Bundesamt für Sicherheit in der Informationstechnik

M 2.135 Gesicherte Datenübernahme in eine Datenbank

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

In vielen Datenbanksystemen besteht aus Anwendungssicht die Notwendigkeit, Daten aus anderen Systemen zu übernehmen. Dabei lassen sich prinzipiell die beiden folgenden Kategorien unterscheiden:

Erst- oder Altdatenübernahme

Bei der Übernahme von Daten aus Altsystemen, wenn beispielsweise ein neues Datenbanksystem beschafft wurde und produktiv eingesetzt werden soll, ist insbesondere sicherzustellen, dass

  • die Daten in einem Format vorliegen, das in die Zieldatenbank übernommen werden kann,
  • die Daten vollständig sind, d. h. für alle Felder, die in der Zieldatenbank gefüllt werden sollen, müssen Daten zur Übernahme zur Verfügung gestellt werden, und
  • die Konsistenz und Datenintegrität der Datenbank gewährleistet ist.

Im Vorfeld der Datenübernahme ist ein Konzept zu erstellen, wie die zu übernehmenden Daten aufbereitet werden müssen und wie die Übernahme konkret durchgeführt werden soll. Weiterhin ist eine Komplettsicherung der Altdaten vorzunehmen. Erfolgt die Datenübernahme in mehreren Schritten, sollte vor jedem einzelnen Schritt eine unabhängige Datensicherung durchgeführt werden.

Regelmäßige Datenübernahme

Befinden sich in der Zieldatenbank bei einer Datenübernahme bereits Daten, die nicht verändert werden dürfen, oder werden in regelmäßigen Zeitabständen Daten in eine Datenbank übernommen, so

  • ist vor der Datenübernahme eine Komplettsicherung der Datenbank durchzuführen,
  • sollte die Datenübernahme wenn möglich außerhalb der regulären Betriebszeiten stattfinden,
  • sind Vorkehrungen zu treffen, um eine mehrfache Übernahme der gleichen Daten zu verhindern,
  • ist vor der ersten Datenübernahme ein Konzept zu erstellen, wie die zu übernehmenden Daten aufbereitet werden müssen bzw. wie die Übernahme konkret durchzuführen ist. Insbesondere muss in diesem Konzept berücksichtigt werden, wie Konflikte zwischen den bereits existierenden Daten in der Zieldatenbank und den zu übernehmenden Daten vermieden werden, d. h. inwieweit die Integrität und Konsistenz der Zieldatenbank gewahrt bleibt.

Von einer Datenbankaktualisierung betroffene Benutzer müssen über die bevorstehende Datenübernahme rechtzeitig informiert werden, insbesondere dann, wenn mit Einschränkungen hinsichtlich der Verfügbarkeit oder des Antwortzeitverhaltens zu rechnen ist.

Vor der Durchführung einer Datenübernahme ist festzulegen, was beim Auftreten von Fehlern zu unternehmen ist. Dies beinhaltet z. B., ob beim Auftreten eines fehlerhaften Datensatzes mit dem nächsten Satz fortgefahren werden kann, oder ob die komplette Datenübernahme abgebrochen werden muss. Weiterhin ist festzulegen, wie die Datenübernahme nach einem Abbruch wieder aufgesetzt wird.

Prüffragen:

  • Gibt es ein Konzept zur Datenübernahme aus anderen Systemen in eine bestehende Datenbank?

  • Erfolgt vor einer Datenübernahme eine Komplettsicherung der Datenbank?

  • Werden die betroffenen Benutzer vor einer Datenübernahme rechtzeitig und umfassend informiert?

  • Ist festgelegt, wie beim Auftreten von Fehlern während einer Datenübernahme zu verfahren ist?

Stand: 13. EL Stand 2013