Version 1.0 der Eckpunkte für die IT-Sicherheitsanforderungen basiert auf einer tiefgehenden Datenbank-Analyse.
Die neuen BSI-Anforderungen gelten sowohl für relationale als auch NoSQL-Datenbanksysteme und berücksichtigen alle Betriebsarten.
shutterstock – nitpicker
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Version 1.0 seiner Eckpunkte der IT-Sicherheitsanforderungen für Datenbanksysteme veröffentlicht. Die Dokumente basieren BSI-Angaben zufolge auf einer umfassenden Analyse verschiedener Typen von Datenbankmanagementsystemen.
Schwerpunkt: Security by Default
Ein zentrales Prinzip der Eckpunkte ist „Security by Default“. Hiermit soll sichergestellt werden, dass Datenbanksysteme bereits bei der Installation in einem abgesicherten Zustand starten können. Zudem betonen die Sicherheitsexperten, wie wichtig es sei, die Datenbank-Software zu härten. Das gelinge beispielsweise, indem nur notwendige Funktionen aktiviert würden, um Sicherheitsrisiken zu minimieren.
Die Anforderungen gelten sowohl für relationale als auch NoSQL-Datenbanksysteme und berücksichtigen On-Premises- sowie Cloud-Umgebungen. Spezifische Vorgaben für einzelne Systemarten sind gesondert in den BSI-Eckpunkten gekennzeichnet.
Zusätzlich legt das BSI Wert auf Nachhaltigkeit und rechtliche Konformität, um zu gewährleisten, dass Unternehmen in ihrem Datenbankbetrieb langfristig sicher sind und gesetzliche Bestimmungen einhalten.
Regelmäßige Updates und Wartung erforderlich
Bestandteil der Anforderungen ist auch die Protokollierung sicherheitsrelevanter Ereignisse. Diese Maßnahme soll eine nachvollziehbare Überwachung und Analyse potenzieller Sicherheitsvorfälle ermöglichen. Darüber hinaus fordert, das BSI die Software nachhaltig zu pflegen, um langfristige Sicherheit und Verfügbarkeit der Systeme zu gewährleisten. Dies schließt regelmäßige Updates, Sicherheits-Patches und eine kontinuierliche Wartung mit ein.
Neben technischen Maßnahmen pocht das BSI darauf, dass gesetzliche Vorschriften eingehalten werden. Die Sicherheitsanforderungen beinhalten daher Vorgaben, die gewährleisten sollen, dass Datenbanksysteme den relevanten Gesetzen und regulatorischen Bestimmungen entsprechen.
Risiken reduzieren, Sicherheit erhöhen
Das übergeordnete Ziel der BSI-Richtlinien ist es, Datenbanksysteme sicher zu konfigurieren und zu betreiben, um potenzielle Schwachstellen zu minimieren. Dadurch soll nicht nur die IT-Sicherheit in der Bundesverwaltung gestärkt, sondern generell der sichere und zuverlässige Betrieb von Datenbanksystemen gewährleistet werden.
