Bundesamt für Sicherheit in der Informationstechnik

M 4.69 Regelmäßiger Sicherheitscheck der Datenbank

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Der Datenbankadministrator sollte regelmäßig, jedoch mindestens einmal monatlich einen Sicherheitscheck des Datenbanksystems ( DBS ) durchführen, der durch das Betriebskonzept geregelt sein sollte. In Abhängigkeit der Prüfungsergebnisse sollten entsprechende Maßnahmen ergriffen werden, um Abweichungen von den Vorgaben des Betriebskonzepts abzustellen. Diese Maßnahmen und die Zuständigkeiten für die Umsetzung sollten ebenfalls im Betriebskonzept festgelegt sein.

Folgende Aspekte sollten im Rahmen des Sicherheitschecks mindestens überprüft werden, wobei die mit (*) markierten Punkte meist durch entsprechende Skripte automatisiert werden können:

  • Werden die im Betriebskonzept vorgegebenen Nachweise (z. B. Dokumentation von Änderungen) korrekt erstellt?
  • Sind die erforderlichen und geplanten Sicherungs- und Sicherheitsmechanismen aktiv und greifen sie auch?
  • Gibt es Datenbank-Benutzer mit leicht zu ermittelndem oder keinem Passwort? (*)
  • Gibt es Benutzer, die die ihnen zugewiesenen Rechte nicht mehr für ihre Aufgabenerfüllung benötigen?
  • Wer darf bzw. kann außer dem Datenbank-Administrator auf die Dateien der Datenbank-Software bzw. auf die Dateien der Datenbank auf Betriebssystemebene zugreifen? (*)
  • Wer hat außer dem Datenbank-Administrator Zugriff auf die System-Tabellen der Datenbanken?
  • Wer darf mit einem interaktiven SQL-Editor auf die Datenbank zugreifen?
  • Welche Benutzer-Kennungen haben modifizierende Zugriffsrechte auf die Datenbankobjekte der Anwendungen? (*)
  • Welche Benutzer-Kennungen haben lesende und / oder modifizierende Zugriffsrechte auf die Daten der Anwendungen? (*)
  • Welche Benutzer besitzen die gleichen Rechte wie der Datenbank-Administrator? (*)
  • Verfügt das Datenbanksystem über ausreichend freie Ressourcen? (*)

Prüffragen:

  • Erfolgt regelmäßig ein Sicherheitscheck des Datenbanksystems?

  • Werden aufgrund der Ergebnisse des Sicherheitschecks des Datenbanksystems notwendige Maßnahmen zur Beseitigung von Abweichungen eingeleitet?

  • Ist die Durchführung des Sicherheitschecks im Betriebskonzept zum Datenbanksystem geregelt?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK