Bundesamt für Sicherheit in der Informationstechnik

M 2.131 Aufteilung von Administrationstätigkeiten bei Datenbanksystemen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Um einen geordneten Betrieb von Datenbanksystemen zu ermöglichen, sind Administratoren zu bestimmen. Diesen obliegt neben allgemeinen Administrationsarbeiten insbesondere die Benutzerverwaltung einschließlich der Verwaltung der Zugriffsrechte. Zusätzlich sind sie für die Sicherheitsbelange der betreuten Datenbanksysteme zuständig.

Neben den in M 2.26 Ernennung eines Administrators und eines Vertreters und M 3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters genannten Maßnahmen sind speziell für Datenbanksysteme folgende Dinge zu beachten.

Es sollten grundsätzlich zwei verschiedene Administrator-Rollen unterschieden werden:

  • die fachlich übergreifende Administration der Datenbank-Software und
  • die Administration der anwendungsspezifischen Belange.

Diese beiden Aufgaben sollten von verschiedenen Personen durchgeführt werden, um eine Trennung der anwendungsspezifischen und fachlich übergreifenden Administration einer Datenbank zu erreichen.

Der grundsätzliche Betrieb des DBMS , die Durchführung der Datensicherungen oder die Archivierung von Datenbeständen sind beispielsweise Bestandteil der fachlich übergreifenden Datenbankadministration.

Bei der anwendungsspezifischen Administration werden dagegen die Erfordernisse der einzelnen Anwendungen an die Datenbank bearbeitet. Dies kann z. B. die Verwaltung der zugehörigen Datenbankobjekte, die Unterstützung der Benutzer bei Problemen bzw. Fragen oder die Verwaltung der entsprechenden Datenbankkennungen beinhalten. Letzteres ist allerdings nur dann möglich, wenn die Verwaltung der Datenbankkennungen je Anwendung über ein entsprechendes Berechtigungskonzept durch die Datenbank-Software unterstützt wird, also von den fachlich übergreifenden Berechtigungen getrennt werden kann.

Der fachlich übergreifende Administrator richtet die für die anwendungsspezifischen Belange zuständigen Administratorkennungen mit den zugehörigen Berechtigungen ein. Dazu gehört insbesondere das Recht, Datenbanken anzulegen. Die Rechtevergabe für die einzelnen Benutzer sollte dagegen für jede anwendungsspezifische Datenbank getrennt durchgeführt werden und zwar vom jeweils zuständigen anwendungsspezifischen Administrator.

Prüffragen:

  • Gibt es verschiedene Administrator-Rollen für die fachlich übergreifende Administration der Datenbank-Software und für die Administration der anwendungsspezifischen Belange?

  • Sind die beiden Datenbank-Administrator-Rollen für die fachlich übergreifende Administration der Datenbank-Software und für die Administration der anwendungsspezifischen Belange verschiedenen Personen im Sinne einer Rollentrennung zugeordnet?

Stand: 13. EL Stand 2013