31. Juli 2008 - Datenbank-Audit

So spüren Sie unerlaubte Datenbankänderungen auf

Datenbanken stellen das Herzstück der digitalen Informationsverwaltung dar und beherbergen oftmals personenbezogene Daten. Unerlaubte Zugriffe und Missbrauch müssen deshalb verhindert und aufgespürt werden. Die Protokollfunktionen der Datenbankmanagementsysteme (DBMS) reichen in der Regel nicht aus, wenn direkte Zugriffe auf die Datenbank oder Manipulationen durch den Administrator festgestellt werden sollen. Nutzen Sie deshalb zusätzliche Werkzeuge und Verfahren für das wichtige Datenbank-Audit.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Ob Kundendatenbank, Mitarbeiterdatenbank oder Adressdatenbank, kaum ein Unternehmen wird darauf verzichten können, personenbezogene Daten in Datenbanken strukturiert und recherchierbar abzulegen und zu verwalten.

Datenbanken stellen deshalb ein lohnendes Ziel für kriminell motivierte Zugriffe oder auch die unerlaubte Datennutzung aus Neugierde dar, um näheres über eine Kollegin, einen Kollegen oder Kunden zu erfahren.

Zunehmend finden Datenbanken ihren Einsatz in Verbindung mit Internetanwendungen und müssen deshalb nicht nur gegen unerlaubte Zugriffe aus dem Inneren, sondern auch gegen mögliche Hackerattacken geschützt werden.

Stellen Sie den Missbrauch von Datenbanken frühzeitig fest

Datenbanken könnten zum Beispiel über das Internet Datensatz für Datensatz automatisiert ausgelesen werden, wenn sie für Abfragen über das Web ansprechbar sind, aber der richtige Schutz fehlt. Je länger eine Datenbank ungesichert für unbefugte interne oder externe Zugriffe zur Verfügung steht, desto höher ist das Risiko, dass vertrauliche Daten in die falschen Hände geraten.

Es stellen sich also für Sie als Datenschutzbeauftragten verschiedene Fragen:

  • Wie kann ich Datenbanken gegen unerlaubte Zugriffe schützen?
  • Wie stelle ich einen solchen Zugriff möglichst schnell fest?
  • Und: Welche Möglichkeiten bleiben mir, falls ein Mitarbeiter mit Administratorrechten im Verdacht steht, eine Datenbank zu missbrauchen?
Sie möchten beim technischen Datenschutz auf dem Laufenden bleiben?
Melden Sie sich einfach für unsere kostenlosen Datenschutz-Newsletter an.

Vorbeugen ist besser als Aufspüren

Das beste Mittel gegen die unerlaubte Nutzung von Datenbanken besteht in präventiven Maßnahmen, auch wenn diese die Protokollierung und Auditierung nicht ersetzen können. Prüfen Sie deshalb regelmäßig, wie es um die Sicherheitsfunktionen der jeweils eingesetzten Datenbankmanagementsysteme (DBMS) steht.

Dazu gehören insbesondere

  • eine Benutzerverwaltung, die zwischen Administrator und Benutzer unterscheidet,
  • ein umfassendes Berechtigungssystem,
  • die Vergabe der Berechtigungen nach dem Prinzip der Erfordernis,
  • die Verwendung starker Passwörter,
  • eine Zwei-Faktor-Authentifizierung, je nach Schutzbedarf,
  • die Beschränkung und Absicherung von Fernzugriffen,
  • die Nutzung von Benutzersichten (Views) auf die Datenbank sowie
  • die physische Trennung von Daten und Views, so dass die Daten separat abgespeichert sind und die Zugriffe nur auf die getrennt gespeicherten Views erfolgen.

Werten Sie die Protokolle zeitnah und regelmäßig aus

Datenbankmanagementsysteme bieten in der Regel umfangreiche Protokollierungen der Datenbankzugriffe an. Hier sollten Sie zum einen darauf achten, dass die generierten Protokolle auch den Vorgaben des Datenschutzes entsprechen und nur ihrem Zweck entsprechend ausgewertet werden.

Achten Sie aber auch darauf, dass die Protokolle tatsächlich regelmäßig und zeitnah ausgewertet werden und auch einen sinnvollen Umfang haben, der eine Auswertung noch zulässt.

So wichtig diese Protokollierungen auch sind, sie können jedoch meist nur die Aktionen festhalten, die innerhalb des DBMS initiiert wurden. Zudem sind Protokolle, die innerhalb eines bestimmten Systems erzeugt werden, oftmals in der Gefahr, durch einen böswilligen Systemadministrator manipuliert zu werden. Dadurch würden sich dann insbesondere alle Aktivitäten des Administrators einer Kontrolle durch Sie entziehen.

Trennen Sie Audit und Administraton

Versuchte Anmeldungen, zurückgewiesene Verbindungen und Datenbankänderungen müssen revisionssicher aus den Protokollen hervorgehen. Prüfen Sie deshalb insbesondere, ob

  • Protokollierungen verpflichtend aktiviert sind,
  • eine Deaktivierung der Protokollierung eine Benachrichtigung an den Administrator und an eine unabhängige Stelle (Vier-Augen-Prinzip) auslöst,
  • Protokolle gegen Löschen und Überschreiben geschützt sind und
  • Protokolle geschützt abgelegt sind.

Der Protokolldienst sollte dazu nicht auf dem gleichen System laufen, wie das zu überwachende Datenbanksystem selbst. Sorgen Sie deshalb für eine organisatorische und technische Trennung zwischen Datenbankadministration und Datenbank-Audit.

Audit-Funktionen sollten also insbesondere mit eigenen Privilegien versehen sein, die nicht den Berechtigungen des Datenbankadministrators (DBA) entsprechen.

Denken Sie an Zugriffe über externe Skripte

Die Möglichkeit, individuelle Abfragen erstellen zu können, birgt ebenso zusätzliche Gefahren für den Datenschutz in sich wie die Verwendung von externen Skripten zur Abfrage der Datenbanken. So sind bei allen relationalen Datenbanken in der Regel auch Abfragen möglich, die direkt in SQL (Structured Query Language) erstellt wurden.

Dazu bieten viele Datenbanksysteme eigene Editoren an. Aber selbst wenn Sie diese sperren lassen, könnten SQL-Skripte außerhalb des Systems entwickelt und eingesetzt werden.

Mit solchen Skripten wäre es unter anderem möglich,

  • Datensätze abzuändern,
  • neue Daten zu importieren,
  • vorhandene Daten zu löschen oder
  • komplette Datensätze zu der bestehenden Datenbank hinzu zu fügen.

Somit müssen auch solche Datenbankzugriffe, die über externe Skripte ausgelöst werden, in eine Protokollierung aufgenommen werden und je nach Schutzbedarf eine Alarmierung des zuständigen DBA und des Datenschutzbeauftragten auslösen.

Nutzen Sie spezielle Module zur Ermittlung von Manipulationen

Um Datenbankänderungen feststellen zu können, die durch vordefinierte Funktionen des DBMS, durch individuelle Abfragen oder auch durch externe Skripte verursacht werden, sind seit kurzer Zeit neuartige Werkzeuge und Verfahren auf dem Markt verfügbar.

Spezielle Module für DBMS verwalten jede Datenbankänderung und kennen die erlaubten Änderungen durch entsprechende Konfigurationen. Erfolgt nun eine Änderung, kann ein solches Modul prüfen, ob es sich um eine geplante und zulässige Änderung handelt. Andernfalls kann eine Warnung ausgegeben werden.

Ein mögliches Verfahren dafür nennt sich Track Value Changes. Bei diesem Verfahren werden zu den einzelnen Datensätzen oder anderen Datenbankelementen definierte Werte ermittelt und an einem geschützten Ort abgelegt. Eine Änderung an der Datenbank manipuliert bestimmte Elemente und wird deshalb einer Veränderung der berechneten Zahlenwerte führen.

Ein Vergleich der Vorher-Nachher-Werte macht so die Änderung sichtbar und kann als Grundlage einer Benachrichtigung genutzt werden. Dabei ist auch möglich, sinnvolle Grenzwerte für erlaubte Veränderungen zu definieren. So wird es möglich, unabhängig von dem Weg der Datenbankänderung eine entsprechende Manipulation aufzuspüren, immer vorausgesetzt, dass die Auditfunktionen selbst manipulationssicher und geschützt sind.

Oliver Schonschek, Diplom-Physiker und Fachjournalist

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln