Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.128 Zugangskontrolle einer Datenbank - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.128 Zugangskontrolle einer Datenbank

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Die Datenbank-Software muss über geeignete Mechanismen zur Identifikation und Authentisierung der Benutzer verfügen, um eine wirkungsvolle Zugangskontrolle zu gewährleisten. Die Vergabe von Zugangsberechtigungen hat nach festgelegten Regeln zu erfolgen (siehe M 2.132 Regelung für die Einrichtung von Datenbankbenutzern/-benutzergruppen).

Generell sollte für normale Benutzer der Zugang zu einer Produktionsdatenbank über einen interaktiven SQL-Interpreter unterbunden werden. Auf solche Datenbanken sollte ausschließlich ein indirekter Zugang über die entsprechenden Anwendungen möglich sein. Die einzige Ausnahme bilden hier Datenbankkennungen zu Administrationszwecken.

Remote-Zugänge zu Datenbanken sollten äußerst restriktiv gehandhabt werden. Ist diese Art des Zugangs nicht zwingend erforderlich, so sind diese zu unterbinden. Ansonsten sollte nur denjenigen Benutzern ein Remote-Zugang ermöglicht werden, die diesen auch tatsächlich benötigen. Andere Benutzer dürfen nicht in der Lage sein, sich selbst einen Remote-Zugang zu verschaffen. Keinesfalls darf ein Remote-Zugang ohne Angabe einer gültigen Benutzer-Kennung und Eingabe eines Passwortes möglich sein.

Bei erhöhten Sicherheitsanforderungen sollte geprüft werden, ob eine starke Authentisierung, die über Benutzername und Passwort hinausgeht, erforderlich ist. Hier kommt beispielsweise der Einsatz von Chipkarten oder sogenannten Tokens in Frage.

Ergänzende Kontrollfragen: