Bundesamt für Sicherheit in der Informationstechnik

M 4.67 Sperren und Löschen nicht benötigter Datenbank-Accounts

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Wenn ein neu einzurichtender Benutzer seinen Datenbank-Account nur für einen befristeten Zeitraum benötigt, sollte dieser auch nur befristet eingerichtet werden, falls die Datenbank eine solche Möglichkeit zur Verfügung stellt. Es kann vorteilhaft sein, Accounts grundsätzlich nur befristet einzurichten und in regelmäßigen Abständen (z. B. jährlich) bei Bedarf zu verlängern.

Darüberhinaus sollte die Datenbankadministration schnellstmöglichst über das endgültige Ausscheiden eines Benutzers informiert werden. Spätestens am letzten Arbeitstag des Benutzers ist dessen Account zu sperren.

Auch wenn Benutzer in ein anderes Aufgabengebiet, einen anderen Zuständigkeitsbereich oder andere Projekte wechseln, müssen die dafür nicht mehr benötigten Datenbank-Accounts gesperrt oder die Zugriffsrechte entsprechend angepasst werden.

Weiterhin sollte regelmäßig geprüft werden, ob vorhandene Datenbank-Accounts tatsächlich benötigt werden. Insbesondere sollten hierbei auch nicht benötigte Standard-Accounts gesperrt werden.

Prüffragen:

  • Werden Datenbank-Accounts befristet eingerichtet, mindestens wenn der Benutzer diesen nur für einen befristeten Zeitraum benötigt und die technische Möglichkeit besteht?

  • Wird regelmäßig überprüft, ob vorhandene Datenbank-Accounts mit den spezifizierten Zugriffsrechten noch benötigt werden?

  • Werden nicht benötigte Datenbank-Accounts, insbesondere auch Standard-Accounts, gesperrt bzw. die Zugriffsrechte entsprechend angepasst?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK