Bundesamt für Sicherheit in der Informationstechnik

M 6.49 Datensicherung einer Datenbank

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die Sicherung der Daten eines Datenbanksystems kann in aller Regel nicht mit den Datensicherungsprogrammen auf Betriebssystemebene vollständig abgedeckt werden. Letztere bilden in den meisten Fällen lediglich das Bindeglied, um die zu sichernden Daten auf ein Sicherungsmedium zu schreiben. Zur Sicherung des DBMS und der Daten müssen dagegen für die meisten Datenbankprodukte zusätzlich die jeweiligen Dienstprogramme des DBMS eingesetzt werden.

Die einfachste Möglichkeit einer Datenbanksicherung, die zugleich die sicherste darstellt, ist eine Komplettsicherung der Datenbank in heruntergefahrenem Zustand. Dabei werden alle zur Datenbank gehörenden Dateien auf dem Sicherungsmedium gesichert. Meist ist dieses Vorgehen allerdings aus Gründen der Verfügbarkeitsanforderungen an die Datenbank oder aufgrund des zu sichernden Datenvolumens nicht durchführbar.

Eine Alternative zur oben beschriebenen Komplettsicherung ist eine Online-Sicherung der Datenbank. Die Sicherung erfolgt dann während des laufenden Betriebs, d. h. die Datenbank muss nicht heruntergefahren werden. Die Nachteile dieser Sicherungsart sind, dass Inkonsistenzen nicht explizit ausgeschlossen werden können, und dass auch in diesem Fall bei einer Zerstörung der Datenbank eine (Offline-) Komplettsicherung existieren muss, auf der aufbauend die Online-Sicherungen zurückgespielt werden können. Online-Sicherungen sollten aus diesem Grund nur dann durchgeführt werden, wenn eine permanente Verfügbarkeit der Datenbank gefordert ist. Auf eine Offline-Komplettsicherung, die in vertretbar großen Zeitabständen durchgeführt werden kann, sollte trotzdem nicht verzichtet werden.

Partielle Datenbanksicherungen stellen eine weitere Möglichkeit dar. Sie sollten immer dann verwendet werden, wenn das zu sichernde Datenvolumen zu groß ist, um eine vollständige Sicherung durchführen zu können. Dies kann daraus resultieren, dass die Kapazitäten der Sicherungsmedien nicht ausreichen oder dass der zur Verfügung stehende Zeitrahmen je Sicherung nicht genügt, um eine vollständige Sicherung durchführen zu können.

Falls möglich, so sollten in jedem Fall alle Transaktionen zwischen zwei Offline-Komplettsicherungen archiviert werden. Oracle bietet dazu beispielsweise die Möglichkeit an, indem der sogenannte ARCHIVE-Mode für die Datenbank aktiviert wird. Transaktionen werden bei Oracle in sogenannten Log-Dateien protokolliert, von denen es mehrere gibt. Diese werden nacheinander beschrieben und sobald alle Log-Dateien voll sind, so wird wieder die erste Log-Datei überschrieben. Der ARCHIVE-Mode erstellt von diesen Log-Dateien eine Sicherungskopie, bevor sie wieder überschrieben werden. Auf diese Art und Weise können bei einer Zerstörung der Datenbank alle Transaktionen komplett rekonstruiert werden. Auch hierfür ist allerdings die Existenz einer Komplettsicherung der Datenbank die Voraussetzung. Die Dauer eines solchen Recovery wächst mit der Anzahl der zurückzuspielenden Archiv-Log-Dateien an.

Für die Datensicherung eines Datenbanksystems muss ein eigenes Datensicherungskonzept erstellt werden. Einflussfaktoren für ein solches Konzept sind:

  • Verfügbarkeitsanforderungen an die Datenbank
    Wenn beispielsweise eine Datenbank werktags rund um die Uhr zur Verfügung stehen muss, so kann eine Komplettsicherung nur am Wochenende durchgeführt werden, da dies im allgemeinen ein Herunterfahren der Datenbank erfordert.
  • Datenvolumen
    Das gesamte zu sichernde Datenvolumen muss mit den zur Verfügung stehenden Sicherungskapazitäten verglichen werden. Dabei muss festgestellt werden, ob die Sicherungskapazitäten (z. B. ein DAT -Tape pro Sicherungslauf) für das entsprechende Datenvolumen der Datenbank ausreichend dimensioniert sind.
    Falls dies nicht der Fall ist, muss ein Konzept zur Teilsicherung des Datenvolumens erstellt werden. Dies kann z. B. bedeuten, dass die Daten einzelner Anwendungen oder einzelner Bereiche der Datenbank immer im Wechsel gesichert werden bzw. nur die aktuellen Änderungen. Die Möglichkeiten einer Teilsicherung hängen von der verwendeten Datenbank-Software ab.
  • Maximal verkraftbarer Datenverlust
    Hier muss festgelegt werden, ob bei einer Zerstörung der Datenbank der Datenverlust eines Tages verkraftbar ist, oder ob die Datenbank bis zur letzten Transaktion wiederherstellbar sein muss. Dies ist im allgemeinen bei einer hohen Anforderung an die Verfügbarkeit bzw. Integrität der Daten der Fall.
  • Wiederanlaufzeit
    Auch die maximal zulässige Zeitdauer des Wiederherstellens der Datenbank nach einem Absturz muss festgelegt werden, um den Verfügbarkeitsanforderungen zu genügen.
  • Datensicherungsmöglichkeiten der Datenbank-Software
    Im allgemeinen werden von einer Datenbank-Standardsoftware nicht alle denkbaren Datensicherungsmöglichkeiten unterstützt, wie z. B. eine partielle Datenbanksicherung. Im konkreten Fall gilt es also zu prüfen, ob das erstellte Datensicherungskonzept mit den zur Verfügung stehenden Mechanismen auch umgesetzt werden kann.

Anhand dieser Informationen kann ein Konzept für die Datensicherung der Datenbank erstellt werden. In diesem Sicherungskonzept wird unter anderem festgelegt (siehe hierzu auch Baustein B 1.4 Datensicherungskonzept )

  • wer für die ordnungsgemäße Durchführung von Datensicherungen zuständig ist,
  • in welchen Zeitabständen eine Datenbanksicherung durchgeführt wird,
  • in welcher Art und Weise die Datenbanksicherung zu erfolgen hat,
  • zu welchem Zeitpunkt die Datenbanksicherung durchgeführt wird,
  • die Spezifikation des zu sichernden Datenvolumens je Sicherung.
  • wie die Erstellung von Datensicherungen zu dokumentieren ist, und
  • wo die Datensicherungsmedien aufbewahrt werden.

Beispiel:

Sicherung von Montag bis Samstag:

  • Startzeit: morgens um 3.00h
  • Es erfolgt eine vollständige Sicherung der Daten, wobei die Datenbank nicht heruntergefahren, sondern die Möglichkeit der Online-Sicherung des DBMS genutzt wird.

Sicherung am Sonntag

  • Startzeit: morgens um 3.00h
  • Die Datenbank wird heruntergefahren und es erfolgt eine Komplettsicherung der Datenbank.

Prüffragen:

  • Gibt es ein Datensicherungskonzept für das Datenbanksystem, das die besonderen Aspekte der Datenbanksicherung berücksichtigt?

Stand: 13. EL Stand 2013