Bundesamt für Sicherheit in der Informationstechnik

M 2.132 Regelung für die Einrichtung von Datenbankbenutzern/-benutzergruppen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Einrichtung von Benutzern/Benutzergruppen aus einer Datenbank bilden die Voraussetzung für eine angemessene Vergabe von Zugriffsrechten (siehe M 2.129 Zugriffskontrolle einer Datenbank ) und für die Sicherstellung eines geordneten und überwachbaren Betriebsablaufs. Grundsätzlich erhält dazu jeder Datenbankbenutzer eine interne Datenbankkennung, über die ihn das Datenbanksystem identifiziert. Damit können nur autorisierte Personen auf die Datenbank zugreifen.

Modifizierende Operationen (Update, Insert, Delete, etc.), die nicht vom DBMS sondern von Benutzern mit Administrationsrechten ausgeführt werden, stellen ein hohes Risiko dar, das zur Zerstörung der Datenbank führen kann. Auf die Vergabe von modifizierenden Rechten auf die System-Tabellen sollte deshalb grundsätzlich verzichtet werden. Selbst ein lesender Zugriff sollte beschränkt werden, da über die System-Tabellen alle Informationen der Datenbank ermittelt werden können.

In Anlehnung an M 2.30 Regelung für die Einrichtung von Benutzern / Benutzergruppen sollte ein Formblatt erstellt werden, um von jedem Benutzer bzw. für jede Benutzergruppe zunächst die erforderlichen Daten abzufragen, die für eine organisierte Benutzerverwaltung erforderlich sind:

  • Name, Vorname,
  • Vorschlag für die Benutzer-Kennung (wenn nicht durch Konventionen vorgegeben),
  • Organisationseinheit,
  • Erreichbarkeit (z. B. E-Mail, Telefon, Raum),
  • Zustimmung von Vorgesetzten,
  • Projekt (optional),
  • Anwendungen, die benutzt werden sollen und auf das Datenbanksystem zugreifen (optional),
  • Angaben über die geplante Tätigkeit im Datenbanksystem und die dazu erforderlichen Rechte sowie die Dauer der Tätigkeit (optional) und
  • Restriktionen auf Zeiten, Zugriffsberechtigungen (für bestimmte Tabellen, Views etc.), eingeschränkte Benutzerumgebung (optional).

Es sollte eine begrenzte Anzahl von Rechteprofilen festgelegt werden. Ein neuer Benutzer wird dann einem oder mehreren Profilen zugeordnet und erhält damit genau die für seine Tätigkeit erforderlichen Rechte. Dabei sind die datenbankspezifischen Möglichkeiten bei der Einrichtung von Benutzern und Gruppen zu nutzen, die bereits bei der Auswahl der Datenbanksoftware zu berücksichtigen sind (siehe M 2.124 Geeignete Auswahl einer Datenbank-Software ). Es ist sinnvoll, Namenskonventionen für die Benutzer- und Gruppenkennungen festzulegen (z. B. Benutzer-ID = Kürzel der Organisationseinheit plus laufende Nummer).

Dabei können Benutzer-, Rollen- und Gruppenprofile benutzt werden. Soweit möglich, sollten jedoch keine benutzerspezifischen Profile verwendet werden, da dies bei einer großen Anzahl von Benutzern zu einem hohen administrativen Aufwand führt. Bei der Definition von Gruppenprofilen muss man zwischen restriktiven und großzügigen Berechtigungsprofilen abwägen. Werden die Gruppenprofile zu restriktiv gehandhabt, muss eine große Anzahl von Gruppen verwaltet werden, was zu einem hohen administrativen Aufwand führt. Werden die Gruppenprofile dagegen zu großzügig definiert, kann es zu Redundanzen zwischen verschiedenen Gruppen kommen oder zur Einräumung von unnötig umfangreichen Rechten, was wiederum zur Verletzung der Vertraulichkeit oder Integrität von Daten führen kann.

Jedem Benutzer muss eine eigene Datenbankkennung zugeordnet sein, es dürfen nicht mehrere Benutzer unter derselben Kennung arbeiten.

Grundsätzlich muss zwischen der der Datenbankkennung und der Benutzerkennung des zugrunde liegenden Betriebssystems unterschieden werden. Einige Hersteller bieten in ihrer Datenbank-Software jedoch die Möglichkeit an, die Betriebssystemkennung in das Datenbanksystem zu übernehmen. Dies erspart den Anwendern eine Authentisierung für den Zugang zur Datenbank, falls diese sich bereits mit ihrer eigenen Betriebssystemkennung angemeldet haben.

So können beispielsweise unter Oracle so genannte OPS$-Kennungen verwendet werden. Eine solche Kennung setzt sich aus dem Präfix "OPS$" und der Betriebssystemkennung des Benutzers zusammen. Nur wenn sich ein Benutzer mit seiner Betriebssystemkennung am Datenbanksystem anmeldet, wird kein Passwort vom DBMS abgefragt. Meldet sich der Benutzer dagegen unter einer anderen Kennung an, so erfolgt eine Passwortabfrage.

Diese Möglichkeit beinhaltet allerdings die Gefahr, dass bei einer unerlaubten Authentisierung auf Betriebssystemebene (z. B. bei Überwindung des entsprechenden Passwortschutzes) der Zugriff auf die Datenbank nicht mehr verhindert werden kann. Vor der Verwendung von OPS$-Kennungen sollte deshalb geprüft werden, ob die Sicherheitsmechanismen des Betriebssystems auf den Clients für den vorliegenden Anwendungsfall ausreichend sind.

Bei der Forderung nach einer einfachen Handhabung für die Benutzer (Stichwort Single-Sign-On - SSO) sollte alternativ der Einsatz eines Zusatzproduktes zur zentralen Benutzerverwaltung für den gesamten IT-Betrieb erwogen werden. Aber auch hier müssen die konkreten Sicherheitsanforderungen mit dem entsprechenden Zusatzprodukt abgeglichen werden.

Prüffragen:

  • Gibt es Regelungen für die Einrichtung von Datenbankbenutzern bzw. -benutzergruppen?

  • Wird auf die Vergabe von modifizierenden Rechten auf die System-Tabellen verzichtet?

  • Werden die Zugriffsrechte auf die Datenbank über Benutzergruppen, Profile oder Rollen vergeben?

  • Erhält jeder Benutzer nur die zur Erfüllung seiner Aufgabe notwendigen Rechte?

  • Erhält jeder Datenbank-Benutzer eine eigene interne Datenbankkennung, die von der Benutzerkennung des zugrunde liegenden Betriebssystems verschieden ist?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK