Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.124 Geeignete Auswahl einer Datenbank-Software - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.124 Geeignete Auswahl einer Datenbank-Software

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement, Administrator

Bei der Beschaffung neuer Datenbank-Software besteht die Möglichkeit, diese von vornherein so auszuwählen, dass im späteren Betrieb mit nur geringem personellen und organisatorischen Zusatzaufwand ein hohes Maß an Sicherheit erreicht werden kann.

Zu Beginn muss der Einsatzbereich und Verwendungszweck des Datenbanksystems geklärt werden, um die Anforderungen bezüglich der Verfügbarkeit, der Integrität und der Vertraulichkeit formulieren zu können. Weiterhin sind die Anforderungen hinsichtlich der zu verarbeitenden Datenmengen, der Verarbeitungsgeschwindigkeit und des Durchsatzes zu quantifizieren. Daraus leiten sich die zu erfüllenden Eigenschaften für die zu beschaffende Datenbank-Software ab, wie z. B. Verfügbarkeit für bestimmte Hardware-Plattformen bzw. Betriebssysteme oder Umfang von notwendigen Sicherheitsmechanismen. In diesem Planungsstadium kann bereits erkannt werden, ob und in welchem Maße für den späteren Betrieb des Datenbanksystems Hardware nach- bzw. umgerüstet werden muss. Anhand der Verfügbarkeitsanforderungen sind auch die benötigten Überwachungsmöglichkeiten zu definieren, d. h. es muss festgelegt werden, welche Datenbankzustände in welcher Form erkennbar sein sollen (z. B. durch eine Protokollierung in einer Datei), sowie die Art der Benachrichtigung verantwortlicher Personen bzw. Personengruppen über kritische Zustände der Datenbank (z. B. durch eine Meldung an der Konsole).

Für die Beschaffung einer Datenbank-Software sollten insbesondere die folgenden Punkte berücksichtigt werden:

Anhand dieser Kriterien müssen die zur Auswahl stehenden Datenbanksysteme geprüft und bewertet werden. Es ist dann diejenige Software auszuwählen, die die spezifischen Anforderungen am besten erfüllt. Weitergehende Anforderungen müssen entweder durch Zusatzprodukte oder durch Eigenentwicklung abgedeckt werden. Es sollte jedoch schon vor der Beschaffung abgeklärt werden, zu welcher Datenbank-Software welche Zusatzprodukte verfügbar sind, um nicht auf teure Eigenentwicklungen zurückgreifen zu müssen.

Von den meisten Datenbankmanagementsystemen sind in der Regel mehrere unterschiedliche Versionen auf dem Markt erhältlich. Dabei unterscheiden sich auch die einzelnen Versionen desselben Datenbankmanagementsystems in ihrer Funktionalität, unter anderem auch in sicherheitsrelevanten Bereichen. Der starke Wettbewerb führt dazu, dass einige Hersteller auch noch nicht vollausgereifte Software ausliefern, bei der dann mit Fehlern und eingeschränkter Funktionalität gerechnet werden muss.

In einer Testphase sollte deshalb überprüft werden, ob die ausgewählte Datenbank-Software die erforderlichen Funktionen in der vorgegebenen Einsatzumgebung auch erfüllt. Dies gilt insbesondere für die Anforderungen an die Performance und die benötigten Mechanismen zur Notfallvorsorge.

Vor der Beschaffung sollten auch Erfahrungen aus vergleichbaren Installationen herangezogen werden.

Ergänzende Kontrollfragen: