Bundesamt für Sicherheit in der Informationstechnik

G 4.27 Unterlaufen von Zugriffskontrollen über ODBC

Datenbankschnittstellen stellen dem Benutzer eine Verbindung (Application Programming Interface, API ) von Anwendungsprogrammen zu anderen Datenbanken in Form von Treibern zur Verfügung.

Beispiele für Datenbankschnittstellen sind:

  • ODBC: Open Database Connectivity
  • IDAPI : Integrated Database Application Programming Interface
  • JDBC: Java Database Connectivity

Dabei werden die Anweisungen des Anwendungsprogramms durch die Datenbankschnittstelle in für die jeweilige Datenbank spezifische Befehle übersetzt, der Datenbank übermittelt und die Ergebnisse an das Anwendungsprogramm zurück übertragen.

Bestandteil der Kommunikation über die Schnittstelle zwischen Anwendungsprogramm und Datenbank ist die Identifizierung der Anwendung als registrierter Datenbanknutzer.

Existierende Zugangs- oder Zugriffskontrollen einer Datenbank können unterlaufen werden, wenn auf die Datenbank über Datenbankschnittstellen zugegriffen wird und bei der Installation, Konfiguration oder Nutzung der zugehörigen Treiber Fehler gemacht wurden. In diesem Fall kann ein Schutz vertraulicher Daten nicht gewährleistet werden und die Manipulation von Daten ist möglich.

Beispiel:

Eine ODBC-Datenquelle kann in Microsoft Excel oder Word genutzt werden, um Informationen aus einer Datenbank in ein Dokument einzubinden. Um auch später wieder einfach auf diese Informationen zugreifen zu können, ist es möglich, zu der Abfrage auch den Benutzernamen und das Passwort zu speichern. Benutzername und Passwort werden dabei im Klartext in der Datei gespeichert. Wird das betroffene Excel- oder Word-Dokument nun an einen Dritten weitergegeben, kann dieser mit einem Editor den Benutzernamen und das Passwort lesen und so möglicherweise Zugriff auf die Datenbank erhalten.

Stand: Stand 2006