M 4.69 Regelmäßiger Sicherheitscheck der Datenbank
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Datenbankadministrator sollte regelmäßig, jedoch mindestens einmal monatlich einen Sicherheitscheck des Datenbanksystems (DBS) durchführen, der durch das Betriebskonzept geregelt sein sollte. In Abhängigkeit der Prüfungsergebnisse sollten entsprechende Maßnahmen ergriffen werden, um Abweichungen von den Vorgaben des Betriebskonzepts abzustellen. Diese Maßnahmen und die Zuständigkeiten für die Umsetzung sollten ebenfalls im Betriebskonzept festgelegt sein.
Folgende Aspekte sollten im Rahmen des Sicherheitschecks mindestens überprüft werden, wobei die mit (*) markierten Punkte meist durch entsprechende Skripte automatisiert werden können:
- Werden die im Betriebskonzept vorgegebenen Nachweise (z. B. Dokumentation von Änderungen) korrekt erstellt?
- Sind die erforderlichen und geplanten Sicherungs- und Sicherheitsmechanismen aktiv und greifen sie auch?
- Gibt es Datenbank-Benutzer mit leicht zu ermittelndem oder keinem Passwort? (*)
- Gibt es Benutzer, die die ihnen zugewiesenen Rechte nicht mehr für ihre Aufgabenerfüllung benötigen?
- Wer darf bzw. kann außer dem Datenbank-Administrator auf die Dateien der Datenbank-Software bzw. auf die Dateien der Datenbank auf Betriebssystemebene zugreifen? (*)
- Wer hat außer dem Datenbank-Administrator Zugriff auf die System-Tabellen der Datenbanken?
- Wer darf mit einem interaktiven SQL-Editor auf die Datenbank zugreifen?
- Welche Benutzer-Kennungen haben modifizierende Zugriffsrechte auf die Datenbankobjekte der Anwendungen? (*)
- Welche Benutzer-Kennungen haben lesende und / oder modifizierende Zugriffsrechte auf die Daten der Anwendungen? (*)
- Welche Benutzer besitzen die gleichen Rechte wie der Datenbank-Administrator? (*)
- Verfügt das Datenbanksystem über ausreichend freie Ressourcen? (*)
Ergänzende Kontrollfragen:
- Wann wurde der letzte Sicherheitscheck durchgeführt?
- Werden die Durchführung und die Ergebnisse der Sicherheitschecks dokumentiert?
- Werden nach der Aufdeckung von Sicherheitslücken Maßnahmen zur Beseitigung eingeleitet?