Logo.CortexAG

Anmelden +

Datensicherheit

Bei der Datensicherheit handelt es sich wie bei den Themen Datensicherung und Ausfallsicherheit um ein äußerst wichtiges Thema im Rahmen des IT-Betriebes. Unterschiedliche Verfahren sollen hierbei gewollten und ungewollten Angriffsszenarien entgegenwirken. Solche Szenarien bestehen beispielsweise aus dem Ziel des Systemmissbrauchs, Sabotage, Spionage oder Betrug und Diebstahl sensibler Informationen.

Als Werkzeuge zum Erreichen der vorgenannten Ziele dienen hierbei beispielsweise Programme wie Computerviren, Trojaner und Würmer (i.A. "Malware“); aktive Tätigkeiten wie Spoofing, Phishing, Pharming, Vishing oder sog. Denial-of-Service Attacken (DoS) oder auch Man-in-the-middle-Angriffe und social engineering.

Neben den o.g. bewusst durchzuführenden Angriffsverfahren können Anwender zudem auch einen ungewollten Einblick in geschützte und vertrauliche Informationen erhalten, wenn der entsprechende Zugang besteht und nicht durch administrative Maßnahmen abgesichert wurde.

Im Rahmen der Datenbanknutzung und des Zugriffs durch Endbenutzer stehen für die Datensicherheit unterschiedliche Funktionen und Verfahren zur Verfügung. Je nach Umfang und Sensibilität der Informationen ist der Einsatz dieser Funktionen und Verfahren entsprechend zu konfigurieren. Im Bedarfsfall ist daher die Umsetzung einzelner Verfahren möglicherweise durch spezialisierte Mitarbeiter sinnvoll.

Im Rahmen dieser Dokumentation wird nur auf die integrierten Verfahren und Funktionen des Datenbank-Servers und der Anwendung eingegangen. Auf eine Auswahl weitergehender Verfahren wird entsprechend verwiesen; diese können allerdings nicht in dem notwendigen Maße erläutert werden. Entsprechende Dritt-Literatur ist über unterschiedliche Quellen erhältlich und sollte von versierten Sicherheitsexperten Anwendung finden.

Insbesondere sind zu diesem Bereich die IT-Grundschutzkataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) zu berücksichtigen.

 

Einführung

Die Verwaltung des Cortex-Datenbank-Servers teilt sich in drei grundlegende, administrative Bereiche. Zum Einen in die Server-Installation und -Wartung auf Betriebssystemebene, zum Anderen in die Serveradministration unter zu Hilfenahme des Remote-Admin und des Weiteren in die Konfiguration der Datenbankanwendung über die administrativen Funktionen innerhalb der Anwendung UniPlex.

Jeder dieser drei Ebenen sind unterschiedliche Administrationsaufgaben zugeordnet. Im Rahmen der Datensicherheit bauen diese Ebenen aufeinander auf, so dass beispielsweise ein Administrator mit Berechtigungen in der Ebene II sich auch Zugriff auf Ebene III geben kann; ihm Änderungen in der Ebene I aber verwehrt bleiben.

Verwaltung des Cortex-Datenbankservers (CortexDB)

Ebene I
Betriebssystem-Ebene
Installation und Wartung
Ebene II
Remote-Admin
Server-Administration
Ebene III
Administrative Funktionen
für die Anwendungen

Verzeichnisse

Backup

Datenbank-Server

HTTP-Server

Datenbank-Rohdaten

Dateisystem

1. Teil d. Lizenzierung

2. Teil d. Lizenzierung

PHP-Projekte

Benutzer Zugriffsrechte

Zählerfelder

Manuelles Backup

Restore

Reporter

Reorganisation

Datensatz-Rechte

Feld-Rechte

Funktionsrechte

Plugin-Nutzung

Weitere Anwendungs-Einstellungen

 

Datensicherheit durch verschlüsselte Datenablage

Über den Remote-Admin kann innerhalb der CortexDB ein Datenbank-Passwort gesetzt werden. Dieses wird zur verschlüsselten Datenablage der Server-Dateien genutzt.

Screenshot.RemAdm.KennwortBtn

Diese Verschlüsselung bezieht sich ausschließlich auf die vom Datenbank-Server abgelegten Dateien. Dritt-Software kann die Inhalte der Dateien daher nicht mehr im Klartext auslesen. Gelangen unberechtigte Dritte in Besitz der Datenbank-Rohdaten ist ein Auslesen ohne Passwörter nur unter erheblichen Aufwand möglich.

 

HINWEIS:

Wurde für eine Datenbank ein solches Passwort gesetzt, ist eine vollständige Fehleranalyse in den Rohdaten der Datenbank nicht durchführbar. Weiterhin kann die Rücknahme der Verschlüsselung nur mit vorhandenem Passwort erfolgen. Es gibt keinerlei Möglichkeiten durch den Hersteller, dieses Passwort oder die Verschlüsselung der Daten zu umgehen oder zurückzunehmen.

 

Verbindungssicherheit durch verschlüsselte Datenübertragung

Die Nutzung der Inhalte einer Cortex-Datenbank erfolgt im Rahmen von interaktiven Zugriffen zumeist mit Hilfe von Browser-basierten Anwendungen (sog. "Web-Anwendungen“). Hierbei und bei der Nutzung von Schnittstellen wird auf Technologien des Internets und des World Wide Web ("WWW“) zurückgegriffen. Um solche Verbindungen abzusichern, können diese über das Verfahren "TLS“ (alte Benennung: "SSL“) verschlüsselt werden.

Während der Nutzung über einen Browser ist eine abgesicherte Verbindung an der Adresszeile zu erkennen. Wurde der Adresse ein "https“ vorangestellt, handelt es sich über eine verschlüsselte Verbindung. Hierfür wird für die abzusichernden Webseiten und Anwendungen ein Zertifikat ausgestellt, dass über eine Zertifizierungsstelle (kostenpflichtig) gegengeprüft und signiert wird. Innerhalb der gängigen Browser sind die Zertifizierungsstellen gespeichert, so dass signierte Zertifikate erkannt und verarbeitet werden können. Wird eine Webseite mit einem unsignierten oder fehlerhaften Zertifikat aufgerufen, erfolgt ein entsprechender Warnhinweis.

Die Nutzung der CortexDB-Anwendung UniPlex kann über die oben beschriebenen Verbindungen erfolgen. Hierfür ist die Einbindung eines Server-Zertifikates im HTTP-Server erforderlich. Über den Konfigurationsblock [HTTPSRV] und den Parameter "SslCertPem“ ist der Name der Zertifikatsdatei einzubinden (üblicherweise eine sog. "pem“-Datei).

 

HINWEIS:

Die grundsätzliche Technologie der signierten Zertifikate erlaubt die Einbindung eigener Zertifizierungsstellen in den Browsern. Gerade für größere Umgebungen mit zentraler Verwaltung der Browser-Einstellungen für jeden Arbeitsplatz kann es sinnvoll sein, eine solche Zertifizierungsstelle für das eigene Unternehmen zu erstellen und intern zu nutzen.

 

 

 

 Hinweise zur Online-Hilfe
 

© 2017 Cortex AG
(letzte Aktualisierung: 12.04.2017)

 Haftungsausschluss 

Impressum    AGB