Titelaufnahme

Titel
Datenbanksicherheit
Weitere Titel
Database Security
VerfasserSchiefer, Martin
GutachterKoschuch, Manuel
Erschienen2013
Datum der AbgabeSeptember 2013
SpracheDeutsch
DokumenttypBachelorarbeit
Schlagwörter (DE)Datenbanksicherheit / MySQL / Netzwerksicherheit / IDS/IPS / TLS / SQL
Schlagwörter (EN)Databasesecurity / MySQL / Networksecurity / IDS/IPS / TLS / SQL
Zugriffsbeschränkung
 _
Klassifikation
Zusammenfassung (Deutsch)

Diese Arbeit beschäftigt sich mit Datenbanksicherheit. Pro Jahr werden immer mehr Daten produziert, deren sichere Ablegung oft eine Herausforderung darstellt. Die Daten sollen unter Wahrung von Vertraulichkeit, Integrität und Authentizität gespeichert werden sowie gegen Verlust gesichert werden. Dabei zeigt sich das jeder Datenbankhersteller unterschiedliche Mechanismen wählt bzw. umsetzt um diese Ziele zu erreichen.

Ziel der Arbeit ist es zu zeigen welche Schritte notwendig sind, um diese Sicherheit zu gewährleisten und was dabei zu beachten ist. Dabei wird vor allem auf Sicherheit aus Sicht des Datenbankbetreibers eingegangen. Im Rahmen der Arbeit wird überprüft, ob die kostenlose Variante von MySQL ebenfalls ausreichend Sicherheitsmechanismen bietet, um in bestimmten Fällen kostenpflichtige, wie z.B. Oracle zu ersetzten.

Die Arbeit setzt sich aus einem theoretischen und einem praktischen Teil zusammen. Im theoretischen Teil werden folgende Themen erläutert:

• Erste Schritte

• Betrachtung der IT-Sicherheitslandschaft und Anwendungssicherheit

• Authentifizierung, Zugriffkontrolle und Berechtigungsmanagement

• Verschlüsselung

• Auditing

• Backup

Im anschließenden praktischen Teil, wird die Umsetzung des theoretischen Teils anhand eines gewählten Szenarios umgesetzt. Dabei wird vor allem auf die Themen Authentifizierung, Zugriffkontrolle bzw. Berechtigungsmanagement, Verschlüsselung und Backup eingegangen. Das Thema Auditing beschränkt sich im praktischen Teil auf das Bereitstellen der Informationen.

Als konkretes Szenario dient eine fünf Personen Firma, die user- und anwendungsspezifische Daten in einer Datenbank speichern will. Die Firma produziert kleine Spiele für zwischendurch mit Werbungen bzw. Firmenbrandings und es sollen anonymisierte Daten zur Auswertung gespeichert werden. Um das Szenario nachzubauen wird ein Ubuntu-Server mit einem MySQL-Server in einer virtuellen Maschine aufgesetzt. Die Dokumentation der Installation des Betriebssystems und der Datenbank ist nicht Bestandteil der Arbeit.

Zusammenfassung (Englisch)

This thesis deals with database security. Each year more and more data is produced, the safe storage of which presents a challenge. The data needs to be saved and protected against loss, taking into account trust, integrity and authenticity. Producers of databases use different methods and mechanisms to achieve these goals.

The aim of this thesis is to show which steps are necessary to guarantee this security and what needs to be taken into account. The main focus will be to look at security from the perspective of the database operator. This thesis will also check whether free versions of MySQL offer the necessary security mechanisms which would allow them to be used as a replacement for other paid-for databases, such as Oracle.

The thesis consists of a theoretical part and a practical part. In the theoretical part, the following topics will be covered:

• First steps

• Consideration of the IT security environment and application security

• Authentication, access control and rights management

• Encryption

• Auditing

• Backup

In the practical part, the theoretical part will be applied to a specific scenario. Above all, the following topics will be covered: Authentication; Access Control and Rights Management; Encryption; and Backup. In the practical part, the topic of Auditing will be limited to the providing of information.

The concrete scenario is of a five-person company, which saves user and application-specific data in a database. The company produces small computer games which can be branded and used for advertising. Anonymous user data is stored for analytic purposes. To implement this scenario, a Ubuntu server, together with a MySQL server, will be installed on a virtual machine. The documentation of the installation process of the operating system and the databases is not covered by this thesis.