\/www.mittelstandswiki.de\/Basel_II\">Basel II\/III<\/a>) m\u00fcssen hierzu bekannt sein und ihre Relevanz muss zun\u00e4chst f\u00fcr die in den jeweiligen Systemen vorliegenden Daten gepr\u00fcft werden.<\/p>\n<p>Somit ist der erste Schritt zum Ausbau der Datenbanksicherheit eine Sicherheits-Klassifizierung der Daten nach Verf\u00fcgbarkeit, Vertraulichkeit, Integrit\u00e4t (Korrektheit) und Nachweisbarkeit der Informatio\u00adnen. Sehr hilfreich f\u00fcr die Kategorisierung und Klassifizierung der Daten sind die\u00a0<a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Veranstaltungen\/Grundschutz\/2GS_Tag_2019\/Neues_vom_IT_Grundschutz.html\">IT-Grundschutz<\/a>\u00a0Unterlagen und Tools vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI).<\/p>\n<p>Im Rahmen dieser Arbeiten werden Daten den genannten Kategorien entsprechend ihrer Relevanz zugeordnet. Auf Basis dieser Klassifizierung lassen sich nun die notwendigen Schutzma\u00dfnahmen ableiten und geeignete Sicherheits-L\u00f6sungen ausw\u00e4hlen.<\/p>\n<p><b>Ist die Datenbanksicherheit nur ein Kostenfaktor ohne jeden finanziellen Nutzen?<\/b><\/p>\n<p>Zun\u00e4chst einmal ist Sicherheit ein Kostenfaktor und abgesehen von einzelnen Spezialf\u00e4llen lassen sich weder Einsparungen noch Effektivit\u00e4tssteigerungen erzielen.<\/p>\n<p>In Analogie zu einer Versicherung dienen Sicherheitsma\u00dfnahmen lediglich der Absicherung f\u00fcr den Schadenfall und die anfallenden Kosten f\u00fcr die Sicherheit m\u00fcssen immer im Verh\u00e4ltnis zur Eintrittswahrscheinlichkeit und m\u00f6glichen Schadensh\u00f6he betrachtet werden.<\/p>\n<p>So lange kein Angriff erfolgt und auch niemand au\u00dferhalb seiner Berechtigungen Zugriff auf Systeme aus\u00fcbt, w\u00e4ren auch keine umfangreichen Sicherheitsma\u00dfnahmen notwendig. Kommt es jedoch zu einem Schadensfall, \u00fcbersteigen in der Regel die Kosten ein Vielfaches der f\u00fcr die Sicherheitsma\u00df\u00adnahmen angefallen Kosten. Hinzu kommt, dass bei Verst\u00f6\u00dfen gegen Regularien zudem noch hohe Strafen gegen die Gesch\u00e4ftsf\u00fchrung verh\u00e4ngt werden k\u00f6nnen und ein Sicherheits-Schadensfall im Extremfall sogar das Ende f\u00fcr ein Unternehmen bedeuten kann.<\/p>\n<p><b>Sicherheitsma\u00dfnahmen unter Ber\u00fccksichtigung von Administrierbarkeit und Benutzbarkeit<\/b><\/p>\n<p>H\u00e4ufig sind Sicherheitsma\u00dfnahmen mit Einschr\u00e4nkungen bei der Nutzung und Administration verbun\u00adden mit der Folge, dass bei vielen konkreten Ma\u00dfnahmen die Akzeptanz der betroffenen Personen fehlt.<\/p>\n<p>Eine wesentliche Sicherheitsma\u00dfnahme ist z.B. die Trennung von Zust\u00e4ndigkeiten f\u00fcr Aufgaben und T\u00e4tigkeiten zwischen verschiedenen Rollen bzw. Personen (\u201eSegregation of Duties\u201c). Grunds\u00e4tzlich sollten sicherheitsrelevante \u00c4nderungen immer auf mindestens zwei Rollen verteilt werden, die durch unterschiedliche Personengruppen abgebildet werden. Dies gilt insbesondere f\u00fcr Aufgaben, die umfassende Privilegien ben\u00f6tigen. Ein Administrator sollte z.B. die Datenbank, aber nicht die Daten administrieren k\u00f6nnen. Solch eine klare Trennung zwischen Infrastrukturbereitstellung\/-Administration und der Verarbeitung der Daten verhindert, dass vorhandene Privilegien missbraucht werden und unzul\u00e4ssige Zugriffe auf oder \u00c4nderungen von sensitiven Informationen erfolgen k\u00f6nnen.<\/p>\n<p>Hierbei wird deutlich, dass bei der Umsetzung von Sicherheitsma\u00dfnahmen auch immer die Aspekte Administrierbarkeit und Benutzbarkeit zwingend ber\u00fccksichtigt werden m\u00fcssen, um eine ausgewo\u00adgene Balance zwischen diesen drei Bereichen und damit einen optimalen Einsatz der IT zu erm\u00f6gli\u00adchen sowie die Akzeptanz von Sicherheitsma\u00dfnahmen bei Nutzern und Administratoren zu gew\u00e4hr\u00adleisten.<\/p>\n<p><b>Sicherheitsaspekte bei Datenbanken<\/b><\/p>\n<p>Da ein Gro\u00dfteil der umfangreichen und oft sensiblen Unternehmensdaten in kommerziellen Datenbanksystemen wie Oracle, Microsoft SQL Server, IBM DB2 und Sybase Datenbanken gehalten werden, stellen diese Systeme zunehmend ein lukratives Ziel f\u00fcr kriminelle Aktivit\u00e4ten dar. Stand bisher die Absicherung der Netzwerkperimeter und der Clientsysteme (Firewalls, IDS\/IPS, Antivirus etc.) im Fokus der IT Sicherheitsaktivit\u00e4ten, sollte nun die n\u00e4chste Phase, die den Schutz der Unternehmensdatenbanken vor Sicherheitsl\u00fccken und unbefugten Zugriffen und \u00c4nderungen zum Gegenstand hat, folgen.<\/p>\n<p>Zur Absicherung von Datenbanken sowie zur Einhaltung von gesetzlichen Vorgaben insbesondere, wenn sensitive und personenbezogene Daten gem. \u00a7 3 (1) BDSG innerhalb der Datenbanken gespeichert werden, die vor unberechtigten Zugriffen gesch\u00fctzt werden m\u00fcssen, l\u00e4sst sich auf Basis der Best Practices zur Datenbanksicherheit, die eine ganzheitliche Methodik bilden, recht einfach ein durchg\u00e4ngiges Sicherheitskonzept zum Schutz sensitiver Daten in Datenbanken aufbauen.<\/p>\n<p><strong>Die wesentlichen Aspekte im Rahmen der Datenbanksicherheit lauten:<\/strong><\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>H\u00e4rtung der Datenbanksysteme<\/li>\n<li>Trennung der Zust\u00e4ndigkeiten (Segregation of Duties)<\/li>\n<li>Authentifizierung, Autorisierung, Zugriffskontrolle und Berechtigungsmanagement<\/li>\n<li>Verschl\u00fcsselung (Netzwerk, Datensatz, Export, Backup und File)<\/li>\n<li>Anonymisierung von sensitiven Daten f\u00fcr Test und Abnahme<\/li>\n<li>Audit der Datenbankaktivit\u00e4t<\/li>\n<li>R\u00fcckgriff und Wiederherstellung von historischen Daten<\/li>\n<li>Schutz vor Angriffen durch SQL-Injection<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Um ein sinnvolles Ma\u00df an Sicherheit f\u00fcr Datenbanken zu erreichen, ist in der Regel eine Kombination aus organisatorischen und technologischen Anforderungen umzusetzen. Sowohl die Datenbankher\u00adsteller als auch Drittlieferanten bieten hierzu zahlreiche Funktionen und Produkte an, die technolo\u00adgisch optimal auf die jeweilige Datenbank abgestimmt sind.<\/p>\n<p>Weitere Informationen zu den Best Practices der\u00a0Datenbanksicherheit finden Sie\u00a0<a title=\"Best Practices zur Datenbanksicherheit\" href=\"https:\/\/www.edilog.de\/network\/2021\/08\/19\/best-practices-zur-datenbanksicherheit\/\">hier<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Hintergr\u00fcnde zu Pro und Contra von Ma\u00dfnahmen zur Datenbanksicherheit Debatten zur Sicherheit und Standardisierung werden schon immer gef\u00fchrt und dienen auch der Eind\u00e4mmung des Wildwuchses. Leider werden diese Themen innerhalb der Unternehmen oft mit Einschr\u00e4nkungen und Behinderungen in Verbindung gebracht. In der Diskussion um Cloud- und Mobile-Computing r\u00fcckt neben der Standardisierungsdebatte auch das Thema Sicherheit &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/www.edilog.de\/network\/2021\/08\/19\/umfang-der-datenbanksicherheit\/\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eUmfang der Datenbanksicherheit\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[9,21,26],"tags":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/183"}],"collection":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/comments?post=183"}],"version-history":[{"count":0,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/posts\/183\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/media?parent=183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/categories?post=183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.edilog.de\/network\/wp-json\/wp\/v2\/tags?post=183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}