Bundesamt für Sicherheit in der Informationstechnik

M 6.48 Verhaltensregeln nach Verlust der Datenbankintegrität

Verantwortlich für Initiierung: Informationssicherheitsmanagement, Leiter IT

Verantwortlich für Umsetzung: Administrator, Benutzer

Falls sich das Datenbanksystem in nicht vorgesehener Weise verhält (zum Beispiel undefiniertes Systemverhalten, nicht auffindbare Tabellen oder Datensätze, veränderte Tabelleninhalte, unerklärlich langes Antwortzeitverhalten oder ähnliches), kann ein Verlust der Datenbankintegrität vorliegen. Dieser kann auch durch missbräuchliche Nutzung des Systems verursacht worden sein, zum Beispiel durch Veränderungen der Systemeinstellungen.

Für solche Problemfälle sollte ein Konzept (Wiederherstellungskonzept) erstellt werden, das Prüfungen, Entscheidungen und Aktionen beschreibt, um die Datenbank auf schnellem und sicherem Wege wieder zur Verfügung stellen zu können (siehe M 6.51 Wiederherstellung einer Datenbank ).

Ein weiterer wichtiger Aspekt ist die Benachrichtigung der Benutzer der Datenbank. Dies sollte unverzüglich nach Auftreten von Anzeichen für einen Integritätsverlust erfolgen, bevor die Arbeiten zur Wiederherstellung beginnen. Für diesen Fall und für die Situation, dass einem Benutzer Unregelmäßigkeiten bei der Nutzung der Datenbank auffallen, sollten den Benutzern Verhaltensregeln in Form eines Merkblattes an die Hand gegeben werden, das mindestens folgende Punkte enthalten sollte:

  • Ruhe bewahren!
  • Benachrichtigen Sie den Datenbankadministrator
  • Greifen Sie nicht mehr auf die Datenbank zu
  • Befolgen Sie die Anweisungen des Datenbankadministrators

Der Datenbankadministrator sollte genau nach dem Wiederherstellungskonzept vorgehen, das unter anderem folgende Schritte vorsehen sollte, die je nach Fehlerursache durchzuführen sind:

Information

  • Umgehende Benachrichtigung aller betroffenen Benutzer mit der Bitte, keine weiteren Datenbankzugriffe durchzuführen und auf neue Anweisungen zu warten.
  • Turnusmäßige Information der betroffenen Benutzer über den aktuellen Stand der Fehlerbehebung.

Sicherung des aktuellen Zustands

  • Herunterfahren des Datenbanksystems.
  • Hochfahren des Datenbanksystems im Exklusiv-Modus (falls dies vom Datenbanksystem unterstützt wird).
  • Sichern aller Dateien, die Aufschluss über die Art und Ursache des aufgetretenen Problems geben könnten (z. B. ob tatsächlich ein Angriff erfolgt ist und auf welche Weise der Angreifer eindringen konnte), d. h. insbesondere Sichern aller relevanten Protokolldateien.

Analyse und Interpretation

  • Überprüfung und Interpretation der Protokolldateien nach Auffälligkeiten (in Zusammenarbeit mit dem Revisor und/oder dem IT-Sicherheitsbeauftragten).
  • Überprüfung der Zugriffsrechte auf Systemtabellen.
  • Überprüfung der Datenbank-Software auf sichtbare Veränderungen, z. B. Erstellungsdatum und Größe der entsprechenden Dateien. (Da diese von einem Angreifer auch wieder auf ihre Ursprungswerte zurückgesetzt werden können, sollte ein Prüfsummenverfahren eingesetzt werden.)

Situationsabhängige Reaktion

  • Löschen der Datenbank-Software und Wiedereinspielen der Original-Dateien von schreibgeschützten Datenträgern (siehe M 6.21 Sicherungskopie der eingesetzten Software ). Programme aus existierenden Datensicherungen sollten nur dann wiedereingespielt werden, wenn hinreichend sicher ist, dass die wiedereingespielte Software den Fehler nicht bereits enthält.
  • Zurücksetzen der Passwörter.
  • Zurücksetzen der Zugriffsrechte auf Systemtabellen.
  • Benachrichtigung der Benutzer mit der Bitte, ihre Bereiche auf Unregelmäßigkeiten zu prüfen.

Nach dem Zurücksetzen der Passwörter auf ein Default-Passwort müssen die Benutzer unverzüglich aufgefordert werden, bei der nächsten Anmeldung neue Passwörter zu vergeben und hierbei die Vorgaben der Passwortrichtlinie zu beachten. Ist das Zurücksetzen auf ein Default-Passwort nicht möglich oder durch die Passwortrichtlinie untersagt, sollten die Passwörter zufällig erzeugt und den Benutzern auf zuverlässigem Weg mitgeteilt werden, z. B. in versiegelten Umschlägen. Diese Passwörter sollten direkt nach der Erstanmeldung geändert werden. Der Administrator sollte kontrollieren, dass die Default-Passwörter unmittelbar abgeändert wurden.

Falls Daten gelöscht oder unerwünscht geändert wurden, können diese aus den Datensicherungen wiedereingespielt werden (siehe M 6.51 Wiederherstellung einer Datenbank ).

Wenn Anzeichen auf einen vorsätzlichen Angriff gegen eine Datenbank vorliegen, ist für die Schadensminimierung und weitere Schadensabwehr sofortiges Handeln notwendig. Hierzu ist ein Alarmplan erforderlich, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen über den Vorfall zu unterrichten sind (siehe auchM 6.60 Festlegung von Meldewegen für Sicherheitsvorfälle ). Der Alarmplan enthält gegebenenfalls auch Informationen darüber, ob und wie der Datenschutzbeauftragte und die Rechtsabteilung zu beteiligen sind.

Prüffragen:

  • Gibt es ein getestetes Wiederherstellungskonzept, das bei Verlust der Datenbankintegrität angewendet werden kann und Prüfungen, Entscheidungen und Aktionen beschreibt, um die Datenbank schnell und sicher wieder zur Verfügung stellen zu können?

  • Gibt es Verhaltensregeln für die Benutzer bei ungewöhnlichem Systemverhalten der Datenbank?

  • Gibt es ein erprobtes Verfahren zur schnellen und sicheren Vergabe von Passwörtern (nach Wiederherstellung der Datenbank)?

  • Gibt es einen getesteten Alarmplan, nach dem bei einem vermuteten Angriff gegen die Datenbank Maßnahmen zur Schadensbegrenzung eingeleitet werden?

Stand: 13. EL Stand 2013